Il 17 settembre 2025, il Senato ha approvato in via definitiva la Legge 132/2025 rubricata “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” che disciplina l’adozione degli strumenti di intelligenza artificiale in diversi settori economici, tra cui figura anche la cybersecurity.

Se da un lato, lo sviluppo dell’IA viene promossa per rafforzare la cybersicurezza nazionale, dall’altro lato occorre che l’automazione di determinati processi grazie all’IA non esponga aziende, organizzazioni, utenti che se avvalgono a rischi per la sicurezza dei dati e dei sistemi e per la competitività sul mercato.

La nuova Legge sull’IA e complementarità con AI Act

Il 17 settembre 2025, il Senato ha approvato in via definitiva la Legge 132/2025 rubricata “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”.

Tale legge ha come obiettivo la realizzazione di un corpus dispositivo che possa supportare il paese nell’adozione degli strumenti di intelligenza artificiale e si inserisce in un quadro normativo complesso, composto da un’articolata legislazione europea, tra cui riveste un ruolo primario il Regolamento UE 2024/1689, che stabilisce regole armonizzate sull’intelligenza artificiale (c.d. AI Act), integrandolo e declinandolo per i singoli settori.

e due normative, nazionale ed europea, sono strettamente connesse tra loro: entrambe, infatti, condividono i medesimi principi fondanti, tra cui rientrano l’intervento e la sorveglianza umana (c.d. antropocentrismo), la trasparenza e robustezza dei sistemi, l’attenzione alla diversità, non discriminazione ed equità e il rispetto della vita privata, assicurando una effettiva governance di dati. I successivi capi della legge in esame contengono prescrizioni specifiche per i singoli settori economici, come ad esempio il settore sanitario e quello delle professioni intellettuali, nei quali trovano applicazione pratica i suddetti principi.

Oggetto di trattazione specifica in questa sede è la tematica cybersecurity, sulla quale la legge in commento pone un marcato accento. Infatti, l’art. 18 attribuisce all’ACN la competenza di promuovere lo sviluppo dell’IA come risorsa per il rafforzamento della cybersicurezza nazionale, promuovendo l’uso dei sistemi e modelli non deve pregiudicare i diritti fondamentali dei cittadini e la vita democratica dello Stato. Inoltre, alla luce del combinato disposto degli artt. 3 e 6, vengono esclusi dall’ambito applicativo della legge quei sistemi o modelli di IA sviluppati o utilizzati dall’ACN per la tutela della sicurezza nazionale nello spazio cibernetico.

Interconnessioni tra Cyber e AI

L’indissolubile e crescente interazione tra ambito cyber e AI – ora dunque esplicitata anche a livello normativo primario – si spiega con l’esigenza di implementare le misure di sicurezza generale di un’organizzazione (aziendale o di altra natura) in termini di capacità di previsione e prevenzione di potenziali attacchi e minacce digitali. Ciò implica l’utilizzo dei sistemi AI in primis nell’individuazione, elaborazione ed analisi delle vulnerabilità su informazioni e output, con la finalità ultima di tutela del patrimonio – digitale e non – di un’organizzazione.

Attualmente, si assiste da più parti, infatti, a una prioritizzazione del connubio cyber-AI nell’operatività e nelle strategie di business aziendali con impatti in termini di risk management e business continuity, evitando qualsiasi rischio di trade off tra sicurezza e competitività sul mercato. Tra le modalità applicative principali in quest’ottica si possono citare le cc.dd tecniche di machine learning e deep learning per il rilevamento di security incident, la gestione degli endpoint mediante AI, nonché le soluzioni XDR e SIEM che facilitano un approccio proattivo in risposta alle minacce informatiche. Ed è proprio in tali aspetti che si sostanziano in ambito cybersecurity i vantaggi dell’AI, generando miglioramenti nella c.d. scalabilità cyber, tramite elaborazione di volumi di dati crescenti e automatizzazione e adattabilità delle risposte a malware sempre più sofisticati e complessi. 

Tuttavia, la straordinaria potenza computazionale dei modelli AI rappresenta un rischio per la cybersicurezza poiché i cybercriminali possono avvalersi dell’uso dell’AI per diminuire i costi e i tempi per mettere in atto gli attacchi informatici, automatizzando le operazioni complesse e diminuendo, al contempo, l’apporto umano. I modelli di attacchi più avanzati consentono, ad esempio, la creazione di voci artificiali simili a quelle reali già utilizzate per attacchi di vishing, la creazione di mail personalizzate e altamente convincenti che aumentano le probabilità di successo del phishing oppure ancora la creazione dei c.d. deepfake che impediscono di distinguere tra realtà e finzione.

Il cospicuo rischio per la cybersicurezza è insito al funzionamento dell’AI stessa, dal momento che il corretto funzionamento delle reti neurali presuppone l’utilizzo di enormi quantità di dati (anche personali) costantemente aggiornati. Un eventuale data breach, così come la volontaria messa a disposizione dei dati da parte di un singolo soggetto, consentirebbe l’accesso per i cybercriminali ad informazioni, anche riservate e sensibili, di milioni (se non miliardi) di utenti con conseguenze del tutto imprevedibili.

Conclusioni

Alla luce di quanto detto, l’IA è una tematica di cui si parla da anni e il legislatore oggi ne descrive gli ambiti di applicazione e gli aspetti più salienti. In attesa dei futuri sviluppi applicativi e di politiche condivise anche a livello europeo, utenti, cittadini, aziende sono chiamati a interrogarsi non solo sulle implicazioni pratiche ma anche sui risvolti etici, facendo considerazioni in merito alle corrette e sicure prospettive di impiego di queste nuove forme tecnologiche che, per l’automazione di determinati processi grazie all’AI, prevedono certamente vantaggi ma presentano anche un certo livello di rischio.

La cybersicurezza figura tra i settori analizzati dal legislatore poiché oggi è un elemento imprescindibile per un corretto e sicuro svolgimento di qualsiasi attività quotidiana in un mondo ormai digitalizzato e con processi dematerializzati.  Ecco allora che, nella dicotomia cybersicurezza-AI, diviene focale rinvenire un punto di raccordo fra esigenze diverse, scegliendo un approccio responsabile che, da un lato, valorizzi gli sviluppi tecnologici e l’innovazione ma dall’altro, non sacrifichi diritti fondamentali e non metta in pericolo le logiche di mercato.

Fonte: Telsy

Gli autori di Telsy

Federica Lucrezia Romeo, laureata in Giurisprudenza presso l’Università “La Sapienza” di Roma con una tesi in diritto penale dal titolo “Nesso di rischio ed interruzione del rapporto causale nella più recente evoluzione giurisprudenziale”, con la quale ha ottenuto un Tirocinio presso la Procura della Repubblica di Frosinone. In precedenza, ha svolto la professione legale ed attualmente ricopre il ruolo di Legal Specialist in Telsy.

Marco Rosafio, laureato in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto delle crisi d’impresa, ha conseguito, presso la medesima Università, un Master di II livello in Diritto d’Impresa. Ha prestato la propria attività presso uno studio legale operando nell’ambito della contrattualistica d’impresa, del diritto societario e del contenzioso. Attualmente, ricopre il ruolo di Legal Assistant in Telsy, approfondendo le medesime tematiche all’interno del contesto aziendale.

Niccolò Francesco Terracciano, studente di Giurisprudenza presso l’Università LUISS Guido Carli di Roma, ha maturato esperienza in associazioni senza scopo di lucro, avendo modo di approfondire le tematiche relative al diritto commerciale e alla consulenza d’impresa. Attualmente, ricopre il ruolo di Legal Specialist in Telsy dove sta sviluppando in ambito aziendale le conoscenze teoriche apprese durante il percorso di studi in materia di diritto civile, societario e delle nuove tecnologie.

Erica Onorati, laureata in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Ha poi conseguito un Executive Master presso il Sole 24 Ore Business School in Cybersecurity e Data Protection, avente ad oggetto l’analisi delle strategie per proteggere gli asset aziendali e prevenire i rischi informatici. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Legal Supervisor in Telsy, con un focus incentrato sulla gestione della contrattualistica d’impresa, sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale, sulle operazioni straordinarie e sulla segreteria societaria.