Di Michele Mavino
Il Disegno di legge n. 1146 è stato approvato in via definitiva al Senato, e rappresenta il primo tentativo organico dell’ordinamento italiano di disciplinare l’intelligenza artificiale, recependo e attuando il Regolamento (UE) 2024/1689 (AI Act). Diverse disposizioni impattano in modo diretto sulla Pubblica Amministrazione (PA), sia come utilizzatrice di sistemi di IA, sia come soggetto regolatore e vigilante.
Utilizzo dell’IA da parte delle pubbliche amministrazioni (art. 14)
L’articolo 14 è centrale perché introduce un quadro di principi generali vincolanti per le PA:
- l’IA deve essere impiegata in funzione strumentale e di supporto all’attività provvedimentale;
- resta ferma la responsabilità esclusiva della persona fisica che adotta i provvedimenti amministrativi, preservando così il principio di personalità e imputabilità dell’azione amministrativa;
- l’uso dell’IA deve servire a migliorare efficienza, tempi dei procedimenti e qualità/quantità dei servizi erogati, garantendo al contempo trasparenza, tracciabilità e conoscibilità dei sistemi;
- le PA devono adottare misure tecniche, organizzative e formative per garantire un uso responsabile, sviluppando le competenze interne e gestendo i rischi.
Implicazione pratica: ogni amministrazione che intenda introdurre strumenti di IA dovrà adottare policy interne, protocolli operativi e percorsi formativi per i dipendenti, oltre a misure di trasparenza e accountability.
Piattaforme di e-procurement e acquisti pubblici (art. 5, lett. d)
Il DDL incide anche sulla gestione degli appalti pubblici: le piattaforme di e-procurement delle PA dovranno privilegiare soluzioni che:
- garantiscano la localizzazione dei dati strategici in data center nazionali (anche per disaster recovery e business continuity);
- assicurino elevati standard di sicurezza e trasparenza nei processi di addestramento e sviluppo dei modelli.
Implicazione pratica: le centrali di committenza e le stazioni appaltanti dovranno introdurre requisiti tecnici specifici nei capitolati di gara, per assicurare il rispetto di queste condizioni da parte dei fornitori.
Sicurezza nazionale e protezione dei dati (art. 6)
Pur escludendo dall’ambito della legge le attività di IA svolte per sicurezza nazionale da Forze armate, Forze di polizia e servizi di intelligence, la norma prevede che:
- i sistemi di IA destinati all’uso pubblico (salvo operazioni all’estero) debbano essere installati su server situati in Italia, per tutelare la sovranità e la sicurezza dei dati;
- ogni trattamento di dati personali effettuato da enti pubblici con sistemi di IA deve rispettare il Regolamento (UE) 2016/679 e il D.Lgs. 196/2003, con controlli del Garante per la protezione dei dati personali.
Governance centrale e coordinamento (artt. 19-20)
Il DDL istituisce una strategia nazionale per l’IA e designa due Autorità nazionali:
- l’Agenzia per l’Italia digitale (AgID) — responsabile per innovazione, sviluppo, notifica e monitoraggio della conformità;
- l’Agenzia per la cybersicurezza nazionale (ACN) — responsabile per vigilanza, ispezioni, sanzioni e profili di sicurezza.
Le due agenzie dovranno coordinarsi tra loro e con le altre amministrazioni tramite un Comitato di coordinamento presso la Presidenza del Consiglio dei ministri.
Uso dell’IA nel lavoro pubblico (artt. 11-12)
Il DDL disciplina anche l’uso dell’IA nell’organizzazione del lavoro:
- obbligo di informare i lavoratori sull’impiego dell’IA (in linea con D.Lgs. 152/1997);
- divieto di impieghi che possano ledere dignità, riservatezza o creare forme di discriminazione;
- istituzione di un Osservatorio nazionale per monitorare l’impatto dell’IA sul lavoro e promuovere la formazione.
Deleghe legislative per settori pubblici specifici (art. 24)
Il Governo riceve una delega ampia per:
- disciplinare in modo organico l’uso dei dati e algoritmi per l’addestramento dei sistemi di IA;
- adeguare la normativa nazionale all’AI Act;
- introdurre norme specifiche sull’uso di IA nell’attività di polizia e nella pubblica amministrazione;
- definire fattispecie penali e civili per l’uso illecito di sistemi di IA.
Nei prossimi mesi verranno emessi diversi decreti legislativi che definiranno regole puntuali sull’uso dell’IA nella PA, comprese eventuali responsabilità, requisiti di sicurezza e procedimenti autorizzatori.
