Autorizzare strumenti AI nella PA: l’RTD può (e deve) farlo?

“Posso autorizzare l’uso di ChatGPT? E Claude? E quel gestionale che il fornitore dice avere l’AI integrata?”

Queste domande le sento ogni settimana, sempre accompagnate dalla stessa preoccupazione: “E se poi succede qualcosa, di chi è la colpa?”

Capisco perfettamente il blocco psicologico: nessun RTD vuole essere quello che ha autorizzato lo strumento che poi ha creato problemi.

La tentazione è non esporsi, non dire né sì né no, far finta che la questione non esista.

Ma questa strategia ha un difetto fondamentale: non ti protegge affatto.

Anzi, ti espone di più.

Il silenzio non è neutralità, è rischio

Quando un dipendente usa ChatGPT per scrivere una determina e tu non hai mai detto nulla in merito, cosa succede se qualcosa va storto?

Non puoi dire “non sapevo”, perché ormai tutti sanno che questi strumenti vengono usati.

Non puoi dire “non avevo competenza”, perché l’AI Act e la Legge 132/2025 dicono chiaramente che il deployer, cioè chi usa il sistema AI, ha responsabilità precise.

E il deployer, nel caso della PA, è l’ente; quindi sei tu a dover governare la situazione.

Il problema si aggrava se consideri che molti fornitori stanno aggiungendo componenti AI ai loro gestionali: il protocollo “con AI”, la gestione documentale “potenziata da machine learning”, le determine “intelligenti”.

Ogni volta che accetti questi prodotti senza fare domande, stai implicitamente autorizzando l’uso di sistemi che potrebbero essere classificati ad alto rischio senza che tu lo sappia.

Cosa dice davvero la normativa sul ruolo dell’RTD

L’AI Act definisce obblighi precisi per il deployer di sistemi AI, in particolare per quelli ad alto rischio.

L’articolo 26 elenca cosa devi fare:

  • utilizzare i sistemi secondo le istruzioni del fornitore
  • assicurarti che i dati di input siano pertinenti
  • monitorare il funzionamento
  • segnalare rischi
  • garantire che chi supervisiona abbia le competenze necessarie
  • sospendere l’uso se emergono problemi

Per i sistemi ad alto rischio, l’articolo 27 aggiunge l’obbligo di condurre una valutazione d’impatto sui diritti fondamentali (FRIA) prima dell’adozione.

Non è un’opzione, è un requisito.

La bozza delle Linee Guida AGID rafforza questo punto: le PA devono verificare, prima dell’adozione, che i sistemi siano conformi ai requisiti dell’AI Act e devono chiedere ai fornitori di dimostrare questa conformità.

Obblighi del deployer nella PA

  • Fonte: Art. 26 e 27, AI Act (Reg. UE 2024/1689)
  • Classificazione: OBBLIGO
  • Livello certezza: ✅ Certezza normativa
  • Testo chiave: “I deployer di sistemi di IA ad alto rischio assicurano che le persone fisiche incaricate della supervisione umana del sistema abbiano la competenza, la formazione e l’autorità necessarie”

La soluzione intermedia che funziona

Nella mia esperienza con centinaia di enti, ho visto che la soluzione più efficace non è né autorizzare esplicitamente singoli strumenti, né vietarli.

C’è una via di mezzo che ti mette in protezione: comunicare che l’ente sta valutando e che nel frattempo la responsabilità dell’uso è individuale.

Questo significa far capire chiaramente ai dipendenti che quello che stanno facendo non è stato ancora regolamentato a livello di ente.

Qualsiasi iniziativa personale comporta una certa responsabilità diretta del singolo.

Non è uno scaricabarile, è la realtà dei fatti: se non hai autorizzato formalmente, chi usa lo strumento si assume il rischio.

Nel frattempo, però, devi costruire un processo per arrivare a decisioni consapevoli. Non puoi restare nel limbo per sempre.

Il processo di valutazione: 7 domande chiave

Le 7 domande per valutare uno strumento AI

  • Il sistema rientra nella definizione di AI dell’art. 3 AI Act?
  • Qual è la classificazione di rischio (inaccettabile, alto, limitato, minimo)?
  • Il fornitore fornisce documentazione tecnica completa?
  • È necessaria una DPIA (dati personali) o una FRIA (alto rischio)?
  • Quali sono le condizioni d’uso specifiche e i limiti?
  • Come viene documentata la decisione di autorizzazione/diniego?
  • Quali verifiche periodiche post-adozione sono previste?

Prima di autorizzare qualsiasi strumento AI, dovresti porti una sequenza di domande che ti permettono di valutare se e come procedere.

Primo: il sistema rientra davvero nella definizione di AI dell’AI Act? Molte cose che i fornitori chiamano “intelligenza artificiale” sono in realtà semplici automazioni basate su regole. Se non è AI secondo la definizione legale, non si applicano gli obblighi dell’AI Act.

Secondo: qual è la classificazione di rischio? L’AI Act distingue tra sistemi a rischio inaccettabile, alto, limitato e minimo. I primi sono vietati, i secondi richiedono obblighi stringenti, gli altri hanno requisiti più leggeri.

Terzo: il fornitore può fornire la documentazione tecnica prevista dalla normativa? Nome del sistema, funzione, versione, architettura, algoritmi usati, dati di addestramento, metriche di prestazione, rischi identificati.

Quarto: servono valutazioni d’impatto? Se il sistema tratta dati personali, serve una DPIA. Se è classificato ad alto rischio, serve una FRIA. Questi passaggi non sono opzionali.

Quinto: quali sono le condizioni d’uso specifiche? Anche quando autorizzi, devi definire cosa si può fare e cosa no. Non è un’autorizzazione in bianco.

Sesto: come documenti la decisione? Sia che tu autorizzi sia che tu neghi, devi motivare. La tracciabilità delle decisioni è fondamentale.

Settimo: quali verifiche periodiche prevedi? L’autorizzazione non è un atto che fai una volta e dimentichi. Devi monitorare nel tempo.

Quando decidi di non decidere, stai comunque decidendo

Io credo che il vero rischio per un RTD non sia autorizzare qualcosa che poi crea problemi, ma non avere un processo per prendere decisioni consapevoli.

Se autorizzi dopo aver fatto tutte le verifiche e qualcosa va storto, hai fatto il tuo lavoro.

Se non autorizzi, non denieghi, e lasci fare, stai abdicando al tuo ruolo.

La normativa ti dà gli strumenti per valutare: usali. L’AI Act definisce i criteri, la Legge 132/2025 stabilisce i principi, le Linee Guida AGID (anche nella versione bozza attuale) forniscono metodologie operative. Non devi inventarti nulla, devi applicare quello che c’è già.

Il percorso non è semplice, ma è tracciato.

Se vuoi capire nel dettaglio come l’AI Act si applica alla tua situazione di deployer pubblico, ho preparato una guida completa sulla pagina dedicata.

E se preferisci costruire insieme il tuo processo di valutazione, puoi partire dal supporto.

Scopri di più sul nostro servizio di affiancamento!

Home » Notizie e Pubblicazioni » Autorizzare strumenti AI nella PA: l’RTD può (e deve) farlo?