Spiegabilità Algoritmica: Obblighi della Legge 132/2025 e come Documentarla

Fonti: Legge 23 settembre 2025, n. 132, Art. 1 e delega al Governo · GDPR Art. 22 — Processo decisionale automatizzato · AI Act Art. 13 — Trasparenza e informazione · ICT Security Magazine — Legge 132/2025 e regime sanzionatorio IA · EDPB — Guidelines on automated decision-making

La Legge 132/2025, entrata in vigore il 23 settembre 2025, è il primo atto organico della legislazione italiana in materia di intelligenza artificiale. Tra le sue disposizioni più operative e immediatamente azionabili dagli interessati, l'obbligo di spiegabilità algoritmica rappresenta la novità con il maggiore impatto quotidiano per le aziende che utilizzano AI nei processi decisionali che riguardano le persone: accesso al credito, selezione del personale, erogazione di servizi, determinazione delle tariffe assicurative. Per il quadro integrato in cui si inserisce questo obbligo, si veda la guida alla valutazione integrata DPIA+FRIA per sistemi AI. Per il dettaglio sulla DPIA da condurre su questi sistemi, si veda la guida alla DPIA per sistemi AI checklist e template.

Cos'è la spiegabilità algoritmica e perché è diversa dalla trasparenza

La spiegabilità (in inglese: explainability) è la capacità di articolare in termini comprensibili il ragionamento seguito da un sistema AI per arrivare a una specifica conclusione. Non coincide con la trasparenza: un sistema può essere trasparente (informare che esiste e come funziona in generale) senza essere spiegabile (giustificare ogni singola decisione).

Il diritto alla spiegazione già esisteva nel GDPR (Art. 22, par. 3): chiunque sia soggetto a una decisione basata esclusivamente su trattamento automatizzato con effetti giuridici o analoghi significativi ha diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione. La novità della Legge 132/2025 è duplice: estende l'obbligo di spiegabilità oltre il perimetro del GDPR (anche a decisioni non "esclusivamente automatizzate" ma in cui l'AI ha un ruolo determinante) e impone che la spiegazione sia accessibile attivamente, non solo su richiesta.

A chi si applica l'obbligo di spiegabilità

La Legge 132/2025 si applica a chiunque utilizzi sistemi AI nell'esercizio di attività professionali, commerciali o della pubblica amministrazione per produrre decisioni o raccomandazioni che incidono su persone fisiche. I settori con applicazione più immediata sono:

Settore finanziario. Banche, finanziarie e istituti di pagamento che utilizzano modelli di credit scoring, antifrode o valutazione del rischio. Quando un algoritmo contribuisce alla decisione di negare un prestito o bloccare una transazione, l'interessato ha diritto a una spiegazione specifica: non "il nostro modello ha valutato negativamente il tuo profilo", ma i fattori che hanno inciso sulla decisione e il loro peso relativo.

Selezione del personale. Piattaforme HR-tech e aziende che utilizzano AI per lo screening iniziale dei candidati. Il candidato escluso ha diritto di sapere quale caratteristica del suo profilo ha prodotto l'esclusione e se quella valutazione è stata effettuata da un sistema automatizzato o da un essere umano.

Assicurazioni. Sistemi di pricing dinamico e risk assessment che personalizzano le tariffe. La persona assicurata deve poter comprendere perché la propria tariffa è più alta rispetto a un parametro di riferimento.

Pubblica amministrazione. Qualsiasi sistema AI utilizzato da enti pubblici per decisioni su pratiche, accesso a servizi o assegnazione di risorse.

Cosa deve contenere una spiegazione conforme alla Legge 132/2025

La spiegazione non è un disclaimer generico sull'uso dell'AI: deve essere specifica per la singola decisione, comprensibile per il destinatario (senza richiedere conoscenze tecniche) e comunicata in modo accessibile.

Gli elementi minimi di una spiegazione conforme sono:

1. I fattori che hanno influenzato la decisione. Per i modelli di credit scoring: quali variabili (storia creditizia, rapporto debito/reddito, comportamento sui pagamenti) hanno avuto il peso maggiore nella valutazione negativa. Per i sistemi di recruiting: quali caratteristiche del curriculum o del profilo sono state valutate come non corrispondenti ai requisiti.

2. Il peso relativo dei fattori. Non basta elencare le variabili: va indicato quale ha avuto il maggiore impatto. "Il principale fattore che ha influenzato la valutazione negativa è stato X" è una spiegazione; "abbiamo valutato diversi parametri" non lo è.

3. La possibilità di contestare e richiedere revisione umana. La spiegazione deve includere informazioni concrete su come l'interessato può contestare la decisione, richiedere la revisione da parte di un essere umano e ottenere un riesame.

4. Il ruolo dell'AI nella decisione. Se la decisione finale è stata adottata da un essere umano ma sulla base di una raccomandazione algoritmica, la spiegazione deve indicarlo. "Un sistema AI ha prodotto una raccomandazione che è stata seguita da un operatore" è più trasparente della sola decisione finale.

Come documentare la spiegabilità nei sistemi AI

La documentazione della spiegabilità serve sia per l'adempimento verso gli interessati (produrre spiegazioni su richiesta) sia per dimostrare la conformità in sede di ispezione o due diligence.

A livello tecnico: adottare o configurare il sistema AI con funzionalità di explainability integrate. I principali approcci sono:

• SHAP (SHapley Additive exPlanations): attribuisce a ciascuna variabile il contributo alla singola decisione; adatto per modelli tabulari di credit scoring e recruiting
• LIME (Local Interpretable Model-agnostic Explanations): genera spiegazioni locali per singole previsioni; adatto per modelli complessi
• Attention weights (per LLM): nei modelli linguistici, evidenzia le porzioni dell'input che hanno avuto maggiore peso nell'output
• Contraffattuali: spiegazioni del tipo "la decisione sarebbe stata diversa se X fosse stato Y"; particolarmente intuitive per gli utenti finali

A livello documentale: predisporre un "registro delle spiegazioni" che conservi, per ciascuna decisione rilevante: il timestamp, gli input forniti al sistema, l'output prodotto, i fattori di spiegabilità generati dal sistema, e l'eventuale intervento umano successivo. Questo registro è la prova documentale dell'adempimento in caso di contestazione.

A livello organizzativo: formare il personale di front-end e customer service a comunicare le spiegazioni agli interessati in modo comprensibile, e a gestire le richieste di revisione senza pressione commerciale a mantenere la decisione algoritmica.

Le sanzioni per l'assenza di spiegabilità

La Legge 132/2025 ha delegato il Governo a emanare, entro 12 mesi dall'entrata in vigore, un corpus sanzionatorio specifico per le violazioni degli obblighi AI in Italia. In attesa dei decreti attuativi, l'assenza di spiegabilità può già essere sanzionata attraverso:

• GDPR Art. 22: per i casi in cui la decisione è esclusivamente automatizzata con effetti giuridici, il Garante Privacy può sanzionare fino al 4% del fatturato globale annuo
• AI Act Art. 13 e 26: per i sistemi ad alto rischio che non rispettano i requisiti di trasparenza e informazione, sanzioni fino a 15 milioni di euro o il 3% del fatturato
• Diritto civile: il soggetto che ha subito un danno da una decisione algoritmica opaca può agire per risarcimento danni ai sensi delle norme generali sulla responsabilità civile, con un regime probatorio che tende a invertire l'onere della prova sul fornitore del sistema

Articolo aggiornato al 27 maggio 2026. La Legge 132/2025 citata è la Legge 23 settembre 2025, n. 132. Il corpus sanzionatorio specifico è in fase di elaborazione tramite decreti attuativi delegati. Per supporto specifico, contatta lo studio.