Legge italiana sull’AI in sanità: cosa cambia davvero

IA nella Sanità Italiana: Innovazione Clinica••By 3L3C

La legge italiana 132/2025 sull’AI ridisegna l’uso dei dati sanitari per ricerca e innovazione clinica. Ecco cosa cambia e come prepararsi nei prossimi mesi.

intelligenza artificiale in sanitĂ legge 132 2025uso secondario dei datidati sintetici sanitariAI ActsanitĂ  digitaleinnovazione clinica
Share:

Perché la legge 132/2025 sull’AI è un punto di svolta per la sanità

Il dato è semplice: oltre il 70% dei progetti di IA in sanità in Italia si blocca su dubbi legali e privacy, non su problemi tecnici. Con la legge 132/2025 sull’intelligenza artificiale, l’Italia prova a rompere questo stallo e a dare regole chiare a chi vuole fare innovazione clinica.

Questo interessa direttamente strutture sanitarie, IRCCS, università, ma anche aziende che sviluppano soluzioni di diagnostica per immagini, telemedicina e medicina personalizzata. Perché oggi la domanda non è più “posso usare l’AI?”, ma “come posso usarla senza violare il GDPR, perdere mesi in burocrazia o espormi a sanzioni?”.

In questa guida, parte della serie “IA nella Sanità Italiana: Innovazione Clinica”, vediamo cosa cambia davvero con la nuova legge, come gestire l’uso secondario dei dati sanitari, cosa significa lavorare con dati anonimizzati, pseudonimizzati e sintetici, e quale approccio pratico conviene adottare nel 2025 per portare avanti progetti di AI sanitaria in modo sicuro e sostenibile.

1. Cosa prevede la legge italiana sull’AI per la sanità

La legge 132/2025 è la prima legge nazionale europea dedicata all’AI. Non sostituisce l’AI Act né il GDPR, ma li integra e li “traduce” nel contesto italiano, soprattutto in ambito sanitario e di ricerca.

In sanitĂ , la legge fa tre cose fondamentali:

  1. Definisce chi può usare i dati sanitari per AI senza chiedere sempre il consenso del paziente.
  2. Stabilisce le condizioni per l’uso secondario dei dati (per ricerca, sperimentazione, sviluppo di algoritmi).
  3. Introduce una base giuridica specifica per anonimizzazione, pseudonimizzazione e sintetizzazione dei dati sanitari.

Questo impatta tutti i progetti di intelligenza artificiale clinica, dai sistemi di supporto alla diagnosi fino agli algoritmi per l’ottimizzazione dei percorsi ospedalieri.

1.1 Chi può trattare dati per AI sanitaria e a quali condizioni

L’art. 8 della legge restringe in modo piuttosto netto il perimetro dei soggetti che possono fare ricerca e sperimentazione di AI sanitaria senza dover sempre ricorrere al consenso del paziente.

La norma si applica a:

  • soggetti pubblici;
  • soggetti privati senza scopo di lucro;
  • IRCCS;
  • soggetti privati operanti nel settore sanitario solo se all’interno di progetti di ricerca con partner pubblici o non profit.

Tradotto:

le aziende private sanitarie o tech non possono trattare da sole dati sanitari personali senza consenso per sviluppare sistemi di AI clinica.

Per molti player privati questo è un cambio di prospettiva importante: chi sviluppa soluzioni di IA per la sanità italiana dovrà sempre più inserirsi in ecosistemi di ricerca pubblico-privato, non lavorare in totale autonomia sui dati reali dei pazienti.

1.2 Ambiti coperti: non solo cura, ma anche fisiologia e biologia

La legge non parla solo di prevenzione, diagnosi e cura. L’ambito include:

  • sviluppo di farmaci, terapie e tecnologie riabilitative;
  • realizzazione di apparati medicali;
  • salute pubblica e sicurezza della persona;
  • studio della fisiologia, biomeccanica e biologia umana anche in ambito non strettamente sanitario, ad esempio per creare modelli di base utilizzabili in piĂą contesti.

Per chi lavora su modelli di base per immagini mediche, su gemelli digitali del paziente o su algoritmi di previsione del rischio clinico, questo significa avere finalmente un riferimento normativo esplicito.

2. Uso secondario dei dati sanitari: cosa si può fare davvero

L’uso secondario dei dati sanitari è il cuore di qualunque progetto serio di IA clinica: non si può addestrare un modello diagnostico o predittivo senza riutilizzare dati raccolti in origine per cura e assistenza.

La legge 132/2025 conferma che questo è possibile, ma mette una condizione chiara al comma 2:

i dati devono essere privati degli elementi identificativi diretti.

In pratica, per fare uso secondario servono tecniche robuste di pseudonimizzazione o anonimizzazione.

2.1 Cosa significa in pratica per ospedali e IRCCS

Per una struttura sanitaria che vuole attivare progetti di AI (diagnostica, triage digitale, percorsi clinici personalizzati) questo si traduce in alcune attivitĂ  molto concrete:

  • mappare i dataset: capire quali dati clinici sono necessari (referti, immagini, dati di laboratorio, dati amministrativi ecc.);
  • rimuovere o sostituire gli identificativi diretti (nome, codice fiscale, contatti, ID paziente, numeri di cartella direttamente riconducibili alla persona);
  • definire regole tecniche di pseudonimizzazione (codici paziente, chiavi di riconciliazione custodite in ambienti separati e sicuri);
  • predisporre procedure di controllo degli accessi e logging: chi può vedere cosa, quando, con quali diritti.

Il punto spesso sottovalutato è l’organizzazione: la legge non chiede solo “una buona tecnologia”, ma un processo strutturato progetto per progetto, con dataset definiti, ruoli chiari e responsabilità tracciabili.

2.2 Come cambia la progettazione dei modelli di IA clinica

L’obbligo di uso di dati non direttamente identificativi impatta anche la parte tecnica dell’AI:

  • i data scientist devono progettare pipeline che partono da dati pseudonimizzati;
  • gli ingegneri clinici e i CIO devono valutare se i modelli perdono performance togliendo alcuni campi identificativi e, se sì, come compensare;
  • il DPO e l’ufficio legale devono essere coinvolti giĂ  in fase di disegno dell’architettura dati e non solo alla fine, “per firmare i documenti”.

La realtà? Spesso i progetti che partono così, con privacy by design reale, arrivano in produzione prima e con meno stop da parte dei Comitati Etici.

3. Anonimizzazione, pseudonimizzazione e dati sintetici: la nuova base giuridica

La vera novità del comma 3 dell’art. 8 è questa:

anonimizzare, pseudonimizzare e sintetizzare dati sanitari diventa un trattamento legittimo anche senza consenso, se finalizzato a ricerca, AI sanitaria o governo della salute.

Prima, queste operazioni si reggevano quasi sempre sul consenso dell’interessato. Ora hanno una base giuridica autonoma nella legge italiana.

3.1 Quando si può usare questa base giuridica

Questa base si applica solo se i trattamenti di dati sono legati a:

  • attivitĂ  di ricerca e sperimentazione scientifica di sistemi di AI per:
    • prevenzione, diagnosi, cura;
    • sviluppo di farmaci, terapie, tecnologie riabilitative;
    • dispositivi e apparati medicali;
    • salute pubblica e sicurezza;
  • attivitĂ  di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria (il cosiddetto governo della salute).

Per esempio:

  • un progetto regionale di stratificazione del rischio per ridurre i ricoveri ripetuti;
  • un algoritmo predittivo per orientare le liste d’attesa;
  • un sistema di supporto alla diagnosi radiologica addestrato su grandi dataset storici.

Tutti questi possono appoggiarsi alla nuova base giuridica, a patto di rispettare le regole su anonimizzazione, pseudonimizzazione e sintetizzazione.

3.2 Perché i dati sintetici non sono una “bacchetta magica” privacy

Molti oggi pensano: uso dati sintetici, quindi sono a posto col GDPR. La legge – e il buon senso – dicono il contrario.

I dati sintetici sono dati fittizi, generati artificialmente sulla base di dati reali. Possono ridurre il rischio, ma non garantiscono automaticamente l’anonimato, soprattutto se:

  • il modello di generazione è poco robusto;
  • il dataset reale di partenza è piccolo o molto specifico;
  • si combinano dati sintetici con altre fonti esterne.

Per restare nel perimetro di compliance richiesto dalla legge, servono almeno:

  • valutazioni periodiche del rischio di re-identificazione;
  • metriche chiare di similaritĂ  tra dati reali e sintetici;
  • politiche di uso dei dati sintetici: dove, per cosa, da chi possono essere utilizzati.

Un IRCCS che genera un dataset sintetico di immagini TAC per addestrare un modello di classificazione non può considerarlo “libero” a priori. Deve dimostrare che il rischio di risalire ai pazienti reali è effettivamente molto basso.

3.3 Il ruolo di AGENAS e le linee guida attese

La legge dà ad AGENAS la possibilità (non l’obbligo) di definire linee guida su:

  • procedure di anonimizzazione;
  • tecniche di sintetizzazione dei dati sanitari.

Questo sarĂ  uno snodo chiave. Oggi, chi lavora su big data sanitari si muove tra linee guida europee in evoluzione e interpretazioni nazionali non sempre allineate. Linee guida AGENAS, aggiornate con il parere del Garante, possono diventare il riferimento operativo per:

  • Regioni e ASL che vogliono creare data platform per AI;
  • centri di ricerca che lavorano su modelli predittivi;
  • aziende che forniscono soluzioni di sanitĂ  digitale al SSN.

Chi vuole essere pronto farebbe bene a progettare fin da ora processi che possano facilmente aderire a queste future linee.

4. Come impostare progetti di IA in sanitĂ : un approccio vincente

La legge 132/2025 manda un messaggio chiaro: l’innovazione clinica basata su IA è benvenuta, ma solo se accompagnata da un governo serio dei dati.

Most companies get this wrong: trattano privacy e compliance come un freno, qualcosa da “gestire alla fine”. In sanità, questo approccio porta quasi sempre a blocchi, richieste di integrazioni infinite dai Comitati Etici e, alla lunga, perdita di credibilità.

C’è un modo migliore di lavorare.

4.1 Integrare privacy, etica e clinica fin dall’inizio

Per progetti di intelligenza artificiale in sanità italiana che funzionano e passano davvero il vaglio regolatorio, l’esperienza degli ultimi anni mostra un pattern ricorrente:

  • il team di progetto include da subito: clinici, data scientist, IT, DPO, esperto di etica, a volte anche rappresentanti dei pazienti;
  • l’analisi d’impatto (DPIA) viene fatta in parallelo al disegno del modello, non dopo;
  • il Comitato Etico viene coinvolto con documentazione chiara su dati, flussi, tecniche di anonimizzazione/pseudonimizzazione e finalitĂ .

Questo approccio interdisciplinare non è un vezzo accademico: riduce gli attriti, accorcia i tempi di approvazione e aiuta a costruire fiducia, sia internamente che verso cittadini e pazienti.

4.2 Alcune mosse pratiche per il 2025

Per una struttura che vuole sfruttare la nuova legge per spingere sull’innovazione, alcune azioni concrete hanno un impatto immediato:

  1. Creare o rafforzare un Data Governance Board sanitario che includa IT, clinici, legali, DPO, qualitĂ  e ricerca.
  2. Standardizzare i processi di pseudonimizzazione con strumenti e policy uniche per tutta l’azienda (non ogni reparto per conto suo).
  3. Documentare chiaramente gli usi secondari dei dati: quali dataset, per quali progetti di AI, con quali basi giuridiche.
  4. Formare il personale clinico su cosa cambia con la legge: molti progetti falliscono perché i medici non si fidano o temono rischi legali.
  5. Scegliere partner tecnologici che dimostrino competenze non solo sull’AI, ma su privacy, DPIA, sicurezza e gestione dei dati sanitari.

Ho visto più di una direzione sanitaria passare da totale diffidenza verso l’AI a una roadmap strutturata di progetti in 6-9 mesi, semplicemente cambiando modo di lavorare: meno improvvisazione, più governance dei dati.

5. Perché questa legge può aiutare davvero l’innovazione clinica

La percezione diffusa è che GDPR e regole sulla privacy frenino l’innovazione. In realtà, in sanità è vero spesso il contrario: i progetti di IA clinica che sopravvivono e scalano sono proprio quelli con basi giuridiche solide e una gestione rigorosa dei dati.

La legge 132/2025 va letta così: non come un ulteriore ostacolo, ma come un tentativo di dare finalmente un quadro chiaro a chi lavora su:

  • diagnosi assistita da AI;
  • predizione del rischio clinico;
  • supporto decisionale per terapie personalizzate;
  • ottimizzazione dei percorsi ospedalieri e della sanitĂ  territoriale.

Per la serie “IA nella Sanità Italiana: Innovazione Clinica”, questo tassello normativo è fondamentale: senza fiducia nei dati e nelle regole del gioco, nessun algoritmo verrà mai adottato davvero nella pratica clinica quotidiana.

Chi saprà combinare competenze cliniche, tecnologia di qualità e una governance dei dati matura avrà un vantaggio competitivo enorme nei prossimi anni. La domanda, ora, è chi deciderà di fare sul serio questo passo e chi resterà fermo a guardare.