Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

Regole

Legittimo per la PA usare agenti AI nei procedimenti? I dubbi legali

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

L’ingresso dell’IA nei procedimenti amministrativi apre una svolta che mette sotto pressione legalità, trasparenza e motivazione. Tra CAD, AI Act e giurisprudenza, emerge la necessità di un controllo umano effettivo e di nuove regole capaci di proteggere i diritti dei cittadini

Pubblicato il 1 apr 2026
Giovanni Manca

consulente, Anorc

archiviazione digitale, documenti, scrittura, dati Modello Oais; font; digitalizzazione contratti; obblighi fiscali professionisti; eidas atti esecuzione terzo lotto; valore probatorio pec; Genesis; low code; portafoglio europeo di identità digitale
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • La PA si confronta con l’avvento di agenti autonomi: l’istruttoria automatizzata e l’IA sollevano problemi di opacità e il CAD è inadeguato; l’AI Act impone trasparenza e supervisione umana per i sistemi ad alto rischio.
  • Diritti e principi (principio di legalità, obbligo di motivazione, contraddittorio) e il GDPR (art. 22) richiedono decisioni comprensibili e impugnabili; la responsabilità resta in capo alla PA e va contrastato il rischio di bias.
  • Riforme urgenti: obbligo di VIA, supervisione umana effettiva, registro pubblico degli algoritmi, organismo di controllo in coordinamento con AGID e Garante, e formazione obbligatoria per i funzionari.
Riassunto generato con AI

La pubblica amministrazione italiana si trova oggi dinanzi a una trasformazione senza precedenti: la progressiva sostituzione – o affiancamento – dell’attività istruttoria e decisionale umana con sistemi algoritmici e, più recentemente, con agenti dotati di intelligenza artificiale (IA) capaci di apprendimento automatico, ragionamento e azione autonoma. Questo fenomeno, spesso rubricato sotto l’etichetta di “istruttoria automatizzata”, solleva interrogativi giuridici di prima grandezza, che toccano i fondamenti stessi del diritto amministrativo.

L’automazione nell’amministrazione pubblica non è una novità assoluta: già negli anni Novanta del secolo scorso si discuteva di “informatizzazione” e di atti amministrativi prodotti con l’ausilio di sistemi informatici. La vera discontinuità è data oggi dall’autonomia cognitiva dei nuovi sistemi: un agente intelligente non si limita ad applicare meccanicamente una regola predefinita, ma può interpretare dati complessi, ponderare variabili, formulare raccomandazioni o adottare decisioni in modo sostanzialmente indipendente dall’intervento umano.

Competitività europea e sovranità, cosa manca davvero alle startup Ue

Il Quadro Normativo di Riferimento

Il Codice dell’Amministrazione Digitale (D.Lgs. 7 marzo 2005, n. 82, e successive modificazioni) rappresenta la principale cornice normativa in cui si inscrive l’utilizzo delle tecnologie digitali da parte delle pubbliche amministrazioni italiane. Tuttavia, esso è stato redatto in un’epoca in cui l’IA generativa e gli agenti autonomi erano ancora confinati alla fantascienza, e il suo adattamento alle nuove realtà applicative richiede un’azione interpretativa complessa ed attenta.

Il perimetro del CAD

Il CAD rappresenta una sorta di “costituzione digitale” della pubblica amministrazione italiana. Tra le disposizioni rilevanti ai fini del presente contributo si segnalano:

Art. 3-bis (Uso della telematica): sancisce il diritto dei cittadini e delle imprese a interagire con le PA in modalità digitale.
Art. 6 (Utilizzo della posta elettronica certificata): fissa standard vincolanti per le comunicazioni ufficiali.
Art. 20 e ss. (Documento informatico): regola il valore giuridico dei documenti digitali e delle firme elettroniche.
Art. 41 (Procedimento e fascicolo informatico): impone la gestione digitale del fascicolo di procedimento.
Art. 68 e 69 (Riuso dei programmi informatici): disciplina il riutilizzo e la condivisione del software tra PA.

Il CAD non contiene, allo stato, disposizioni esplicite sull’utilizzo di sistemi di IA nella funzione istruttoria o decisoria. Questa lacuna – che è al contempo una finestra interpretativa – impone di ricorrere ai principi generali del diritto amministrativo e al diritto europeo ai fini di ipotizzare come colmare il vuoto normativo.

Gli obblighi europei per i sistemi ad alto rischio: l’AI Act

L’AI Act, entrato in vigore nell’agosto 2024 con un’applicazione progressiva fino al 2027 (senza considerare le modifiche in corso con il cosiddetto Digital Omnibus), introduce una classificazione dei sistemi di IA in base al livello di rischio. Per le pubbliche amministrazioni, la disposizione di maggiore rilievo è l’art. 13 sull’obbligo di trasparenza e l’art. 14 sulla supervisione umana, che impongono che i sistemi di IA ad alto rischio – categoria in cui ricadono molti sistemi decisionali amministrativi – siano progettati e implementati in modo da consentire la comprensione e la revisione delle loro decisioni da parte di operatori umani.

L’Allegato III dell’AI Act include esplicitamente tra i sistemi ad alto rischio quelli impiegati da autorità pubbliche o per loro conto per determinare l’accesso a prestazioni e servizi pubblici, nonché per valutare il rischio e fissare prezzi assicurativi. Questa classificazione ha immediate conseguenze per i procedimenti amministrativi automatizzati: chi intende avvalersi di tali sistemi deve rispettare stringenti obblighi di registrazione, audit, trasparenza e supervisione umana.

La Legge 241/1990 e il Principio di Legalità

La Legge 7 agosto 1990, n. 241, sul procedimento amministrativo rimane il punto di riferimento fondamentale per valutare la legittimità dei procedimenti automatizzati. Il principio di legalità – in base al quale ogni esercizio del potere pubblico deve trovare fondamento in una norma giuridica – impone di verificare se le PA abbiano una specifica base normativa che le autorizzi a delegare funzioni istruttorie o decisive a sistemi algoritmici.

I Principi del diritto amministrativo alla prova dell’automazione

Uno dei nodi più critici dell’istruttoria automatizzata è rappresentato dall’opacità degli algoritmi di “machine learning”, fenomeno noto anche come “black box problem”. A differenza di un algoritmo deterministico tradizionale – in cui la logica decisionale è tracciabile passo per passo – un modello di apprendimento profondo (deep learning) produce output che non sempre sono ricostruibili attraverso percorsi inferenziali chiari.

Il Consiglio di Stato, con la nota sentenza n. 2270 del 2019 (caso MIUR/algoritmo di assegnazione dei docenti), ha affermato che l’algoritmo usato dalla PA deve essere “conoscibile” dal destinatario dell’atto, pena la violazione del principio di trasparenza e del diritto di difesa. La Corte ha stabilito che non è sufficiente rendere pubblico il codice sorgente: è necessario che la logica decisionale sia comprensibile, contestabile e verificabile.

Questa giurisprudenza pone un problema strutturale con l’IA generativa e con i modelli di linguaggio di grandi dimensioni (LLM): la loro opacità intrinseca potrebbe renderli incompatibili con il principio di trasparenza amministrativa, salvo l’adozione di tecniche di “explainable” AI (XAI) che rendano interpretabili le singole decisioni.

L’obbligo di motivazione dell’atto amministrativo

L’art. 3 della L. 241/1990 stabilisce che ogni provvedimento amministrativo deve essere motivato, con indicazione dei presupposti di fatto e delle ragioni giuridiche che lo determinano. L’obbligo di motivazione svolge una funzione di garanzia essenziale: consente al destinatario di comprendere le ragioni della decisione e di esercitare il diritto di difesa in sede giurisdizionale.

Quando la decisione è adottata – anche solo in parte – da un agente intelligente, la motivazione non può ridursi al mero rinvio all’output dell’algoritmo. La PA deve essere in grado di esplicitare, in termini giuridicamente comprensibili, le ragioni per cui il sistema ha raccomandato o prodotto quella specifica decisione. Una motivazione del tipo “la domanda è respinta perché il sistema di IA ha assegnato un punteggio inferiore alla soglia” è insufficiente: occorre indicare i parametri valutativi, i dati di input utilizzati e la logica applicata.

Contraddittorio e intervento umano effettivo

Gli artt. 7-10-bis della L. 241/1990 garantiscono ai privati il diritto di partecipare al procedimento, di presentare memorie e documenti, e di essere previamente informati dell’adozione di provvedimenti negativi (c.d. preavviso di rigetto). Questi istituti presuppongono un dialogo tra PA e cittadino che non può essere soppresso dall’automazione.

L’utilizzo di agenti intelligenti nell’istruttoria non esonera la PA dall’obbligo di garantire il contraddittorio: il sistema deve essere configurato in modo da consentire all’interessato di interloquire efficacemente con l’amministrazione, non solo con la macchina. Ciò implica che debbano essere previste procedure basate sull’intervento umano, ogni volta che il privato contesti le risultanze istruttorie automatizzate.

Istruttoria automatizzata, bias e sindacato del giudice

Il principio di imparzialità (art. 97 Cost.) impone che la PA agisca senza favoritismi né discriminazioni. I sistemi di IA, se addestrati su dati storici che riflettono disuguaglianze o pregiudizi pregressi, possono perpetuare e amplificare forme di discriminazione strutturale. Un sistema che addestra il modello su dati di accesso ai servizi pubblici raccolti in periodi di esclusione sociale potrà produrre output che svantaggiano sistematicamente determinate categorie di cittadini.

L’AI Act affronta questo problema imponendo obblighi di data governance (art. 10) e di valutazione dell’impatto sui diritti fondamentali. Le PA italiane che intendono avvalersi di sistemi ad alto rischio devono pertanto condurre preliminari analisi di impatto sui bias e prevedere meccanismi di audit periodico per monitorare la deriva discriminatoria del sistema nel tempo.

GDPR e Corte di giustizia UE

L’art. 22 del Regolamento (UE) 2016/679 (GDPR) sancisce il diritto dell’interessato a non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato quando essa produca effetti giuridici significativi o analoghi. Sebbene questo diritto sia temperato da eccezioni (tra cui la necessità contrattuale e l’autorizzazione normativa), esso pone un ulteriore vincolo per i procedimenti amministrativi completamente automatizzati.

La CGUE, nella sentenza Schrems II e nella successiva giurisprudenza in materia di profilazione, ha chiarito che il diritto a non essere soggetti a decisioni automatizzate deve essere interpretato in senso sostanziale e non meramente formale: non è sufficiente che nella catena decisionale vi sia un intervento umano “di facciata” se questo non si traduce in una revisione effettiva e significativa dell’output algoritmico.

Tipologie di procedimenti automatizzati e profili di legittimità

Il modello meno problematico sotto il profilo della legittimità è quello in cui il sistema di IA svolge funzioni puramente ausiliarie: raccoglie e organizza i dati, verifica la completezza della documentazione, segnala incongruenze, ma rimette la decisione finale a un funzionario umano. In questo schema, l’agente intelligente è assimilabile a uno strumento di supporto alle decisioni (Decision Support System) e non sostituisce il giudizio amministrativo.

Anche in questo modello, tuttavia, emergono profili critici: il funzionario umano può subire un’influenza cognitiva (automation bias) che lo porta ad accettare acriticamente le raccomandazioni del sistema. La PA deve pertanto prevedere procedure che garantiscano una revisione genuina e indipendente dell’output algoritmico.

Quando l’agente AI adotta il provvedimento

Più problematica è l’ipotesi in cui l’agente intelligente non si limita a supportare la decisione, ma la adotta in via definitiva. Questa fattispecie – che potremmo denominare “atto amministrativo algoritmico” – suscita dubbi sulla compatibilità con il principio di legalità, sulla imputabilità della responsabilità e sulla motivazione.

Sul piano della legalità, l’adozione di atti amministrativi da parte di un agente intelligente richiede una specifica autorizzazione normativa. Non è sufficiente la previsione generica del CAD sull’uso delle tecnologie digitali: occorre una norma che esplicitamente conferisca all’IA il potere di adottare provvedimenti con effetti giuridici sui destinatari.

Graduatorie, assegnazioni e atti di massa

Una categoria di procedimenti in cui l’automazione trova applicazione diffusa è quella dei provvedimenti di massa: graduatorie scolastiche e universitarie, assegnazione di risorse pubbliche, determinazione di imposte e contributi. In questi casi, l’uniformità del trattamento richiesta dal principio di imparzialità può sembrare un argomento a favore dell’automazione, ma la giurisprudenza ha chiarito che l’uniformità algoritmica non può essere ottenuta a scapito della verifica caso per caso.

Chi risponde della decisione algoritmica

Uno dei problemi più spinosi del diritto amministrativo digitale è la questione dell’imputabilità: chi risponde del provvedimento illegittimo adottato da un agente intelligente? Le possibili risposte sono molteplici: il funzionario responsabile del procedimento, l’ente pubblico che ha commissionato il sistema, il fornitore privato del software, o una combinazione di questi soggetti.

L’orientamento prevalente in dottrina e giurisprudenza è che l’imputazione giuridica rimanga sempre in capo all’amministrazione pubblica che ha adottato o convalidato il provvedimento. La PA non può liberarsi dalla propria responsabilità adducendo la “decisione autonoma” del sistema algoritmico: la scelta di avvalersi di quel sistema, e di non prevedere adeguati meccanismi di controllo, è di per sé una scelta amministrativa imputabile.

Accesso, ricorso e riesame effettivo

Il cittadino che si ritiene leso da un provvedimento adottato con l’ausilio di un agente intelligente dispone degli ordinari rimedi del diritto amministrativo: il ricorso gerarchico, il ricorso al TAR, e, nei casi previsti dalla Legge, il ricorso straordinario al Presidente della Repubblica. Tuttavia, l’esercizio effettivo di questi rimedi è condizionato dalla possibilità di conoscere e contestare la logica dell’algoritmo.

A questo si aggiunge il diritto di accesso ai documenti amministrativi (L. 241/1990 e D.Lgs. 33/2013) e il diritto di accesso civico generalizzato (il FoIA – Freedom of Information Act italiano), che consentono al cittadino di richiedere la documentazione tecnica relativa al sistema algoritmico utilizzato. La PA non può opporre il segreto industriale per sottrarre al controllo democratico il funzionamento dei sistemi utilizzati nell’esercizio delle funzioni pubbliche.

Istruttoria automatizzata e riforme per tutelare i cittadini

L’analisi condotta evidenzia l’urgenza di un intervento normativo organico che adatti il CAD e la L. 241/1990 alle sfide dell’istruttoria automatizzata. Si propongono le seguenti raccomandazioni:

Introduzione di un obbligo di «Valutazione d’Impatto Algoritmica» (VIA): analogamente alla valutazione di impatto ambientale, ogni PA che intenda avvalersi di sistemi di IA ad alto rischio dovrebbe essere tenuta a condurre preventivamente un’analisi dei rischi per i diritti fondamentali, pubblicando i risultati in un registro pubblico.
Principio di supervisione umana effettiva: la norma dovrebbe codificare il principio, già affermato in via giurisprudenziale, per cui ogni procedimento che produca effetti negativi su diritti soggettivi deve prevedere la revisione da parte di un funzionario umano che abbia il potere e la capacità effettiva di discostarsi dall’output algoritmico.
Obbligo di motivazione rafforzata: per gli atti adottati con il supporto di sistemi algoritmici, la motivazione dovrebbe indicare specificamente quali dati sono stati considerati dal sistema, con quale peso, e perché il funzionario responsabile ha ritenuto di condividere l’output prodotto.
Registro pubblico degli algoritmi in uso: ogni PA dovrebbe pubblicare in un registro accessibile l’elenco dei sistemi algoritmici utilizzati, con informazioni sullo scopo, sui dati di addestramento, sui meccanismi di controllo e sui risultati degli audit periodici.
Istituzione di un organismo di controllo per l’IA pubblica: in coordinamento con l’AGID e con il Garante per la protezione dei dati personali, dovrebbe essere istituita un’autorità (o una divisione specializzata di un’autorità esistente) con poteri di ispezione, sanzione e certificazione dei sistemi di IA utilizzati dalle PA.
Formazione obbligatoria dei funzionari: l’efficacia di ogni intervento normativo è condizionata alla capacità dei funzionari pubblici di comprendere e controllare i sistemi algoritmici. Occorre un piano nazionale di alfabetizzazione digitale specificamente orientato alla pubblica amministrazione.

Verso un equilibrio tra efficienza, diritti e controllo umano

L’istruttoria automatizzata e l’utilizzo di agenti intelligenti nei procedimenti amministrativi rappresentano una frontiera ineludibile dell’azione pubblica contemporanea. La velocità, la scalabilità e la potenziale uniformità delle decisioni algoritmiche possono, se correttamente governate, contribuire a una PA più efficiente ed equa.

Tuttavia, l’innovazione tecnologica non può procedere a discapito delle garanzie fondamentali dei cittadini: legalità, trasparenza, motivazione, partecipazione e imparzialità non sono ostacoli burocratici all’efficienza, ma espressioni dei valori costituzionali su cui si fonda lo Stato di diritto. La sfida del legislatore e dell’interprete è quella di trovare un equilibrio tra l’apertura all’innovazione e la tutela dei diritti, evitando sia la tentazione luddista del rifiuto tecnologico sia il rischio opposto di un’automazione selvaggia che esautori il cittadino dalla possibilità di comprendere e contestare le decisioni che lo riguardano.

Il CAD, nell’attesa di un aggiornamento organico che incorpori i principi dell’AI Act, deve essere interpretato alla luce dei principi costituzionali e della giurisprudenza del Consiglio di Stato, in modo da garantire che ogni agente intelligente che agisce per conto della pubblica amministrazione lo faccia nel rispetto della legge, del rispetto dei diritti dei cittadini e della missione pubblica che lo Stato è chiamato ad assolvere.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • regole ai Allucinazioni AI

  • innovazione legislativa

    Italia pioniera in normativa digitale AI: un'opportunità da cogliere

    09 Apr 2025

    di Andrea Tesei

    Condividi
  • AI gestione servizi IT; sistemi legacy gen AI agentic AI; AI investigazioni benchmark AI; AI antiriciclaggio;genAI legal tech; ai in azienda; ai codice appalti

  • approfondimento

    Tracciabilità dell’AI, ecco come la blockchain diventa layer di controllo dell’AI

    30 Gen 2026

    di Andrea Luciano e Marco Troglia

    Condividi
  • costruire relazioni solide con i clienti; super deduzione IA nella relazione clienti; customer relationship

  • Guida fiscale

    Super deduzione per nuove assunzioni in azienda, come funziona

    14 Lug 2025

    di Tiziano Bertolotti

    Condividi
0
Lascia un commento, la tua opinione conta.x