Legge 132/2025 e AI in sanità: cosa cambia per ospedali, farmacie e aziende farmaceutiche

Cosa prevede la Legge 132/2025

La Legge 132/2025 recepisce e integra il Regolamento europeo sull'AI (AI Act, Regolamento UE 2024/1689) nel contesto normativo italiano. Introduce un quadro di governance specifico per i sistemi AI utilizzati in ambito sanitario, classificandoli come sistemi ad alto rischio ai sensi dell'Articolo 6 dell'AI Act.

Per le organizzazioni sanitarie, i punti chiave includono: l'obbligo di documentare l'intero ciclo di vita del sistema AI (dalla progettazione al deployment), la necessità di mantenere un registro dei rischi aggiornato, e requisiti stringenti sulla supervisione umana degli output generati da modelli linguistici in contesti clinici.

Implicazioni per chi compra AI in sanità

Per ospedali, ASL, catene di farmacie e aziende farmaceutiche, la Legge 132/2025 introduce tre vincoli operativi immediati:

• Data residency verificabile: i dati sanitari processati da sistemi AI devono risiedere in infrastrutture con garanzie documentabili di residenza nell'UE. Questo esclude di fatto i deployment su cloud pubblico senza contratti specifici di data residency.
• Governance degli output: ogni output generato da un sistema AI in contesto clinico deve essere tracciabile, auditabile e soggetto a supervisione umana qualificata. Non basta un disclaimer: serve un'architettura che implementi questi controlli by design.
• Uso secondario dei dati: l'utilizzo di dati sanitari per addestrare o affinare modelli AI richiede basi giuridiche specifiche e misure di anonimizzazione o pseudonimizzazione documentate.

Come Nexus MDS Core risponde a questi requisiti

Nexus MDS Core è stato progettato con questi vincoli normativi come requisiti di architettura, non come feature aggiunte a posteriori. In pratica:

• Deployment on-premise: l'intera piattaforma gira su infrastruttura controllata dall'organizzazione. Nessun dato attraversa confini giurisdizionali. Zero dipendenza da hyperscaler.
• Audit trail end-to-end: ogni interazione con il sistema — query, risposta, fonte utilizzata, modello invocato — è tracciata in un log immutabile, accessibile per ispezioni regolamentari.
• Pipeline GDPR-compliant: anonimizzazione dei dati personali all'ingestion, crittografia at-rest e in-transit, autenticazione Zero-Trust con Keycloak OIDC/PKCE.
• RAG grounded: il sistema RAG utilizza esclusivamente fonti documentali curate e verificate, eliminando il rischio di hallucination su contenuti clinici.

Tempistiche e scadenze

La Legge 132/2025 si inserisce in un calendario normativo già denso. Le organizzazioni sanitarie e farmaceutiche devono orientarsi tra scadenze sovrapposte:

• Febbraio 2025: entrata in vigore dei divieti assoluti dell'AI Act (pratiche di AI vietate, Art. 5).
• Agosto 2025: obbligo di conformità per i modelli di AI general-purpose (GPAI) ai sensi dell'AI Act (Art. 51-56).
• Settembre 2025: pubblicazione della Legge 132/2025 in Gazzetta Ufficiale, con entrata in vigore immediata per le disposizioni principali.
• Agosto 2026: piena applicabilità degli obblighi per i sistemi AI ad alto rischio ai sensi dell'AI Act (Allegato III), che include esplicitamente i sistemi AI in ambito sanitario.
• Ottobre 2027: scadenza per la conformità ai requisiti dell'AI Act per i sistemi AI integrati in dispositivi medici e diagnostici in vitro.

Il messaggio per le organizzazioni sanitarie è chiaro: la finestra per adeguarsi non è di anni, ma di mesi. Chi avvia oggi un progetto AI in sanità deve progettarlo nativamente per la conformità, non pianificare un adeguamento successivo.

Confronto con il quadro europeo

La Legge 132/2025 non sostituisce l'AI Act — lo integra nel contesto italiano. La distinzione è importante: l'AI Act stabilisce il quadro generale (classificazione del rischio, obblighi per fornitori e deployer, governance dei modelli GPAI), mentre la legge italiana aggiunge specificità nazionali.

Le principali integrazioni italiane riguardano:

• Autorità nazionale: l'AgID (Agenzia per l'Italia Digitale) e il Garante Privacy assumono ruoli di vigilanza specifici sui sistemi AI, con poteri di ispezione e sanzione.
• Sanità pubblica: requisiti aggiuntivi per i sistemi AI utilizzati nel SSN (Servizio Sanitario Nazionale), inclusa la necessità di interoperabilità con il Fascicolo Sanitario Elettronico (FSE).
• Formazione professionale: obbligo di formazione specifica per il personale sanitario che utilizza sistemi AI in contesti clinici — un requisito che va oltre quanto previsto dall'AI Act.

Per le aziende farmaceutiche, la combinazione di AI Act, Legge 132/2025, GDPR e NIS2 crea un quadro normativo che rende l'infrastruttura AI sovrana non una scelta tecnologica, ma una necessità di compliance. Le organizzazioni che continuano a operare su cloud pubblico senza contratti specifici di data residency si espongono a rischi regolamentari crescenti. Per approfondire le implicazioni specifiche per il settore sanitario, vedi il nostro focus su AI on-premise per la sanità.

Conclusione

La Legge 132/2025 non è un ostacolo all'innovazione AI in sanità — è un quadro che rende espliciti requisiti che le architetture AI avrebbero dovuto soddisfare comunque. Per le organizzazioni che stanno valutando piattaforme AI, la domanda da porsi non è più "quale modello linguistico usare" ma "quale infrastruttura mi permette di usarlo in modo conforme, sovrano e verificabile".