A settembre 2025 l’Italia è diventata il primo paese europeo ad approvare una legge organica sull’intelligenza artificiale, anticipando l’attuazione completa dell’AI Act europeo. La legge 132/2025 introduce obblighi precisi su trasparenza, tracciabilità e responsabilità umana nei sistemi AI, con ricadute concrete su chi sviluppa siti web che integrano funzionalità di intelligenza artificiale.
La maggior parte delle agenzie web italiane non ha ancora fatto i conti con questa normativa. Ce ne siamo resi conto parlando con le agenzie con cui collaboriamo: quasi nessuna aveva mai valutato se i siti con chatbot o sistemi di raccomandazione che avevano sviluppato per i clienti rientrassero nel perimetro della legge. Non per negligenza, ma perché l’ecosistema di strumenti AI nel web sta crescendo così velocemente che molti siti includono già funzionalità regolamentate senza che nessuno lo abbia mai verificato.
Cosa dice la legge e perché riguarda le agenzie
La legge italiana sull’AI si fonda su tre principi fondamentali: utilizzo antropocentrico, trasparenza e sicurezza. In termini pratici, ogni sistema AI che prende o influenza decisioni che impattano gli utenti deve essere trasparente nella sua natura, tracciabile nei suoi processi e con una responsabilità umana identificabile.
Per un’agenzia web, questo non significa sviluppare sistemi AI complessi. Significa che i siti con chatbot automatizzati, sistemi di personalizzazione dei contenuti basati su AI, strumenti di raccomandazione prodotti o generatori automatici di contenuti devono rispettare requisiti di trasparenza che nella maggior parte dei casi non vengono considerati in fase di sviluppo.
Il principio di tracciabilità è quello più rilevante per chi sviluppa: il sistema deve essere in grado di spiegare perché ha preso una determinata decisione o mostrato un determinato contenuto. Non è un requisito tecnico da implementare a posteriori: è una scelta architetturale che va fatta in fase di progettazione.
Le funzionalità AI più diffuse sui siti WordPress e il loro status normativo
Lavorando su decine di siti WordPress ogni anno, vediamo l’integrazione di strumenti AI crescere in modo significativo nelle richieste delle agenzie con cui collaboriamo. Alcune di queste integrazioni rientrano chiaramente nel perimetro della normativa, altre sono in una zona grigia che vale la pena chiarire.
I chatbot automatizzati sono la funzionalità AI più richiesta. Qualche mese fa un’agenzia partner ci ha chiesto di integrare un chatbot su un sito ecommerce di un cliente nel settore moda. Il chatbot rispondeva a domande su taglie, materiali e politiche di reso in modo completamente automatizzato, senza mai identificarsi come sistema AI. Abbiamo dovuto spiegare all’agenzia che questo viola il principio di trasparenza della legge italiana: l’utente deve sapere che sta interagendo con un sistema automatizzato, non con una persona. Su WordPress si implementa con una disclosure esplicita nell’interfaccia del chatbot, non con una nota sepolta nella privacy policy.
I sistemi di raccomandazione prodotti nei siti ecommerce rientrano nel perimetro se usano modelli AI invece di semplici regole predeterminate. La differenza tecnica è sottile ma normativamente rilevante: un sistema basato su regole fisse non è un sistema AI, uno che apprende dai comportamenti degli utenti lo è. Su WooCommerce, molti plugin di “prodotti correlati” avanzati usano algoritmi di machine learning senza che né l’agenzia né il cliente lo sappia esplicitamente.
I contenuti generati con AI pubblicati sui siti dei clienti non richiedono disclosure nella maggior parte dei casi, a meno che riguardino aree sensibili come salute, finanza o informazione. Un articolo di blog generato con AI e revisionato da un umano non richiede etichettatura obbligatoria. Una guida agli investimenti o un contenuto medico generato con AI senza supervisione adeguata potrebbe invece richiedere una disclosure esplicita.
Cosa deve cambiare nel processo di sviluppo
Siamo incappati in questa situazione in modo diretto quando abbiamo iniziato a ricevere richieste di integrare funzionalità AI nei siti che sviluppiamo per le agenzie partner. Le prime volte ci siamo trovati a rispondere a domande che non avevamo mai posto sistematicamente: chi è responsabile delle decisioni che il sistema prende? L’utente sa con cosa sta interagendo? Come si documenta il processo?
Abbiamo quindi strutturato un set di domande che poniamo ora prima di integrare qualsiasi funzionalità AI in un sito: il sistema prende decisioni autonome che impattano l’utente? L’utente sa che sta interagendo con un sistema automatizzato? C’è un meccanismo per cui una persona fisica può rivedere o modificare le decisioni del sistema? I dati usati per alimentare il sistema rispettano il GDPR?
Se la risposta a queste domande non è chiara in fase di briefing, l’integrazione AI viene riprogettata prima dello sviluppo, non corretta dopo la consegna. Cambiare l’architettura di un sistema AI dopo che è live costa molto di più che progettarlo correttamente dall’inizio.
L’impatto su siti già pubblicati
La legge è entrata in vigore nel settembre 2025, il che significa che siti già pubblicati con funzionalità AI potrebbero non essere conformi. Non si tratta di una situazione emergenziale, ma di un’area da verificare.
Abbiamo fatto questa verifica su alcuni siti in manutenzione e il risultato è stato istruttivo: quasi tutti i siti con chatbot non avevano disclosure esplicita, due siti ecommerce usavano plugin di raccomandazione con algoritmi di machine learning non documentati, e un portale informativo pubblicava contenuti generati con AI senza alcuna indicazione in tal senso in un’area borderline come la salute.
Nessuno di questi era un caso di malafede: erano semplicemente situazioni in cui né l’agenzia né il cliente avevano mai valutato la questione perché nessuno aveva mai posto la domanda giusta.
Blurr include questa verifica nei piani di manutenzione per le agenzie partner che gestiscono siti con funzionalità AI: audit delle integrazioni presenti, valutazione del profilo di rischio normativo e implementazione delle modifiche necessarie. Si aggiunge naturalmente alla gestione della compliance GDPR che già includiamo nel piano annuale. Su blurr.it/servizi/ trovi come strutturiamo la compliance tecnica nei nostri piani di manutenzione.
Per approfondire come gestiamo la compliance GDPR e tecnica sui siti in manutenzione, leggi GDPR e privacy per siti web nel 2026.
FAQ
La legge italiana sull’AI si applica a tutti i siti web con funzionalità AI? Non a tutti con la stessa intensità. La normativa applica requisiti più stringenti ai sistemi AI ad alto rischio, definiti come quelli che impattano in modo significativo decisioni che riguardano persone fisiche in ambiti come salute, istruzione, occupazione e accesso a servizi essenziali. I chatbot di assistenza clienti e i sistemi di raccomandazione ecommerce rientrano in un profilo di rischio più basso, ma devono comunque rispettare i requisiti di trasparenza.
Un chatbot su un sito WordPress deve identificarsi come sistema AI? Sì, secondo la legge italiana 132/2025. Un sistema automatizzato che interagisce con gli utenti deve identificarsi chiaramente come tale. La disclosure deve essere esplicita e immediata nell’interfaccia di interazione, non sepolta nella privacy policy. È una delle modifiche più semplici da implementare ma anche una delle più frequentemente omesse sui siti già pubblicati.
I contenuti generati con AI pubblicati sul sito richiedono disclosure? Dipende dal contesto. Contenuti editoriali generali generati con AI e revisionati da un umano non richiedono etichettatura obbligatoria nella normativa attuale. Contenuti in aree sensibili come salute, finanza o informazione che potrebbero influenzare decisioni significative degli utenti richiedono maggiore attenzione. Il principio guida è la potenziale influenza sulla decisione dell’utente: più è alta, più la trasparenza è necessaria.
Quando le agenzie devono preoccuparsi concretamente di questa normativa? Adesso, per i siti nuovi che integrano funzionalità AI: le scelte architetturali vanno fatte in fase di progettazione. Per i siti esistenti: nell’ambito della prossima revisione annuale della compliance, verificando le funzionalità AI presenti e il loro profilo di rischio normativo. Il principio di non aspettare che emergano problemi prima di agire vale anche qui, come è già valso per il GDPR.