Intelligenza artificiale nella Pubblica Amministrazione: domande frequenti

Le scadenze più rilevanti per la pubblica amministrazione italiana derivano da due fonti: il Regolamento UE 2024/1689 (AI Act), entrato in vigore il 1° agosto 2024, e la Legge 132/2025, entrata in vigore il 10 ottobre 2025.

Per l’AI Act le date che il tuo Ente deve tenere a mente sono:

• 2 febbraio 2025: applicazione dei divieti su pratiche di IA proibite (Capitolo II) e obbligo di alfabetizzazione del personale (articolo 4)
• 2 agosto 2025: applicazione degli obblighi sui modelli di IA per finalità generali (GPAI) e nomina delle autorità nazionali competenti
• 2 agosto 2026: applicazione generale del Regolamento, con particolare riferimento agli obblighi sui sistemi ad alto rischio, alcuni dei quali sono molto rilevanti per la PA (settore istruzione, lavoro, accesso a servizi pubblici essenziali). Questa scadenza è oggetto delle proposte di rinvio del Digital Omnibus, vedi paragrafo sotto
• 2 agosto 2027: completamento dell’applicazione per i sistemi ad alto rischio integrati in prodotti già regolamentati da altre normative europee, anch’essa interessata dalle proposte di rinvio

La Legge 132/2025, oltre a fissare principi generali di trasparenza, sorveglianza umana e conoscibilità, contiene una delega al Governo per l’adozione di decreti attuativi entro dodici mesi dall’entrata in vigore: entro ottobre 2026 sono attesi i decreti che declineranno operativamente molti aspetti che oggi sono solo principi.

Sul Digital Omnibus, il pacchetto di semplificazione dell’AI Act proposto dalla Commissione europea il 19 novembre 2025, l’iter è in fase avanzata ma non concluso. Il 26 marzo 2026 il Parlamento europeo ha approvato la propria posizione (569 voti favorevoli, 45 contrari, 23 astenuti), introducendo date precise per il rinvio degli obblighi sui sistemi ad alto rischio:

• 2 dicembre 2027 per i sistemi elencati nell’Allegato III dell’AI Act (biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, giustizia, frontiere)
• 2 agosto 2028 per i sistemi disciplinati da normative settoriali europee. Il testo deve ora passare dal trilogo con il Consiglio e la Commissione, e fino a quando l’iter non si chiude le scadenze originarie dell’AI Act restano formalmente in vigore

Quello che il rinvio non tocca resta importante: il divieto sui sistemi a rischio inaccettabile e l’obbligo di alfabetizzazione del personale (articolo 4 dell’AI Act) restano pienamente in vigore dal 2 febbraio 2025, così come gli obblighi sui modelli GPAI dal 2 agosto 2025.

La pianificazione del tuo Ente non può quindi essere fatta sul presupposto che il rinvio venga confermato: fino all’esito del trilogo, il calendario di riferimento resta quello dell’AI Act originario.

Se vuoi un piano di adempimenti calibrato sulle scadenze che riguardano davvero il tuo Ente, contattaci per un confronto.

Per la maggior parte dei soggetti citati la risposta è sì, ma la qualificazione è importante perché non tutti gli obblighi si applicano allo stesso modo a tutte le categorie di enti.

Scuole, aziende sanitarie locali e Unioni di Comuni rientrano nel perimetro della pubblica amministrazione di cui all’articolo 1, comma 2, del D.Lgs. 165/2001, e a esse si applicano sia le previsioni della Legge 132/2025 che riguardano l’amministrazione pubblica, sia gli obblighi del GDPR e dell’AI Act.

Per le società a partecipazione pubblica il discorso è più articolato. La Legge 132/2025 contiene previsioni che riguardano specificamente l’uso dell’IA nelle pubbliche amministrazioni, e l’applicazione alle società partecipate dipende dalla loro natura giuridica concreta: le società in house e quelle che svolgono servizi pubblici essenziali rientrano spesso negli obblighi di tipo PA per via del CAD e di altre normative settoriali, ma la qualifica va verificata caso per caso.

L’AI Act invece si applica direttamente a ogni soggetto che metta in servizio sistemi di IA, indipendentemente dalla forma giuridica.

Se hai dubbi sull’applicazione delle norme alla specifica forma giuridica del tuo Ente, contattaci per una verifica puntuale.

Dipende dall’uso che se ne fa, e per la PA la risposta operativa nella maggior parte dei casi è no.

Le versioni gratuite di ChatGPT, Claude, Gemini e NotebookLM non sono vietate in modo assoluto: se in un prompt non passa alcun dato personale (nessun riferimento a persone identificate o identificabili), il GDPR non si applica al singolo prompt e l’uso può essere tecnicamente conforme.

Il problema è che le privacy policy delle versioni consumer di solito dichiarano l’uso dei prompt per addestrare i modelli e queste policy cambiano con frequenza, non esiste un Data Processing Agreement sottoscrivibile (DPA, ovvero il contratto con cui il fornitore si impegna ai sensi dell’articolo 28 del GDPR a trattare i dati alle condizioni stabilite dalla PA), e non è prevista una via per imporre configurazioni specifiche.

Basta un dipendente che incolla un atto o un nome nel prompt e il tuo Ente si trova fuori dal perimetro contrattuale: per questo autorizzare formalmente le versioni free è raramente una scelta sostenibile.

Per le versioni a pagamento (Claude for Work, ChatGPT Team o Enterprise, Gemini per Google Workspace, NotebookLM in ambiente Workspace) le condizioni possono essere diverse, ma quanto diverse lo si può sapere solo verificando i contratti e le privacy policy aggiornati al momento della valutazione: l’eventuale disponibilità di un DPA sottoscrivibile, l’esclusione dei prompt dall’addestramento dei modelli, le configurazioni di sicurezza, la residenza dei dati. Sono tutte condizioni che cambiano nel tempo e tra piani, e che non si possono dare per scontate.

Per questo la scelta di quali strumenti autorizzare non si fa leggendo le pagine commerciali dei fornitori: va costruita con il DPO del tuo Ente (la cui nomina è obbligatoria ai sensi dell’articolo 37 del GDPR) e, dove esiste, con l’ufficio legale, sulla base delle privacy policy e dei contratti aggiornati al momento della valutazione, e dell’eventuale necessità di una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’articolo 35 del GDPR.

Se vuoi un confronto su quali strumenti autorizzare per il tuo Ente e su come impostare la valutazione con il DPO, non esitare a contattarci.

L’elenco degli strumenti IA autorizzati è un atto di organizzazione interna, e per la PA italiana ci sono tre forme principali con cui adottarlo:

• una determina o decreto del Segretario o del Responsabile per la Transizione Digitale che approva l’elenco come allegato (la forma più solida sul piano della tracciabilità amministrativa)
• un aggiornamento della circolare esistente con un allegato tenuto vivo nel tempo (più snello, utile se prevedi di modificare l’elenco con frequenza)
• un ordine di servizio del Segretario, soluzione intermedia tra le prime due

Non c’è invece un obbligo specifico di pubblicazione sull’albo pretorio o in Amministrazione Trasparente, perché le misure di trasparenza che la Legge 132/2025 e le bozze di linee guida AGID disciplinano riguardano il rapporto verso il cittadino quando l’IA incide sui procedimenti, non il governo interno degli strumenti autorizzati.

Una volta adottato l’atto, la diffusione al personale passa dalla intranet e da una email di notifica a tutti i dipendenti, integrate con i materiali di formazione che garantiscono l’alfabetizzazione richiesta dall’articolo 4 dell’AI Act.

Se vuoi un confronto su quale forma di atto si adatta meglio al tuo Ente, non esitare a contattarci.

Dipende. La valutazione d’impatto sulla protezione dei dati (DPIA) prevista dall’articolo 35 del GDPR è obbligatoria quando il trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche, e l’articolo 35, comma 3, individua casi specifici in cui la DPIA è sempre richiesta, tra cui le decisioni automatizzate con effetti giuridici e il trattamento su larga scala di dati particolari.

Per molti usi di IA in pubblica amministrazione la soglia di rischio elevato è superata, ma non è automatico: dipende dalla tipologia di trattamento, dai dati coinvolti, dalla natura del sistema e dall’impatto sui diritti delle persone interessate.

La valutazione sull’opportunità (o sull’obbligo) di redigere una DPIA spetta al DPO, che ha il compito di assistere l’Ente in questa decisione (articolo 39 del GDPR).

Il provvedimento del Garante per la protezione dei dati personali dell’11 ottobre 2018 ha individuato categorie di trattamenti per i quali la DPIA è in ogni caso necessaria, e alcune di queste categorie includono trattamenti che oggi sono spesso realizzati con strumenti di IA come la profilazione, le decisioni automatizzate e i trattamenti su larga scala di dati biometrici.

Indipendentemente dall’obbligo formale, la DPIA è uno strumento utile anche quando non è strettamente richiesta, perché permette al tuo Ente di documentare la valutazione fatta sui rischi e le misure adottate per ridurli, e diventa una base difensiva preziosa in caso di reclami o ispezioni.

Se vuoi un supporto per impostare il processo di valutazione e capire quali strumenti del tuo Ente richiedono una DPIA, non esitare a contattarci.