AI Act europeo per la Pubblica Amministrazione italiana: guida completa a obblighi, scadenze e conformità

Entrato in vigore il 1° agosto 2024, rappresenta una svolta storica per tutte le organizzazioni che sviluppano o utilizzano sistemi di AI nell’Unione Europea – e la pubblica amministrazione italiana è in prima linea.

Ma cosa significa davvero per il tuo ente?

Quali sono gli obblighi concreti?

E soprattutto, come puoi adeguarti senza farti travolgere dalla complessità normativa?

L’AI Act non è una norma astratta destinata solo alle Big Tech. È un regolamento europeo direttamente applicabile in Italia, senza bisogno di leggi di recepimento, che impone obblighi precisi a chiunque utilizzi sistemi di intelligenza artificiale – e questo include tutte le pubbliche amministrazioni.

Se il tuo ente usa (o sta pensando di usare) AI per:

• Gestire graduatorie e assegnare servizi ai cittadini
• Selezionare personale o valutare prestazioni dei dipendenti
• Analizzare pratiche amministrative
• Fornire risposte automatizzate tramite chatbot
• Supportare decisioni in ambito sociale, educativo o sanitario

…allora l’AI Act ti riguarda direttamente. E gli obblighi sono già operativi.

Deployer, non solo fornitori: la PA è responsabile

Una distinzione fondamentale: l’AI Act non si rivolge solo a chi sviluppa sistemi di AI (i “fornitori”), ma anche a chi li utilizza.

Nel linguaggio del regolamento, sei un deployer ogni volta che la tua amministrazione usa un sistema di AI sotto la propria autorità.

Cosa significa? Che non puoi scaricare la responsabilità sul fornitore del software.

La conformità normativa, la valutazione del rischio e la tutela dei diritti dei cittadini ricadono anche – e soprattutto – su di te.

Come Pubblica Amministrazione che utilizza sistemi di intelligenza artificiale, hai responsabilità precise che vanno oltre la semplice acquisto del software.

Valutazione d’impatto: DPIA e FRIA

Per i sistemi ad alto rischio che trattano dati personali (praticamente tutti nella PA), devi effettuare:

• DPIA (Data Protection Impact Assessment) – Già prevista dal GDPR, diventa ancora più critica con l’AI. Devi valutare l’impatto del sistema sulla protezione dei dati personali, identificare i rischi e adottare misure di mitigazione.
• FRIA (Fundamental Rights Impact Assessment) – Valutazione dell’impatto sui diritti fondamentali. L’AI Act richiede di analizzare come il sistema può influenzare diritti come dignità, non discriminazione, protezione dei dati, libertà di espressione.

Le Linee Guida AGID (in consultazione nel 2025) forniscono template specifici per queste valutazioni, adattati alla realtà della PA italiana.

Trasparenza e informativa ai cittadini

Ogni volta che un cittadino interagisce con un sistema di AI nella tua amministrazione, ha diritto di saperlo. L’informativa deve essere:

• Chiara e comprensibile (no gergo tecnico)
• Tempestiva (prima dell’interazione)
• Completa (spiegare come funziona il sistema, quali dati usa, come influenza le decisioni)

Questo si integra con gli obblighi già previsti dal GDPR e dal D.Lgs. 33/2013 sulla trasparenza amministrativa.

Una mancata o inadeguata informativa può comportare invalidità degli atti amministrativi e responsabilità del funzionario.

Supervisione umana: il principio di non sostituzione

L’AI Act è chiarissimo su un punto: l’intelligenza artificiale deve supportare, non sostituire, la decisione umana.

Nella pratica questo significa:

• Un funzionario deve comprendere come il sistema AI è arrivato a un determinato output
• Deve avere la capacità effettiva di non seguire le raccomandazioni dell’AI
• Deve poter intervenire e correggere decisioni errate
• La responsabilità finale resta sempre in capo al dipendente pubblico

Non basta inserire un “timbro umano” pro forma su decisioni già prese dall’AI. La supervisione deve essere reale e consapevole.

Le Linee Guida AGID specificano che il personale incaricato deve possedere le competenze, l’esperienza e l’autorità necessarie per svolgere questa funzione in modo efficace.

Gestione dei rischi e monitoraggio continuo

L’adozione di AI non si esaurisce nell’acquisto e installazione. Devi:

• Monitorare le prestazioni del sistema nel tempo
• Rilevare anomalie e malfunzionamenti
• Segnalare incidenti gravi alle autorità competenti (AgID e ACN)
• Aggiornare la valutazione del rischio quando cambiano le condizioni operative

È un processo iterativo, non un adempimento una tantum.

La Legge italiana 132/2025 ha designato due autorità nazionali per l’intelligenza artificiale, ciascuna con un ruolo specifico e complementare.

AgID (Agenzia per l’Italia Digitale) assume il ruolo di promozione dell’innovazione e sviluppo dell’AI nel settore pubblico. Si occupa di definire linee guida operative per l’adozione, fornire supporto tecnico alle amministrazioni e agire come autorità notificante per gli organismi di valutazione della conformità.

In pratica, AgID ti aiuta a capire come adottare l’AI in modo corretto e conforme.

ACN (Agenzia per la Cybersicurezza Nazionale) ha invece funzioni di vigilanza del mercato e controllo della conformità. Dispone di poteri ispettivi e sanzionatori, verificando che i sistemi di AI utilizzati rispettino effettivamente le norme.

È l’autorità che interviene quando qualcosa non va.

Entrambe operano in coordinamento stretto: AgID ti accompagna nell’adozione responsabile fornendo strumenti e linee guida, mentre ACN vigila sul rispetto concreto delle regole.

Un modello che bilancia supporto e controllo, innovazione e sicurezza.

L’AI Act non opera in isolamento, ma si integra in un ecosistema normativo complesso che devi conoscere e rispettare nella sua interezza.

Il GDPR (Regolamento UE 2016/679) rimane il pilastro fondamentale per la protezione dei dati personali.

Quando usi sistemi di AI che trattano dati personali – e nella PA è praticamente sempre così – devi rispettare i principi di minimizzazione, trasparenza e responsabilità che il GDPR ha introdotto.

La DPIA diventa obbligatoria per tutti i trattamenti ad alto rischio, e l’AI Act si innesta su questi obblighi aggiungendo ulteriori livelli di protezione.

La Legge italiana 132/2025 rappresenta la prima legge nazionale organica sull’AI in Europa. Va oltre l’AI Act introducendo specificità per settori chiave come sanità, lavoro, pubblica amministrazione e giustizia.

Il principio antropocentrico che guida questa legge impone che l’AI resti sempre uno strumento di supporto, mai di sostituzione della decisione umana. La governance nazionale viene strutturata attraverso AgID e ACN, creando un sistema di controllo e supporto specifico per il contesto italiano.

Le Linee Guida AGID traducono i principi normativi in strumenti operativi concreti. Trovi template di valutazione d’impatto, indicazioni pratiche per la PA, best practice settoriali e casi d’uso reali. Sono il ponte tra la teoria normativa e la pratica quotidiana del tuo ente.

Il CAD (Codice dell’Amministrazione Digitale) completa il quadro con i principi generali che regolano la digitalizzazione della PA: il diritto all’uso delle tecnologie, la trasparenza e accessibilità dei servizi, la qualità dell’interazione digitale con i cittadini.

L’AI deve inserirsi in questo quadro più ampio senza contraddirlo.

Ogni normativa si sovrappone e si integra con le altre in un sistema complesso ma coerente.

Non puoi essere conforme all’AI Act ignorando il GDPR, così come non puoi rispettare la Legge 132/2025 senza considerare le indicazioni AGID.

La conformità è un puzzle in cui tutti i pezzi devono incastrarsi perfettamente.

Se tutto questo ti sembra complesso, hai ragione. Lo è.

Ma non devi affrontarlo da solo, e soprattutto puoi procedere in modo strutturato seguendo una roadmap chiara.

Il primo passo è fare un inventario completo dei sistemi di AI che state già usando. Non fermarti ai software evidenti: anche strumenti integrati in piattaforme acquistate possono rientrare nell’AI Act

Quel gestionale documentale che “suggerisce automaticamente” le categorie? Potrebbe essere AI.

Il chatbot del sito istituzionale? Sicuramente è AI.

Mappali tutti, senza eccezioni.

Una volta identificati i sistemi, devi classificare il rischio di ciascuno secondo le categorie dell’AI Act.

Un sistema è vietato? Ad alto rischio? A rischio limitato?

Questa classificazione determina quali obblighi specifici si applicano e con quale urgenza devi intervenire.

Il terzo passo è valutare le lacune tra la situazione attuale e gli obblighi normativi.

Confronta dove sei oggi con dove dovresti essere.

• Hai già fatto le DPIA necessarie?
• La documentazione tecnica è completa?
• I log vengono registrati correttamente?
• La supervisione umana è effettiva o solo formale?

Questo gap analysis ti dice esattamente cosa manca.

A questo punto puoi prioritizzare gli interventi. Non puoi fare tutto subito, e non devi.

Parti dai sistemi ad alto rischio, da quelli che impattano più cittadini, dai casi d’uso più critici per l’ente.

Crea un piano di azione realistico con scadenze concrete.

Ma ricorda: la conformità all’AI Act non è solo questione tecnica o legale.

Devi coinvolgere il personale che usa quotidianamente questi sistemi. I dipendenti devono capire come funziona l’AI, quali sono i rischi, come esercitare una supervisione umana efficace. Senza formazione adeguata, anche il miglior piano di conformità sulla carta fallisce nella pratica.

Infine, documenta tutto con attenzione maniacale.

Valutazioni d’impatto, decisioni prese, misure adottate, formazione erogata, incidenti rilevati e risolti.

La documentazione completa e aggiornata è la tua migliore protezione in caso di controlli da parte di AgID o ACN, ma è anche lo strumento che ti permette di dimostrare ai cittadini e agli organi di controllo interno che stai operando in modo responsabile.