Il 20 marzo 2025 si è finalmente conclusa la fase di consultazione pubblica relativa alle “Linee Guida per l’adozione dei sistemi di Intelligenza Artificiale nella Pubblica Amministrazione” e relativi allegati(pubblicate con Determinazione 17 del 17 febbraio 2025). Un documento atteso, articolato e ambizioso che prova a strutturare le modalità di adozione dell’IA nelle PA facendo particolare attenzione agli aspetti di conformità normativa e impatto organizzativo.
Al termine del processo di revisione saranno poi adottate ai sensi dell’art. 71 del Codice dell’amministrazione digitale (CAD).
Non possiamo che riconoscere il merito di tale iniziativa. L’attenzione alle nuove tecnologie e il tentativo di costruire un quadro normativo solido rappresentano, invero, passi fondamentali per un’amministrazione che intende rimanere al passo con i tempi e che non può più permettersi di ignorare o non cogliere i benefici e le opportunità garantite da questa nuova rivoluzione digitale.
Il lavoro proposto, è giusto riconoscerlo, è serio, approfondito e articolato.
Le Linee Guida, infatti, offrono un impianto metodologico solido e una struttura completa, delineano cicli di vita, mappano rischi, richiamano valori. Parlano di etica, trasparenza, introducono KPI’s e, finalmente, considerano l’IA non solo come innovazione tecnologica, ma come un fenomeno giuridico, culturale e sociale.
La ricchezza teorica delle Linee Guida rappresenta, senza dubbio, un punto di forza: testimonia, infatti, la consapevolezza del legislatore rispetto alla complessità e alla delicatezza della materia. Tuttavia, provare a tipizzare in un documento unico questa complessità, a parere di chi scrive, favorisce il fianco ad alcune criticità che non possono essere sottovalutate. Un’analisi attenta del documento mette infatti in risalto ombre significative, che rischiano non solo di comprometterne l’efficacia, ma anche di trasformare quella che dovrebbe essere un’occasione di progresso in un nuovo fardello burocratico, rallentando invece che favorire l’innovazione.
Questo articolo si propone di analizzare tali ombre e ha l’intento di contribuire criticamente al miglioramento di uno strumento potenzialmente decisivo per il futuro dell’innovazione nella PA italiana.
Indice degli argomenti
Ambiguità giuridica e sovrapposizioni normative
Comincerei, innanzitutto, dalle questioni giuridiche. Le linee guida elencano puntualmente le normative e gli standard di riferimento offrendo un valido supporto per chi si approccia alla materia. Nonostante gli espliciti richiami al GDPR e all’AI Act non si può non notare una certa vaghezza sull’individuazione della base giuridica che dovrebbe legittimare l’uso dell’IA nelle pubbliche amministrazioni.
AgID, infatti, per l’individuazione della condizione di liceità fa esplicito riferimento al “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale” dell’Autorità Garante per la protezione dei dati personali richiamandone il contributo sulla valutazione dell’interesse pubblico rilevante e dei suoi presupposti. Resta però in capo alle amministrazioni il compito e la responsabilità di vagliare la rispondenza della propria attività alla complessa articolazione degli artt. 2-ter e 2 sexies del codice della privacy. Uno schema esemplificativo di un “test di necessità” avrebbe sicuramente guidato le PA verso scelte maggiormente consapevoli.
Non particolarmente felice, poi, sembra essere il richiamo al concetto di “legittimo interesse” così come spiegato dall’European Data Protection Board con il parere n. 28 del 17 dicembre 2024 soprattutto se consideriamo che tale condizione di liceità “non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.
Questa disattenzione crea un vuoto normativo pericoloso: norma di legge, di regolamento, atto amministrativo generale o necessità di adempiere ad un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri attribuiti? Su quale base giuridica dovrebbero fondarsi le amministrazioni per implementare sistemi di IA che trattano dati personali?
Infine, vale la pena rilevare che al momento in cui si scrive è in discussione anche un disegno di legge nazionale sull’IA. Il rischio che si paventa, quindi, è quello di una potenziale sovrapposizione o di eccessiva stratificazione tra livelli normativi che si affiancano all’AI act europeo e che nel loro contenuto rischiano di divergere, creare incertezza, e rendere difficile per le amministrazioni sapere cosa fare e cosa evitare.
Governance e responsabilità nelle linee Guida IA per la PA: un modello debole
Il secondo punto di criticità che mi sento di rilevare nel documento di AgID riguarda il modello di governance proposto e le connesse responsabilità.
Per cominciare, ad avviso di chi scrive, sarebbe stato necessario distinguere e differenziare le indicazioni per le PA che agiscono in qualità di fornitore da quelle in cui agiscono come deployer dei sistemi. La scelta di accorpare le due figure crea un pericoloso dibattito monodimensionale e non permette di definire adeguatamente quali sono le responsabilità connesse ai ruoli e i conseguenti adempimenti.
Mancano, inoltre, figure specifiche dedicate alla gestione dei sistemi di IA.
Il Responsabile per la Transizione Digitale (RTD) si ritrova così ad essere la figura centrale per la gestione dell’IA. Tuttavia, questa scelta solleva diversi interrogativi:
- gli RTD attualmente in servizio possiedono le competenze necessarie per valutare, coordinare e gestire tecnologie così avanzate? Anche volendo rispondere in modo affermativo a questa domanda, pur volendo credere che verranno attivati percorsi formativi specifici, ai quali si assoceranno budget robusti e l’affiancamento/supporto di esperti esterni, per fare un esempio concreto
- può un Segretario a scavalco di un piccolo comune che su di sé assomma anche il ruolo di RPCT, la reggenza degli affari generali etc., trovare il tempo necessario per accompagnare l’amministrazione all’uso consapevole di questi sistemi?
Un’altra grave mancanza riguarda la previsione di un audit indipendente sui sistemi adottati e di un piano strutturato per la gestione dei rischi e delle crisi. Senza un controllo esterno, imparziale e tecnicamente qualificato, come si può garantire che i sistemi di IA rispettino realmente i requisiti etici, tecnici e giuridici stabiliti? E poi, che succede se un algoritmo sbaglia? Se discrimina? Se subisce un attacco?
Un piano di emergenza dovrebbe costituire un requisito imprescindibile per qualsiasi amministrazione che intenda adottare queste tecnologie e le linee guida avrebbero dovuto perlomeno suggerirlo.
Sostenibilità economica e ambientale: grandi assenti
Venendo al terzo punto, colpisce la quasi totale assenza di riferimenti ai costi economici e agli impatti ambientali dell’adozione dell’IA. Non basta, infatti, una determina dirigenziale per implementare un sistema. Addestrare modelli, integrarli, mantenerli, alimentarli: tutto questo richiede risorse, infrastrutture, tempo, competenze, energia. Tanta energia. Parlare di trasformazione digitale senza considerare l’impatto ambientale significa ignorare metà della realtà. I sistemi più avanzati richiedono risorse computazionali significative, con relativi consumi energetici e impatti ambientali.
Le linee guida avrebbero dovuto includere considerazioni operative per un’adozione sostenibile, promuovendo soluzioni come i Small Language Models (SLMs), l’addestramento ottimizzato (few-shot learning), l’impiego di energie rinnovabili per i data center etc.
E a tal proposito sarebbe stato, inoltre, auspicabile richiedere alle amministrazioni un “piano dell’implementazione” magari da integrare nel PIAO che partendo dalla valutazione dei rischi, richiamasse i benefici attesi con i costi e gli impatti, garantendo un’innovazione realmente sostenibile nel lungo periodo.
Burocratizzazione e rischio di esclusione
Un documento nato per semplificare l’adozione dell’IA rischia di renderla più difficile. Le Linee Guida impongono una serie di adempimenti che possono risultare pesanti per le PA, in particolare quelle piccole, periferiche, sotto-finanziate.
L’approccio, inoltre, non tiene conto della diversa maturità digitale tra enti, della differenza numerica del personale, della differenza di competenze.
L’impostazione adottata appare rigida e poco flessibile, in contrasto con quella graduale basata sul rischio che caratterizza la normazione europea; la criticità evidente è quella di percepire le linee guida come un ulteriore strato burocratico in un sistema già appesantito da adempimenti formali, che irrigidisce le PA anziché favorire l’innovazione.
Questa rigidità rischia di penalizzare soprattutto le piccole amministrazioni con risorse limitate. I comuni minori, le scuole, le piccole aziende sanitarie potrebbero trovarsi nell’impossibilità pratica di rispettare tutti i requisiti o di rispettarli soltanto su carta, vedendosi di fatto escluse dalla possibilità di innovare attraverso l’IA.
Queste PA, rischiano di trovarsi risucchiate in un vortice di soluzioni commerciali “chiavi in mano” pronte all’uso.
In questi contesti, la gestione dell’IA potrebbe trasformarsi in un mero esercizio di deleghe a soluzioni opache, a servizi in abbonamento acquistati senza la piena consapevolezza delle loro implicazioni e spesso implementate con scarso o nessun controllo da parte degli stessi enti che dovrebbero utilizzarle.
Verrebbe quasi da dire “tanto bastano le autodichiarazioni di conformità”!
Sarebbe stata, ad avviso di chi scrive, auspicabile un’applicazione graduale delle linee guida, partendo da progetti pilota e sperimentazioni locali, accompagnate da un supporto concreto da parte delle istituzioni centrali come AGID o il Dipartimento per la Trasformazione Digitale.
Carenze tecniche e operative delle Linee guida per l’IA nella PA
Sul piano pratico, le linee guida mostrano diverse carenze che ne compromettono l’applicabilità. Mancano strumenti concreti come checklist, template o esempi pratici che potrebbero guidare le amministrazioni nell’implementazione dei sistemi di IA e anche quando si prova a fornire questi strumenti, la complessità e la vastità della materia impone una buona dose di astrattezza che di fatto non aiuta gli operatori.
Sorprende, inoltre, la scarsa attenzione all’interoperabilità e alla standardizzazione. Senza indicazioni chiare su questi aspetti, si rischia di privilegiare soltanto i grandi player del settore o di creare un ecosistema frammentato, con soluzioni isolate e incapaci di comunicare tra loro, vanificando uno dei principali vantaggi potenziali dell’adozione dell’IA nel settore pubblico.
Un altro aspetto trascurato riguarda l’adozione e il riuso di modelli di IA open-source. In un contesto di risorse limitate come quello della PA italiana, l’utilizzo di soluzioni aperte potrebbe rappresentare un’opportunità significativa, sia in termini economici che di controllo e trasparenza.
Le linee guida avrebbero potuto promuovere l’utilizzo di modelli open source da far girare su hardware locale, garantendo maggiore protezione dei dati e riducendo i costi legati all’utilizzo di servizi cloud proprietari.
In una prospettiva più ampia, sarebbe auspicabile la creazione di un ecosistema nazionale di IA open-source, con modelli addestrati su dati italiani e ottimizzati per le esigenze specifiche della PA. Un simile approccio rafforzerebbe la sovranità digitale del paese, riducendo la dipendenza da soluzioni straniere e favorendo lo sviluppo di competenze locali
Anche la valutazione del rischio presenta lacune significative. Concetti fondamentali come il “rischio sistemico” o la gestione dinamica del rischio nel tempo sono assenti, limitando la capacità delle amministrazioni di implementare sistemi realmente sicuri e affidabili.
Privacy e protezione dei dati: approccio superficiale
Le tematiche della privacy e della protezione dei dati personali, cruciali nell’implementazione di sistemi di IA, sono affrontate in modo superficiale. Il concetto di privacy by design, cardine del GDPR, è appena accennato, senza fornire indicazioni operative per la sua implementazione.
Similmente, non viene adeguatamente esplorato il ruolo dei dati sintetici come strumento di Privacy Enhancing Technology (PET), perdendo l’opportunità di promuovere soluzioni innovative per la protezione dei dati personali.
Le linee guida dovrebbero prevedere audit periodici e report di trasparenza pubblici, oltre a meccanismi di contestazione e spiegazione delle decisioni prese dai sistemi di IA. Questi elementi sono essenziali per garantire la fiducia dei cittadini, senza la quale qualsiasi innovazione tecnologica è destinata a incontrare resistenze.
Un’attenzione più esplicita dovrebbe, poi, riguardare i meccanismi per assicurare correttezza e trasparenza privilegiando opportunamente il principio di spiegabilità algoritmica.
Particolarmente grave, infine, è l’assenza di cautele specifiche sull’utilizzo di modelli di IA con dati giudiziari o sensibili, categorie che richiederebbero tutele rafforzate e approcci dedicati.
La dimensione etica nelle Linee Guida IA per la PA: teoria senza pratica
Le sezioni dedicate all’etica dell’IA, pur presenti, risultano astratte e teoriche, prive di strumenti operativi che permettano alle amministrazioni di tradurre i principi in pratiche concrete.
La mitigazione dei bias algoritmici, tema centrale nel dibattito etico sull’IA, riceve un’attenzione insufficiente. Le linee guida dovrebbero richiedere test specifici, sia preventivi che successivi all’implementazione, definire metriche di fairness e prevedere audit indipendenti per verificare l’assenza di discriminazioni.
Formazione e competenze per l’IA nella PA: un vuoto da colmare
E poi c’è la questione relativa alla formazione. L’implementazione di sistemi di IA nella PA richiede competenze specifiche che attualmente sono rare nel settore pubblico. Le linee guida riconoscono questa necessità richiamando le sezioni di Syllabus riguardanti l’apprendimento delle competenze digitali ma non forniscono un programma formativo dettagliato o KPI’s relativi all’apprendimento.
Sarebbe necessaria una tassonomia di competenze differenziate per i diversi ruoli coinvolti, dall’RTD ai funzionari che interagiranno quotidianamente con i sistemi di IA. La formazione dovrebbe privilegiare la formazione in presenza, includere laboratori pratici, casi d’uso e simulazioni, superando l’approccio teorico che spesso caratterizza l’aggiornamento professionale nella PA.
Inoltre, le linee guida dovrebbero prevedere strumenti per valutare l’efficacia della formazione, con indicatori di performance che permettano di monitorare il reale impatto dei percorsi formativi sulle competenze dei dipendenti pubblici.
Partecipazione e accessibilità: il cittadino al centro
Infine, le linee guida sembrano dimenticare che il fine ultimo dell’innovazione nella PA dovrebbe essere il miglioramento dei servizi ai cittadini. Non sono previsti meccanismi strutturati di partecipazione che permettano ai cittadini di esprimere opinioni e preferenze sulle scelte relative all’IA.
Forum pubblici, bilanci partecipativi, strumenti di feedback potrebbero colmare questa lacuna, garantendo che l’innovazione tecnologica risponda realmente ai bisogni della comunità.
Anche l’accessibilità dei sistemi di IA è sottovalutata. Le linee guida dovrebbero prevedere test specifici con screen reader, versioni audio dei contenuti e linguaggio semplificato, per garantire che le innovazioni tecnologiche non creino nuove barriere per le persone con disabilità o con limitate competenze digitali.
Verso un’adozione efficace dell’intelligenza artificiale nella pubblica amministrazione
Le Linee Guida per l’adozione di sistemi di Intelligenza Artificiale nella Pubblica Amministrazione rappresentano un primo passo importante verso la modernizzazione del settore pubblico italiano. La loro pubblicazione dimostra una crescente consapevolezza del potenziale trasformativo dell’IA e della necessità di un quadro normativo adeguato.
Tuttavia, come abbiamo visto, le criticità sono numerose e significative. Da un quadro giuridico ambiguo a un modello di governance debole, dalla mancanza di considerazioni sulla sostenibilità all’eccessiva burocratizzazione, le linee guida necessitano di una profonda revisione per diventare realmente efficaci.
L’auspicio è che i feedback raccolti durante la consultazione pubblica vengano attentamente considerati, portando a una revisione più operativa, flessibile e centrata sui bisogni reali delle amministrazioni e dei cittadini. Solo così l’IA potrà trasformarsi in uno strumento reale di innovazione e miglioramento dei servizi pubblici, anziché l’ennesimo adempimento formale destinato a rimanere sulla carta.
Il futuro digitale della PA italiana passa anche dalla capacità di costruire strumenti normativi che sappiano bilanciare rigore e flessibilità, visione e pragmatismo, ambizione e realismo. La sfida è complessa ma ineludibile, per un paese che non vuole rimanere ai margini della rivoluzione digitale in corso.
Il futuro dell’intelligenza artificiale nella pubblica amministrazione italiana
In definitiva, le Linee Guida toccano – in modo ancora troppo timido – il vero nodo: non se adottare l’IA nella PA (perché è inevitabile), ma come farlo senza trasformare uno strumento di progresso in una nuova forma di burocrazia digitale, impersonale e fuori controllo.
Servono competenze reali, processi trasparenti, standard chiari. Ma soprattutto serve una governance attenta, umana, consapevole, che metta al centro le persone, non la tecnologia.
L’intelligenza artificiale è qui per restare. Ma la vera sfida non è portarla negli uffici pubblici. La vera sfida è impedire che diventi un nuovo potere opaco, autoreferenziale, incontrollabile.
