La bozza di Linee Guida AgID per l’adozione di Intelligenza Artificiale nella Pubblica Amministrazione: osservazioni sull’ ambito soggettivo di applicazione e p

La bozza di Linee Guida per l’adozione di Intelligenza Artificiale nella Pubblica Amministrazione (di seguito “Linee Guida”), attualmente in consultazione pubblica fino al 20 marzo 2025, predisposta dall’Agenzia per l’Italia Digitale (AgID) in attuazione del Piano Triennale per l’Informatica nella PA 2024-2026, definisce principi, regole e requisiti per l’utilizzo di sistemi basati sull’Intelligenza Artificiale all’interno della Pubblica Amministrazione. In particolare, il documento una volta emanato e salvo aggiustamenti, troverebbe applicazione nei confronti dei soggetti indicati dall’art. 2, comma 2, del D.lgs 7 marzo 2005 n.82 e successive modifiche ed integrazione (cd. Codice Amministrazione Digitale, CAD). Ai sensi dell’art. 2, comma 2, del CAD, si intendono per “Pubbliche Amministrazioni” (PA): 1) i soggetti di cui all’articolo 1, comma 2, del D.Lgs. n. 165/2001, vale a dire le Amministrazioni statali, incluse le scuole e le istituzioni educative, le Regioni, le Province, i Comuni, le Comunità montane, le unioni e consorzi tra enti locali, le Camere di commercio, industria, artigianato e agricoltura, e tutti gli altri enti pubblici non economici nazionali, regionali e locali; 2) le autorità amministrative indipendenti di garanzia, vigilanza e regolazione (ad esempio AGCOM, ARERA, ANAC, AGCM, ecc.); 3) le aziende e le società partecipate dalle Amministrazioni Pubbliche (in cui l’ente pubblico detenga una quota di partecipazione); 4) le società a controllo pubblico, vale a dire le società in cui una o più amministrazioni pubbliche esercitino, da sole o congiuntamente, poteri di controllo (direttamente o indirettamente); 5) i gestori di pubblici servizi: rientrano in questo novero sia le aziende totalmente pubbliche che gestiscono un servizio essenziale (ad esempio, trasporti ferroviari, raccolta rifiuti, distribuzione elettrica, servizio idrico integrato), sia le società miste (pubblico-privato) o private che, in forza di apposita concessione/affidamento/contratto di servizio, provvedono alla gestione di servizi di interesse collettivo (ad es. energia, trasporto pubblico locale, reti autostradali, telecomunicazioni, fornitura idrica, smaltimento rifiuti e così via). La nozione di “gestori di servizi pubblici” o “servizi di pubblico interesse” include pertanto operatori economici privati che, pur non essendo pubbliche amministrazioni in senso stretto, svolgono funzioni e attività rivolte alla collettività, regolate o controllate dall’ente pubblico. L’art. 2, comma 2, CAD, ricomprendendoli nella definizione di “PA” ai soli fini del CAD e delle Linee Guida AgID, fa sì che tali soggetti saranno anch’essi obbligati a rispettare gli indirizzi e gli adempimenti sulle soluzioni di Intelligenza Artificiale stabiliti dalla bozza delle Linee guida in questione una volta che saranno approvate ed emanate. Le Linee Guida mirano a fornire un quadro organico di regole, principi e procedure per l’acquisizione, l’implementazione, l’utilizzo e il monitoraggio di sistemi basati sull’Intelligenza Artificiale all’interno della Pubblica Amministrazione. In particolare, si evidenziano:

1) Ambito oggettivo: le disposizioni riguardano ogni fase del ciclo di vita di una soluzione di IA (dalla pianificazione e progettazione, fino al monitoraggio e alla dismissione), con particolare attenzione alla qualità e alla gestione dei dati utilizzati per addestrare e far funzionare i modelli di IA, al rispetto della normativa in materia di protezione dei dati personali (Reg. UE 679/2016 GDPR, e D.lgs 196/2003 Codice Privacy), alla conformità al Regolamento UE 2024/1689  sull’Intelligenza Artificiale (AI Act), soprattutto per i sistemi IA classificati “ad alto rischio”, alla sicurezza cibernetica, intesa come prevenzione di attacchi e protezione dell’intero sistema di IA, alla trasparenza, all’equità e all’inclusività dei risultati prodotti dai sistemi di IA.

2) Principi etici e di governance: il documento pone l’accento sulla necessità di assicurare che le soluzioni di IA siano affidabili (robustezza tecnologica e supervisione umana), trasparenti (con adeguati meccanismi di tracciatura e registrazione dei processi decisionali), non discriminatorie (mitigazione dei bias nei dati e negli algoritmi), responsabili (responsabilità finale in capo all’ente o all’operatore umano designato), etiche (rispetto dei diritti fondamentali e dei valori dell’UE, come delineato dalla Carta dei diritti fondamentali dell’Unione europea e dagli Orientamenti europei per un’IA affidabile).

3) Classificazione dei sistemi IA: viene recepita la logica dell’ AI Act che suddivide i sistemi di IA in classi di rischio crescente (rischio minimo, limitato, alto, inaccettabile). In sintesi, i sistemi “ad alto rischio” impongono adempimenti più stringenti (valutazione d’impatto, sorveglianza post-implementazione, misure di tracciabilità, ecc.), mentre i sistemi vietati o a rischio inaccettabile (ad esempio quelli che manipolano subdolamente il comportamento degli utenti o si basano su “social scoring”) non possono essere adottati.

4) Gestione e qualità dei dati: si definiscono standard e procedure per la raccolta, l’elaborazione e la conservazione dei dati, prevedendo analisi e pulizia dei dati per individuare eventuali distorsioni (bias) o anomalie, rispetto delle norme in materia di open data e interoperabilità, controlli e policy per la protezione dei dati, compresi sistemi di gestione degli accessi e protocolli di sicurezza.

5) Formazione e sviluppo delle competenze: le Linee Guida sottolineano l’importanza di formare il personale interno della PA (o dei gestori di servizi pubblici) per comprendere il funzionamento dei modelli di IA, essere in grado di monitorare e valutare i risultati prodotti dal sistema (supervisione umana), assicurare la corretta gestione dei dati nel rispetto del GDPR e delle regole nazionali di sicurezza.

6) Modello di adozione dell’IA: viene consigliato un approccio basato sul ciclo di miglioramento continuo (Plan-Do-Check-Act), con definizione di una strategia per l’IA coerente con la missione dell’Ente, analisi dei rischi e dei benefici, selezionando i casi d’uso più appropriati, valutazione del contesto normativo e delle risorse interne, piano di monitoraggio, auditing e aggiornamento costante del sistema di IA.

Nella bozza di Linee Guida vengono elencati alcuni adempimenti principali per Pubbliche Amministrazioni e gestori di servizi pubblici. Emerge anzitutto l’esigenza di definire una strategia interna sull’adozione dell’IA, coordinata dal Responsabile per la transizione digitale (RTD), che includa l’analisi delle risorse e competenze disponibili e la pianificazione degli interventi, nonché la formazione del personale per rafforzare le conoscenze in materia di Intelligenza Artificiale e protezione dei dati. Occorre poi assicurare la conformità normativa rispetto al CAD, al GDPR e all’AI Act, tenendo conto anche del quadro sugli appalti pubblici e della direttiva UE 2022/2555 (cd. NIS2). In caso di acquisizione o sviluppo di soluzioni IA, è necessaria una valutazione comparativa, verificando certificazioni e requisiti di sicurezza, con specifiche tutele contrattuali riguardanti responsabilità, robustezza del sistema e protezione dei dati. È inoltre richiesta la valutazione d’impatto sui diritti fondamentali valutazione d’impatto dei sistemi IA (Fundamental Rights Impact Assessment, FRIA), e la Data Protection Impact Assessment (DPIA), secondo quanto previsto dal GDPR, nonché un monitoraggio costante degli algoritmi, dei dati in ingresso e dei risultati prodotti per prevenire bias o effetti discriminatori, garantendo trasparenza e tracciabilità delle operazioni. A ciò si aggiunge l’obbligo di informare gli utenti quando interagiscono con sistemi IA, evidenziandone limiti e funzionalità, ed eventualmente fornire spiegazioni sulle ragioni delle decisioni automatizzate in situazioni a forte impatto sui diritti individuali. In termini di sicurezza cibernetica, vanno adottate misure adeguate al livello di rischio, proteggendo i dati di addestramento e integrando l’IA nelle strategie di sicurezza dell’ente in collaborazione con l’Agenzia per la Cybersicurezza Nazionale (ACN) e in coerenza con i requisiti della NIS2. Le nuove Linee Guida AgID, pur se ancora in forma di bozza, confermano la precisa volontà di regolamentare l’Intelligenza Artificiale in modo armonico e rigoroso nell’intero contesto della Pubblica Amministrazione.

La definizione estensiva di “Pubbliche Amministrazioni” contenuta nell’art. 2, comma 2, del CAD ricomprende, infatti, anche i soggetti privati e le società miste che gestiscono servizi di pubblico interesse in regime di concessione o di affidamento. Sul piano pratico, il documento impone: una chiara strategia di introduzione dell’IA; la predisposizione di idonei protocolli di valutazione del rischio (in particolare quando la soluzione è di “alto rischio” ai sensi dell’AI Act); il rispetto della normativa sulla protezione dei dati e delle regole di sicurezza cibernetica; l’adozione di principi di trasparenza, equità ed eticità, garantendo il coinvolgimento umano per la supervisione del sistema e la tracciabilità delle decisioni. In tal modo si assicura che lo sviluppo e l’uso dell’IA rispondano non solo a criteri di efficienza e innovazione, ma anche alla tutela dei diritti fondamentali dei cittadini, alla prevenzione di discriminazioni e al rafforzamento della fiducia verso la trasformazione digitale della Pubblica Amministrazione.

 https://www.agid.gov.it/sites/agid/files/2025-02/Linee_Guida_adozione_IA_nella_PA.pdf

Riproduzione riservata. 
Avv. Giuseppe Fiordalisi