Il fornitore ti vende il gestionale “con AI”: come capire se è vero

“Protocollo AI”, “Gestione documentale AI”, “Determine AI”… Improvvisamente tutto quello che compri ha l’etichetta magica che giustifica un aumento del canone annuale.

Il fornitore ti presenta la nuova versione del gestionale con gli occhi che brillano: “Abbiamo integrato l’intelligenza artificiale, adesso fa tutto da solo.”

Tu annuisci, non capisci esattamente cosa sia cambiato, ma ti fidi.

E firmi il rinnovo con il prezzo maggiorato.

Fermati un attimo.

Quanta di quella roba è vera intelligenza artificiale, e quanta è marketing?

Io l’ho chiamato AI washing: prendere funzionalità che esistono da vent’anni, cambiargli nome, e venderle come innovazione rivoluzionaria.

E tu hai tutto il diritto, anzi il dovere, di smascherarlo.

La differenza tra automazione e intelligenza artificiale

Prima di tutto, chiariamo cosa non è intelligenza artificiale secondo la definizione dell’AI Act.

Una regola automatica che smista le email in cartelle diverse in base al mittente?

Non è AI, è un filtro che esiste da quando è nata la posta elettronica.

Un sistema che compila automaticamente dei campi prendendo dati da un altro database?

Non è AI, è un’integrazione software.

Un workflow che avvia procedure diverse in base a condizioni predefinite?

Non è AI, sono regole if-then.

L’AI Act all’articolo 3 definisce cosa sia un sistema di intelligenza artificiale: deve essere basato su macchina, deve operare con livelli di autonomia variabili, deve mostrare capacità di adattamento dopo l’addestramento, deve dedurre dagli input come generare output.

La parola chiave è adattamento: l’AI impara, si modifica, evolve.

Un filtro basato su regole fisse non lo fa.

Quando il fornitore ti dice “abbiamo aggiunto l’AI”, la prima domanda da fare è: “Il sistema impara e si adatta, o segue regole programmate?”

Se segue regole programmate, non è intelligenza artificiale e non dovrebbe essere venduto come tale.

La leva normativa che hai in mano

Quello che molti RTD non sanno è che l’AI Act e la Legge 132/2025 ti danno una leva potentissima per ottenere trasparenza dai fornitori.

Non sei tu a essere pignolo: è la legge a richiederlo.

E puoi usare questo argomento in modo molto efficace.

La bozza delle Linee Guida AGID lo dice chiaramente: le PA devono verificare che i fornitori abbiano assolto agli obblighi previsti, inclusa la documentazione tecnica relativa allo svolgimento di test e verifiche.

Non puoi accettare risposte vaghe tipo “il nostro sistema usa algoritmi avanzati di machine learning”: devi pretendere trasparenza sulle scelte tecniche che impattano sull’affidabilità e sicurezza del sistema.

Quindi quando il fornitore vuole soldi in più perché c’è scritto AI, puoi legittimamente rispondere: “Perfetto, mi serve la documentazione tecnica prevista dalla normativa Esattamente qual è la componente AI, come funziona, su quali dati è stata addestrata, quali test sono stati fatti”.

Non è un capriccio, è un obbligo di legge per loro fornirla e per te verificarla.

Obblighi di documentazione del fornitore

  • Fonte: Art. 11, AI Act + Bozza Linee Guida AGID
  • Classificazione: OBBLIGO (per fornitori)
  • Livello certezza: ✅ Certezza normativa
  • Testo chiave: “La documentazione tecnica deve contenere: nome, funzione, versione, architettura, algoritmi, dati di addestramento, metriche di prestazione, rischi identificati”

Le domande che smascherano l’AI washing

I segnali d’allarme (red flags)

Diffida del fornitore se:

  • Non sa rispondere sulla classificazione di rischio AI Act
  • La documentazione tecnica è “non disponibile” o “riservata”
  • Usa risposte vaghe come “algoritmi proprietari avanzati”
  • Non può indicare nessuna PA di riferimento verificabile
  • L’aumento di prezzo è sproporzionato rispetto alle nuove funzionalità

Nella mia esperienza, ci sono sette domande che ti permettono di capire immediatamente se stai parlando con un fornitore serio o con qualcuno che sta cercando di venderti fumo.

Te le elenco perché sono davvero il tuo strumento principale di difesa.

  • Il sistema rientra nella definizione di AI dell’articolo 3 dell’AI Act? Se il fornitore tentenna o non sa rispondere, è un segnale.
  • Qual è la classificazione di rischio del sistema secondo l’AI Act? Se non sa cos’è la classificazione di rischio, sta vendendo qualcosa che non conosce.
  • Può fornire la documentazione tecnica prevista dall’articolo 11? Se risponde “è riservata” o “non è disponibile”, problema grosso.
  • Quali dati sono stati usati per l’addestramento? Questa domanda spesso li mette in difficoltà perché non c’è stato nessun addestramento.
  • Quali test di accuratezza e bias sono stati condotti? Se non sanno cosa sia un test di bias, non hanno un sistema AI serio.
  • È usato da altre PA italiane verificabili? Se non possono darti riferimenti, sei la loro cavia.
  • Come gestisce i dati personali inseriti dagli utenti? Questa domanda è fondamentale per la compliance privacy.

Un caso reale: quando l’AI è sparita dall’etichetta

Ti racconto cosa è successo con un ente con cui ho lavorato.

Il fornitore proponeva un “protocollo AI” con un aumento di canone significativo.

Abbiamo fatto le domande giuste, chiesto la documentazione, voluto capire cosa facesse davvero questa componente AI.

Alla fine è emerso che si trattava di un sistema di smistamento automatico basato su regole: se il mittente è X, il documento va nella cartella Y; se nell’oggetto c’è la parola Z, si avvia il workflow W.

Esattamente quello che i sistemi di protocollo fanno da sempre, con qualche regola in più.

L’ente ha deciso comunque di prendere il prodotto perché le nuove funzionalità erano utili, ma ha fatto una cosa importante: ha chiesto al fornitore di togliere “AI” dall’etichetta commerciale.

Non perché fosse illegale venderlo così, ma perché era fuorviante.

Il fornitore ha accettato e ora lo vende come “protocollo avanzato”, che è una descrizione molto più onesta di quello che fa.

Proteggerti non significa bloccare l’innovazione

A mio avviso, fare queste verifiche non è un modo per complicare la vita ai fornitori o per bloccare l’innovazione nella tua PA.

È semplicemente fare il tuo lavoro di deployer responsabile: capire cosa stai adottando, verificare che sia conforme, assicurarti che il prezzo sia giustificato dalle funzionalità reali.

I fornitori seri apprezzeranno le tue domande perché dimostrano che sai di cosa stai parlando.

Quelli meno seri cercheranno di glissare, di rispondere in modo vago, di farti sentire inadeguato.

Non cascarci: le domande sono legittime, le risposte sono obbligatorie.

Se vuoi approfondire i tuoi obblighi come deployer e capire come l’AI Act impatta sulle tue scelte di acquisto, ho preparato una guida completa sulla pagina dedicata all’AI Act nella PA.

E se vuoi costruire insieme una checklist personalizzata per le tue valutazioni dei fornitori, puoi partire dal supporto.

Scopri di più sul nostro servizio di affiancamento!

Home » Notizie e Pubblicazioni » Il fornitore ti vende il gestionale “con AI”: come capire se è vero