Legge AI 132/2025: nuove regole per la Sanità

IA nella Sanità Italiana: Innovazione ClinicaBy 3L3C

Come la Legge AI 132/2025 ridisegna uso dei dati, ricerca e sistemi di intelligenza artificiale in sanità, tra opportunità cliniche e nuovi obblighi di governance.

intelligenza artificiale sanitànormativa AIdati sanitariricerca clinicatelemedicinagovernance dati
Share:

IA in corsia: perché la Legge 132/2025 cambia davvero il gioco

Nel 2025 l’Italia ha fatto una scelta chiara: portare l’intelligenza artificiale nella sanità, ma con regole precise. Con la Legge 132/2025 sull’AI il modo in cui ospedali, ASL, IRCCS e aziende sanitarie gestiscono e usano i dati cambia in profondità, soprattutto per quanto riguarda ricerca clinica, sperimentazione e applicazioni di IA.

Questo passaggio è decisivo per il percorso che raccontiamo nella serie “IA nella Sanità Italiana: Innovazione Clinica”: non basta avere algoritmi per la diagnostica per immagini, per la medicina personalizzata o per la telemedicina; serve un quadro normativo chiaro che renda questi strumenti affidabili, legittimi e sostenibili.

La realtà? È più semplice di quanto sembri: chi saprà organizzarsi bene su dati, governance e compliance non solo eviterà sanzioni, ma avrà un vantaggio competitivo enorme su ricerca, qualità clinica e attrattività verso pazienti e partner industriali.

1. Che cosa introduce la Legge AI 132/2025 per la Sanità

La Legge 132/2025 interviene su un punto chiave: uso dei dati sanitari e sistemi di intelligenza artificiale per finalità diverse dall’assistenza diretta al paziente, in particolare:

  • ricerca scientifica e clinica
  • sperimentazione di nuovi farmaci e dispositivi
  • sviluppo, addestramento e validazione di algoritmi di IA

In pratica, la legge prova a conciliare due esigenze:

  1. Valorizzare il patrimonio informativo sanitario (FSE, cartelle cliniche elettroniche, dati di telemedicina, monitoraggio remoto, ecc.).
  2. Proteggere i diritti delle persone, in primis privacy, non discriminazione, sicurezza.

Questo si traduce in tre assi principali:

  • rafforzamento del quadro di tutele sui dati personali in sanità
  • requisiti più stringenti per i sistemi di IA ad alto rischio utilizzati in ambito clinico
  • regole specifiche per la valorizzazione secondaria dei dati sanitari (quelli usati per ricerca, analisi, sviluppo algoritmi, non per la cura diretta).

Per chi lavora in ospedale o in un’azienda sanitaria, questo significa una cosa molto concreta: non si potrà più “sperimentare” con i dati come prima. Servono processi, documentazione, ruoli chiari.

2. Dati sanitari e AI: cosa cambia nella pratica operativa

La prima vera conseguenza della Legge 132/2025 è sull’uso dei dati sanitari per finalità secondarie. Qui si gioca gran parte del valore dell’IA clinica.

2.1. Nuove regole per l’uso secondario dei dati

Gli enti sanitari devono:

  • distinguere in modo netto finalità di cura e finalità di ricerca/sviluppo;
  • definire basi giuridiche e informative chiare per il trattamento dei dati di ricerca;
  • strutturare procedure interne di autorizzazione per progetti che usano IA su dati clinici;
  • rafforzare pseudonimizzazione e anonimizzazione per ridurre il rischio di re-identificazione.

In concreto, per un progetto di IA che analizza migliaia di TAC o referti di laboratorio, non basta più un protocollo di ricerca generico: servono

  • un Data Protection Impact Assessment (DPIA) specifico,
  • la chiara individuazione dei ruoli privacy (titolare, contitolari, responsabili del trattamento, partner industriali),
  • regole stringenti su accessi, log, conservazione e riuso dei dati.

2.2. Ruolo centrale del DPO e della governance dei dati

La legge, di fatto, porta il Data Protection Officer (DPO) al centro delle decisioni su AI e sanità. Non è più solo “controllore”, ma partner strategico quando si parla di:

  • valutare il rischio degli algoritmi utilizzati su dati sanitari;
  • mettere in equilibrio innovazione clinica e compliance GDPR;
  • definire policy su dataset, minimizzazione dei dati e tempi di conservazione.

Strutture che hanno già un DPO forte, un ufficio legale interno preparato e un ufficio ricerca/innovazione ben strutturato, sono oggettivamente un passo avanti.

3. IA ad alto rischio in sanità: requisiti, controlli, responsabilità

I sistemi di intelligenza artificiale che supportano decisioni cliniche (diagnosi, triage, terapia, gestione rischio clinico) rientrano, di norma, nella categoria di AI ad alto rischio.

Per questi sistemi, la Legge 132/2025 – in coerenza con il quadro europeo – richiede:

  • valutazione di conformità del sistema (anche in relazione alle norme su medical device);
  • tracciabilità dei dati usati per l’addestramento;
  • robustezza e sicurezza dell’algoritmo, con test e monitoraggio in esercizio;
  • documentazione chiara per clinici e pazienti su come funziona il sistema e quali sono i limiti;
  • presidio umano: la decisione clinica rimane responsabilità del professionista.

3.1. Il tema chiave: bias e non discriminazione

Un punto che la legge rende più visibile, e su cui molti ospedali italiani sono ancora indietro, è il rischio di bias nei sistemi di IA, ad esempio:

  • algoritmo di triage che sottostima il rischio in alcune fasce di età o genere;
  • modelli predittivi addestrati su popolazioni non rappresentative del contesto italiano;
  • strumenti di supporto alla diagnosi che funzionano peggio su determinate etnie.

La struttura sanitaria deve poter dimostrare di avere:

  • analizzato i dataset di addestramento;
  • valutato l’impatto su diverse sotto-popolazioni;
  • previsto meccanismi di correzione e ritaratura del modello.

Se non lo fa, il rischio non è solo di tipo legale, ma clinico e reputazionale.

3.2. Responsabilità medico-legale

Qui non ha senso girarci attorno: la Legge 132/2025 rende esplicito che l’IA non sostituisce il medico. L’uso di un sistema di supporto decisionale non esonera il professionista dalla responsabilità sulla scelta clinica finale.

Per questo è fondamentale:

  • definire protocolli interni su come usare l’IA (quando, da chi, con quali limiti);
  • documentare in cartella quando il parere dell’algoritmo è stato seguito o disatteso;
  • formare i clinici a interpretare l’output dei sistemi, non a subirlo.

4. Valorizzazione secondaria dei dati: opportunità per ricerca e innovazione

Se gestita bene, la nuova normativa è una grande opportunità per chi lavora su sanità digitale, telemedicina, diagnostica per immagini, monitoraggio remoto, medicina personalizzata.

4.1. Dal dato grezzo alla piattaforma di ricerca

Con un quadro normativo più chiaro, gli enti sanitari possono organizzare meglio:

  • data lake clinici strutturati e sicuri, nativamente pronti per progetti di IA;
  • hub di ricerca che aggregano dati da più ospedali con regole condivise;
  • collaborazioni con università e aziende biomedicali su basi legali solide.

Un esempio concreto:

  • un’ASL decide di usare i dati di monitoraggio remoto di pazienti cronici per sviluppare un modello predittivo di riacutizzazione;
  • grazie alle regole della Legge 132/2025 definisce un percorso chiaro di pseudonimizzazione, valutazione d’impatto, accordi con il partner tecnologico e controllo del DPO;
  • il risultato è un progetto replicabile, scalabile su altri territori e difendibile davanti a un’autorità di controllo.

4.2. Collegamento con EHDS e FSE

Anche se la legge è nazionale, il contesto è europeo. Tra European Health Data Space (EHDS) e potenziamento del Fascicolo Sanitario Elettronico, è evidente la direzione: i dati sanitari devono diventare la base per:

  • ricerca multicentrica a livello nazionale e UE;
  • sviluppo di algoritmi clinici condivisi e meglio addestrati;
  • strumenti avanzati di medicina personalizzata, basati su dati real-world.

Chi comincia ora ad adeguarsi alla Legge 132/2025 sarà pronto quando queste infrastrutture europee diventeranno operative a pieno regime.

5. Cosa devono fare concretamente le strutture sanitarie nel 2026

La domanda pratica è: da dove si parte? Ecco un percorso realistico per un’azienda sanitaria o un grande ospedale nel 2026.

5.1. Mappare progetti e sistemi di IA esistenti

Primo passo: censire ciò che già esiste.

  • quali sistemi di IA sono già in uso (radiologia, laboratorio, pronto soccorso, CUP, telemedicina…)?
  • quali progetti di ricerca usano dati del FSE, cartelle cliniche, dati di wearables o piattaforme di telemonitoraggio?
  • quali collaborazioni con aziende tech sono in corso?

Senza una fotografia reale, si continuerà a muoversi a tentoni.

5.2. Creare un framework interno per IA e dati sanitari

Serve una policy aziendale sull’IA che includa almeno:

  • criteri per classificare i sistemi in base al rischio;
  • requisiti minimi di documentazione tecnica e privacy;
  • modelli standard di DPIA per progetti che usano IA su dati sanitari;
  • processi chiari di approvazione da parte di Direzione Sanitaria, DPO, Comitato Etico.

Questo evita il classico scenario “progetto partito dal reparto X senza che nessuno sapesse niente”.

5.3. Formare clinici, ricercatori e manager

Le norme funzionano solo se le persone le conoscono. Formazioni mirate dovrebbero riguardare:

  • clinici: come interpretare l’output dell’IA, limiti e responsabilità;
  • ricercatori: come progettare studi conformi alla legge sui dati e alla normativa AI;
  • manager e CIO: come valutare vendor e soluzioni, clausole contrattuali, sicurezza.

Una formazione ben fatta riduce enormemente il rischio di uso improprio dei dati e di algoritmi non adeguatamente controllati.

5.4. Scegliere partner tecnologici “AI & privacy by design”

Nella scelta di piattaforme di telemedicina, soluzioni di diagnostica per immagini basata su IA, sistemi per gestione ospedaliera predittiva, va preteso:

  • chiara indicazione di dove e come vengono trattati i dati;
  • possibilità di audit, log, esportazione dei dati;
  • documentazione sull’addestramento dei modelli e sui test di performance;
  • impegno contrattuale su sicurezza, privacy e rispetto della normativa AI.

Le aziende che oggi offrono davvero AI by design e privacy by design saranno quelle che resteranno sul mercato quando i controlli si faranno più stringenti.

6. IA clinica in Italia: da sperimentazione a infrastruttura di sistema

La Legge 132/2025 non blocca l’innovazione; la sposta di livello. L’IA non è più il progettino pilota del singolo reparto, ma uno strumento che deve integrarsi nella governance complessiva della sanità digitale.

Per la serie “IA nella Sanità Italiana: Innovazione Clinica” questo rappresenta un punto di svolta:

  • i progetti di diagnostica per immagini basata su IA avranno dataset più ampi e meglio regolati;
  • la telemedicina potrà contare su modelli predittivi costruiti su dati di FSE e monitoraggio remoto in modo legittimo e sicuro;
  • la medicina personalizzata potrà appoggiarsi a infrastrutture dati condivise e non a “isole” di ricerca isolate.

Chi guida oggi una struttura sanitaria o un reparto di ricerca ha davanti una scelta: trattare la Legge 132/2025 come l’ennesimo adempimento burocratico, oppure usarla come leva per costruire un ecosistema dati e IA robusto, capace di attrarre progetti, fondi, talenti.

Nei prossimi anni la differenza tra ospedali sarà evidente: non tanto tra chi usa o non usa l’IA, ma tra chi avrà costruito un modello di governance dei dati e dell’intelligenza artificiale maturo e chi resterà fermo alla sperimentazione casuale. La sanità italiana ha l’occasione di fare un salto di qualità; la normativa, questa volta, non è un ostacolo ma la struttura portante del ponte.

🇮🇹 Legge AI 132/2025: nuove regole per la Sanità - Italy | 3L3C