1.Introduzione: il disegno di legge tedesco in materia di IA
Lo scorso 11 febbraio il Governo federale tedesco ha approvato il disegno di legge intitolato Gesetz zur Durchführung der Verordnung über künstliche Intelligenz (Legge sull’attuazione del Regolamento sull’Intelligenza Artificiale), basato sulla bozza redatta dal Bundesministerium für Digitales und Staatsmodernisierung (BMDS) (lett.: Ministero federale per la Trasformazione Digitale e la Modernizzazione dello Stato) e sottoposto a consultazione pubblica nel settembre 2025.
Il disegno di legge, la cui denominazione ufficiale è KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) (lett.: legge sulla vigilanza del mercato e per la promozione dell’innovazione in materia di intelligenza artificiale), discusso per la prima volta dal Parlamento lo scorso 20 marzo 2026, è diretto a dare attuazione alle disposizioni del Regolamento (UE) 2024/1689 del 13 giugno 2024 diretto a stabilire regole di armonizzazione sull’intelligenza artificiale.
Nella specie, esso mira a definire le competenze delle autorità di vigilanza, gli obblighi di controllo e di trasparenza, le regole per la valutazione del rischio in materia di IA e per la cooperazione, nonché un regime sanzionatorio, predisponendo un quadro normativo, di riforma alla legislazione corrente, ispirato alla chiarezza e alla definitezza degli ambiti di competenza.
Come si vedrà, l’aspetto cruciale della normativa di attuazione riguarda la struttura del sistema di vigilanza, su cui si è concentrato il dibattito politico, e che ha condotto ad una soluzione di compromesso orientata, almeno sulla carta, alla semplificazione (v. infra par. 3.1).
L’implementazione in Germania del Regolamento UE, il cui termine di scadenza originario del 2 agosto 2025 era già stato ampiamente superato, risponde al rapido avanzamento delle implicazioni che derivano dall’impiego dell’intelligenza artificiale in tutti i settori – soprattutto in ambito commerciale – la cui regolamentazione trova sbocco a livello europeo (si pensi al pacchetto Digital Omnibus) e internazionale (si veda, a titolo di esempio, il Colorado AI Act).
Date le apprezzabili ricadute della disciplina sui programmi di prevenzione e di gestione dei rischi che derivano dall’impiego dell’IA, l’argomento si propone come una tra le novità più rilevanti in tema di compliance aziendale, rivestendo un ruolo primario per gli enti che ambiscano a realizzare obiettivi di innovazione in piena conformità alle esigenze di tutela dei diritti dei soggetti coinvolti nel sistema produttivo.
2.Nuclei tematici d’interesse della normativa europea
Il Regolamento (UE) 2024/1689 stabilisce un quadro giuridico uniforme per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’utilizzo di sistemi di IA nell’Unione europea (per un’analisi specifica della normativa europea si rinvia ad un precedente post ad essa dedicato).
La normativa europea si pone l’obiettivo principale di creare un mercato interno unico per beni e servizi basati sull’IA, di promuovere l’innovazione e, al contempo, garantire un elevato livello di tutela in relazione alla salute, alla sicurezza e ai diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, inclusi la democrazia, lo Stato di diritto e la tutela dell’ambiente, adottando un approccio basato sul rischio. Tale approccio prevede una classificazione delle applicazioni di IA in diverse categorie di rischio (rischio inaccettabile, alto rischio, rischio basso o minimo), alle quali correlare poi una varietà di misure.
Di tale approccio possono dirsi espressione: il divieto di determinate pratiche abusive nel settore, nonché la fissazione di requisiti specifici per i sistemi di IA ad alto rischio e di obblighi per gli operatori in relazione a tali sistemi, tra i quali l’obbligo di trasparenza, soprattutto lungo le catene di valore dell’IA.
In particolare in relazione ai contesti in cui vengono chiamati in causa i diritti fondamentali (si richiamano, in particolare: il diritto alla dignità umana, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e il diritto alla non discriminazione, il diritto all’istruzione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, l’uguaglianza di genere, i diritti di proprietà intellettuale, e diritti espressione del giusto processo), i sistemi di IA dovrebbero essere anzitutto classificati come ad alto rischio, e sottoposti ad un modello di gestione caratterizzato da un “processo iterativo continuo pianificato ed eseguito nel corso dell’intero ciclo di vita di un sistema di IA”. Tale processo dovrebbe individuare e mitigare i rischi, mediante riesami e aggiornamenti periodici del sistema e attraverso la costante documentazione delle decisioni e delle azioni significative adottate, anche con il coinvolgimento di esperti e stakeholders esterni.
Oltre alle misure di prevenzione, il regolamento prevede anche misure promozionali a favore dell’innovazione, soprattutto a beneficio delle piccole e medie imprese (PMI) e delle start-up: gli Stati membri sono infatti incoraggiati a sviluppare iniziative di sensibilizzazione e di divulgazione delle informazioni nell’interesse delle PMI, nonché a garantire loro accesso prioritario agli spazi di sperimentazione normativa per l’IA.
Il regolamento prende atto, più in generale, della necessità di un’opera di alfabetizzazione in materia di IA per consolidare le conoscenze necessarie ad un livello di compliance adeguato ai rischi del settore di riferimento.
Dovrebbe essere inoltre agevolata l’elaborazione di codici di condotta volontari ad opera della Commissione, in cooperazione con gli stakeholders. I sistemi di IA dovrebbero del resto ambire anche all’affidabilità etica ed essere orientati ad un complesso di principi non vincolanti: a) intervento e sorveglianza umani; b) robustezza tecnica e sicurezza; c) vita privata e governance dei dati; d) trasparenza; e) diversità, non discriminazione ed equità; f) benessere sociale e ambientale, e g) responsabilità.
Dato il ruolo cruciale degli Stati membri nell’applicare ed eseguire la normativa europea, il Regolamento prevede infine che a livello nazionale vengano designate autorità pubbliche, indipendenti e imparziali, competenti nella supervisione della corretta attuazione delle disposizioni europee: nella specie, almeno un’autorità di notifica – responsabile della supervisione e dell’organizzazione delle strategie di valutazione della conformità dei sistemi IA prima della loro immissione sul mercato – e un’autorità di vigilanza del mercato, responsabile della supervisione dei sistemi IA già immessi sul mercato nazionale.
Agli Stati membri è demandata anche la previsione di un sistema sanzionatorio che assicuri effettività, proporzione e deterrenza, nonché la fissazione di massimi edittali per le sanzioni amministrative pecuniarie applicabili in relazione specifiche violazioni richiamate nel regolamento.
3.La proposta di legge tedesca alla luce della normativa europea
La proposta di legge tedesca si pone nel solco delle direttrici europee ora illustrate, con l’obiettivo di garantirne un’attuazione snella e sottoposta ad adeguati strumenti di supervisione.
3.1. Il sistema di controllo e vigilanza
Secondo il Governo federale, un ruolo centrale sarà assunto dalla Bundesnetzagentur (d’ora innanzi BNetzA) (l’Agenzia federale tedesca per le reti), designata come autorità di vigilanza del mercato per il rispetto del regolamento IA (§ 1 KI-MIG), come punto di contatto unico per l’Ufficio europeo per l’IA (§ 6 KI-MIG), come ufficio centrale per i reclami (art. 8 KI-MIG), e all’interno della quale vengono istituite una Camera indipendente di sorveglianza del mercato dell’IA (KI-Marktüberwachungskammer) (§ 2 e § 4 KI-MIG) – per i sistemi IA ad alto rischio – nonché un centro di coordinamento volto a gestire la collaborazione con le altre autorità e con le istituzioni europee, denominato Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) (§ 5 KI-MIG). La BNetzA giocherà, quindi, un ruolo nevralgico nello svolgimento di più attività.
Nonostante questo accentramento, le sue funzioni si affiancheranno a quelle delle autorità già esistenti – tra le quali, l’Ufficio federale antitrust (Bundeskartellamt), l’Autorità federale di vigilanza finanziaria (BaFin) e le autorità per la protezione dei dati a livello federale e dei singoli Länder – che continueranno ad operare nei settori di competenza, evitando così duplicazioni e dispendio di risorse a danno delle imprese. Nei settori in cui invece non sarà possibile (o opportuno) fare riferimento a strutture già esistenti o ad altri sistemi di vigilanza già operativi, la BNetzA eserciterà in via diretta le proprie funzioni di vigilanza e di notifica.
La previsione di questo modello “ibrido” e “multilivello”, accolto positivamente, favorisce uniformità, senza perdere le competenze di settore e l’esperienza già maturata dalle autorità finora operanti a livello dei singoli Länder. Tuttavia ne sono state evidenziate anche le criticità, attesa la complessità che potrebbe ingenerare all’interno delle imprese, le quali, innanzi alla varietà dei rischi derivanti dai diversi contesti operativi, dovrebbero dotarsi internamente di strumenti di classificazione e “canalizzazione” dei rischi verso gli organi di vigilanza, a scapito della semplificazione e della chiarezza.
Il centro di coordinamento KoKIVO dovrebbe, a questo fine, salvaguardare l’armonizzazione svolgendo i seguenti compiti: i) fornire supporto alle autorità nazionali competenti per la sorveglianza del mercato e alle autorità di notifica nell’adozione di decisioni complesse che ricadono sotto l’ambito di applicazione del Regolamento, mettendo a disposizione competenze tecniche specialistiche; ii) coordinare la cooperazione tra le autorità nazionali competenti per la sorveglianza del mercato e alle autorità di notifica, al fine di garantire un’interpretazione uniforme delle questioni giuridiche trasversali; iii) fornire competenze tecniche specialistiche, con partecipazione ai lavori di normazione tecnica nel settore IA, sia in ambito nazionale sia internazionale, in particolare garantendo un coinvolgimento adeguato, trasparente e regolare della società civile, dei sindacati, dell’economia, nonché della comunità scientifica e della ricerca; iv) infine, fornire supporto nell’elaborazione di codici di condotta volontari.
3.2. Innovazione e trasparenza
Oltre ai compiti di vigilanza e di coordinamento, la BNetzA giocherà un ruolo significativo nella promozione dell’innovazione, a supporto, in particolare, delle PMI e delle start-up, fornendo servizi di consulenza e servizi di networking, di assistenza (ad es. il cd. KI-Service Desk) e di formazione.
Inoltre, essa sarà incaricata di istituire almeno un cd. KI-Reallabor (lett.: spazio di sperimentazione) per sviluppare e testare sistemi di IA sotto la supervisione delle autorità competenti.
La BNetzA diventa infine punto nevralgico di ricezione e inoltro dei reclami: i cittadini potranno ad essa presentare reclami su eventuali violazioni, che saranno poi trasmessi alle autorità di vigilanza competenti.
3.3. Illeciti e Sanzioni
In punto di illeciti e sanzioni, si è visto che il Regolamento deferisce agli Stati membri il compito di introdurre sanzioni pecuniarie nei confronti di persone fisiche e giuridiche per le violazioni delle disposizioni regolamentari.
Le conseguenze sanzionatorie previste per le violazioni degli obblighi del Regolamento UE consistono in sanzioni pecuniarie amministrative, e salvo diversa disposizione, trova di regola applicazione la disciplina relativa agli illeciti punitivi amministrativi (Ordungswidrigkeitsgesetz – OWiG), sebbene con un’importante precisazione: il § 16 del disegno di legge stabilisce che alle violazioni di cui all’art. 99, parr. 3-5 Reg. UE 2024/1689 non si applica il § 30 OwiG. Tale disposizione, che regola la responsabilità d’impresa, limitandola ai casi in cui l’illecito sia commesso da un apicale in rappresentanza dell’ente, non sarebbe applicabile ai sensi dell’attuale disciplina, con la conseguenza che l’ente risulta direttamente sanzionabile per le violazioni degli obblighi del Regolamento.
Il KI-MIG introdurrà anche sanzioni fino a 50.000 euro per violazioni non coperte dall’art. 99 del Regolamento, tra cui obblighi informativi e valutazioni d’impatto sui diritti fondamentali (art. 15 KI-MIG).
Il progetto tedesco prevede, da ultimo, una riforma della legge sul whistleblowing (Hinweisgeberschutzgesetzes – HinSchG) la cui applicazione viene ora estesa anche alle violazioni in materia di IA.
4.Bilancio conclusivo
In piena conformità agli obiettivi europei, la proposta di legge tedesca rappresenta un passo importante verso una regolamentazione strutturata in materia di IA, i cui punti di forza risiedono nel coordinamento centralizzato, nella trasparenza e nella preparazione di un quadro diretto all’innovazione sicura, diretta allo sviluppo soprattutto delle PMI. Tuttavia, la riforma non ha mancato di sollecitare rilievi critici (si veda al link), soprattutto riferiti alla frammentazione provocata dalla molteplicità delle autorità coinvolte, capace di produrre inefficienze e incertezze operative a scapito dei sistemi di compliance interni.
La legge offre, quindi, un quadro innovativo ma complesso, il cui successo dipenderà solo dalla capacità delle autorità pubbliche, coinvolte nelle attività di controllo, di armonizzare e coordinare efficacemente sorveglianza, protezione dei dati e supporto all’innovazione.