Italiens KI‑Gesetz 132/2025: Ergänzung oder Vorbild für Brüssel?

Italien hat im Herbst 2025 ein klares Zeichen gesetzt: Mit der Verabschiedung von Gesetz Nr. 132/2025 legt Rom einen nationalen Rahmen für künstliche Intelligenz vor, der über EU‑Regeln hinausgehen will, aber gleichzeitig den EU‑AI‑Act anerkennt. Kurz: Es ist kein Alleingang, aber auch kein bloßes Echo aus Brüssel. Für Entwickler, Plattformbetreiber und Startups ändern sich dadurch Compliance‑Prioritäten – schnell und konkret. Im Text finden Sie eine praktische Einordnung: Was steht drin, welche Übergangsfristen gelten, wo drohen Konflikte mit dem EU‑Regelwerk, und ob andere EU‑Staaten folgen könnten.

Das Gesetz Nr. 132/2025 fasst eine Reihe von Zielen zusammen: Schaffung nationaler Regeln zur Nutzung von KI in sensiblen Bereichen, Förderung von Sicherheits‑ und Transparenzpflichten sowie die Möglichkeit, straf‑ und sektorspezifische Regeln zu erlassen. Der Wortlaut (Veröffentlichung in der Gazzetta Ufficiale am 25. September 2025) nennt klare Fristen für die Umsetzung: Die Regierung erhält Delegationen («decreti attuativi») mit üblichen Fristen von 12 Monaten; für einige sektorspezifische Normen sind bis zu 24 Monate vorgesehen. (Quelle: Gazzetta Ufficiale)

Neu ist eine strafrechtliche Komponente, die in der Praxis auffällt: Das Gesetz führt ein Delikt gegen die unautorisierte Verbreitung von mit KI erzeugten oder manipulierten Inhalten (häufig als «Deepfake» bezeichnet) ein, mit einer vorgesehenen Freiheitsstrafespanne von 1–5 Jahren. Damit geht Rom aktiv gegen manipulatives Material vor und signalisiert, dass bestimmte Arten von KI‑Einsatz nicht nur zivilrechtliche, sondern auch strafrechtliche Konsequenzen haben können. (Quelle: Gazzetta Ufficiale)

“Praktisch bedeutet das: Wer KI‑gestützte Inhalte verbreitet, muss künftig mit straf‑ und ordnungsrechtlicher Überprüfung rechnen.” — Gesetzestext und Behördenverlautbarungen

Parallel dazu intensiviert die Datenschutzbehörde Garante ihre Aufsicht: Bereits Anfang Oktober 2025 ergingen Maßnahmen gegen Dienste, die KI‑Bilder ohne ausreichende Schutzmechanismen verbreiten — ein Hinweis darauf, dass behördliche Praxis schnell folgen kann. Für Unternehmen heißt das: Identifizieren Sie jetzt Use‑Cases, dokumentieren Sie Datenflüsse und bereiten Sie technische Maßnahmen wie Watermarking und Labeling vor. Die Gesetzestexte sehen auch Fördermaßnahmen vor — etwa einen Fondsrahmen von rund 1 Mrd. € für KI‑Investitionen — doch die konkrete Ausgestaltung hängt von den anstehenden Decreti ab. (Quellen: Garante; Norton Rose Fulbright)

Auf den ersten Blick klingt vieles vertraut: Transparenz, Risikobewertung, Schutz fundamentaler Rechte — Schlagworte, die auch im EU AI Act stehen. Das italienische Gesetz positioniert sich als komplementär: Es will die EU‑Regeln ergänzen, nicht ersetzen. Gleichzeitig lässt der Text Raum für nationale Regeln in Sektoren wie Gesundheit, Justiz, Polizei und Finanzmarkt‑Aufsicht. Genau hier liegt der Knackpunkt.

Der EU AI Act ist ein Verordnungstext mit unmittelbarer Wirkung in allen Mitgliedstaaten; Ziel ist Harmonisierung. Italiens Ansatz hingegen nutzt nationale Zuständigkeiten, insbesondere dort, wo es um Strafrecht oder polizeiliche Praxis geht. Das Gesetz sagt zwar, dass es in Einklang mit dem EU‑Regelwerk stehen solle. In der Praxis aber können Decreti attuativi strengere sektorale Pflichten definieren — etwa detailliertere Anforderungen an Logging, Watermarking oder Prüfpflichten in Kliniken — ohne den allgemeinen Rahmen des AI Act zu brechen. (Quellen: Gazzetta Ufficiale; Norton Rose Fulbright)

Das Ergebnis: Es entstehen Bereiche mit doppeltem Regelwerk. Für Plattformbetreiber und internationale Entwickler heißt das konkret: Sie müssen nicht nur die EU‑Pflichten kennen, sondern auch nationale Vorgaben in Italien berücksichtigen — insbesondere, wenn der Einsatz in „sensitive“ Sektoren erfolgt. Hier drohen bürokratische Mehrkosten, aber auch Rechtsunsicherheit in der Übergangsphase bis zur Finalisierung der Decreti. Behörden in Rom und Brüssel dürften deshalb in den kommenden Monaten eng kooperieren müssen, um Überschneidungen zu glätten.

Ein praktischer Punkt: Straf‑ oder ordnungsrechtliche Vorgaben (z. B. das neue Deepfake‑Delikt) können zusätzliche Haftungsrisiken erzeugen, die über die Pflichten des AI Act hinausgehen. Unternehmen sollten daher Compliance‑Checks nicht allein am EU‑Regelwerk ausrichten, sondern nationale Risikofaktoren einrechnen. (Quelle: Norton Rose Fulbright; Altalex)

Italiens Gesetz eröffnet für Anbieter eine ambivalente Perspektive. Auf der positiven Seite steht ein klarer nationaler Markt mit gezielten Fördermaßnahmen und dem Versprechen, Innovation zu unterstützen. Wer früh Standards für Transparenz, Watermarking und Auditfähigkeiten implementiert, kann sich gegenüber Konkurrenten profilieren — sei es beim Verkauf an öffentliche Auftraggeber oder beim Zugang zu geförderten Programmen.

Auf der anderen Seite stehen erhöhte Compliance‑Kosten und neue Haftungsrisiken. Die Kombination aus EU‑Regeln und nationalen Strafnormen (etwa das Deepfake‑Delikt) kann dazu führen, dass Anbieter in Italien strengere Prüfmechanismen nachweisen müssen als in anderen EU‑Staaten. KMU könnten besonders betroffen sein: Nicht jede junge Firma hat die Ressourcen für umfangreiche technische Audits oder juristische Begleitung. Für internationale Anbieter wird die Frage wichtig, ob man italienische Nutzer auslagert, eigene lokale Compliance‑Teams aufbaut oder technische Einschränkungen in Produkte integriert.

Weitere Risikofaktoren sind datenschutz‑seitig relevant: Manche Forschungsvorhaben erhalten zwar Erleichterungen für pseudonymisierte Daten, doch Notifikationspflichten gegenüber der Datenschutzbehörde sowie strenge Vorgaben für sensible Bereiche erhöhen den administrativen Aufwand. Hinzu kommen mögliche Änderungen bei der Unternehmenshaftung (Modello 231), die in der Praxis noch ausgearbeitet werden müssen.

Kurzfristig heißt das für Anbieter: Priorisieren Sie Inventory & Risk Assessment, implementieren Sie klare Labeling‑ und Watermarking‑Regeln, und investieren Sie in Nachvollziehbarkeit (Logging, Audit Trails). Wer das leistet, reduziert nicht nur rechtliche Risiken, sondern kann auch Wettbewerbsvorteile erzielen — vor allem, wenn der italienische Markt stärker gefördert wird. (Quellen: Gazzetta Ufficiale; Norton Rose Fulbright; RiskCompliance)

Die Frage, ob Italien eine Blaupause für Brüssel oder andere Mitgliedstaaten ist, lässt sich nicht pauschal beantworten. Teile des Gesetzes sind stark national geprägt — etwa die strafrechtliche Reaktion auf manipulierte Inhalte und sektorale Vorgaben für Polizei, Gesundheit und Finanzmarkt. Solche Elemente sind nur schwer 1:1 übertragbar, weil Mitgliedstaaten unterschiedliche Justiz‑ und Verwaltungsstrukturen haben. Trotzdem hat die Legge 132/2025 mindestens drei Vorbild‑Aspekte, die für andere Staaten interessant sein könnten.

Erstens: Die Kombination von zivilrechtlichen Vorgaben mit expliziten strafrechtlichen Sanktionen sendet ein klares Signal gegen missbräuchliche Nutzung von KI. Staaten, die stärker auf Abschreckung setzen wollen, könnten diesem Vorbild folgen. Zweitens: Die verbindliche Delegation an die Exekutive mit klaren Fristen zeigt, wie man detailreiche technische Regeln zeitnah implementieren kann — vorausgesetzt, die Regierung nutzt die 12‑ bzw. 24‑Monats‑Fenster effizient. Drittens: Die Einbettung von Fördermaßnahmen (etwa ein Fondsrahmen von etwa 1 Mrd. €) kombiniert Regulierung mit Wachstumsförderung — ein Instrument, das politisch deckungsgleich mit Innovationszielen ist.

Gleichzeitig kollidiert das Modell mit dem Vertragsrechtlichen Ziel der EU‑Harmonisierung. Würden viele Mitgliedstaaten strengere nationale Sonderregeln einführen, könnte das Ziel des AI Act — ein einheitlicher Binnenmarkt für KI‑Systeme — verwässert werden. Deshalb ist zu erwarten, dass Brüssel und Rom Dialog suchen: Italien kann Impulse geben, etwa bei Deepfake‑Regeln oder Watermarking‑Standards, doch eine flächendeckende Kopie würde die Harmonisierung erschweren. Für Unternehmen bedeutet das: Beobachten, anpassen, mitreden. Stellungnahmen zu Entwürfen der Decreti attuativi werden in den nächsten 12 Monaten wichtig sein. (Quellen: Gazzetta Ufficiale; Norton Rose Fulbright; Altalex)

Italiens Gesetz Nr. 132/2025 setzt auf Kombination: Regelwerk, Strafrecht und Förderpolitik. Es ergänzt den EU AI Act, ohne ihn grundsätzlich auszubremsen, und schafft zugleich nationale Pflichten in sensiblen Bereichen. Die operative Wirkung hängt nun von den Decreti attuativi ab — und von der praktischen Durchsetzung durch Garante und andere Behörden. Für Unternehmen heißt das: aktiv werden, Risiko inventarisieren, Transparenz‑ und Labeling‑Standards implementieren.