Pratico, sintetico e chiaro: come costruire un Regolamento per l’utilizzo dell’IA nella PA

Il Regolamento (UE) 2024/1689 del 13 giugno 2024 (nel seguito: AI Act) stabilisce regole armonizzate per l’intelligenza artificiale nell’Unione Europea con l’obiettivo principale di creare un quadro normativo che promuova lo sviluppo e l’uso sicuro e affidabile dei sistemi di IA, garantendo allo stesso tempo la tutela della salute, della sicurezza, dei diritti fondamentali dei cittadini e assicurando la supervisione umana.

Basata su un approccio di gestione del rischio, classifica i sistemi IA in quattro livelli (inaccettabile, alto, limitato, minimo), vietando pratiche inaccettabili e imponendo obblighi di conformità, trasparenza e sicurezza commisurati alla pericolosità per il Sistema.

Agli Stati membri il compito, tra l’altro, di adeguare la normativa interna, definire la governance nazionale e agevolare l’interrelazione con le strutture di Governance europee.

Con la legge 23 settembre 2025, n. 132 il nostro Parlamento è intervenuto ribadendo finalità e modalità di applicazione, promuovendo un utilizzo corretto, trasparente e responsabile, volto a coglierne le opportunità e garantendo la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali dell’intelligenza artificiale.

Ha definito la governance designando l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN) quali Autorità nazionali per l’intelligenza artificiale e affidando all’AgID la responsabilità di promuovere l’innovazione e lo sviluppo dell’intelligenza artificiale (compresa l’adozione di linee guida) e all’ACN il compito di assicurare la tutela della cybersicurezza e la vigilanza sui sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea.

In particolare, ne disciplina l’uso nella PA evidenziandone la finalità di renderne più efficiente l’attività, ridurre i tempi di elaborazione dei procedimenti e aumentare la qualità e la quantità dei servizi offerti ai cittadini e alle imprese, prevedendo all’art. 14, comma 3, l’adozione di misure tecniche, organizzative e formative finalizzate a garantire un utilizzo responsabile dell’intelligenza artificiale e a sviluppare le capacità trasversali degli utilizzatori.

Un vero e proprio obbligo giuridico, finalizzato ad assicurare che i sistemi di IA non solo operino correttamente (efficienza, riduzione dei tempi di lavorazione, miglioramento della qualità dei servizi) ma che siano anche gestiti in modo sicuro e tracciabile.

Occorre uno strumento operativo concreto messo, fin da subito, a disposizione di tutto il personale un primo insieme di regole, indicazioni e anche best practice che offra una traccia per agire correttamente e una prima informazione e regole chiare e semplici per un uso consapevole, tracciabile e sempre subordinato a una valutazione critica dei contenuti generati.

Dobbiamo essere consapevoli che l’IA è già presente all’interno delle nostre organizzazioni: sicuramente sarà necessario pianificare un organico programma di formazione strutturato e sempre aggiornato all’interno di ciascun Piano Formativo generale con l’obiettivo di pervenire ad un uso cosciente e tracciabile degli strumenti di IA generativa, prevenendo usi impropri o dannosi per gli interessi pubblici.

Il regolamento deve richiamare i principi che deve guidare l’azione della PA:

• Responsabilità: il personale rimane pienamente responsabile dei contenuti prodotti con il supporto dell’IA, anche nel caso in cui questi siano generati automaticamente;
• Verifica umana: ogni contenuto generato deve essere attentamente esaminato, validato e, se necessario, integrato o corretto, prima di qualsivoglia utilizzo in contesti istituzionali o pubblici; nessuna attività può essere delegata integralmente a un sistema automatizzato senza controllo umano;
• Trasparenza: ove rilevante, è fatto obbligo di dichiarare l’impiego di strumenti di IA nella produzione di documenti, comunicazioni o analisi, in conformità alle disposizioni di cui alla legge 23/09/25, n. 132;
• Etica e imparzialità: è vietato l’utilizzo dell’IA generativa per produrre contenuti, discriminatori, offensivi o contrari ai principi di imparzialità, equità e non discriminazione che ispirano l’azione della PA;
• Sicurezza e protezione dei dati: non devono essere inseriti nei prompt informazioni personali, sensibili o riservate, né documenti interni non pubblici. L’utilizzo di tali strumenti deve sempre avvenire in ambienti sicuri, conformi alle policy di sicurezza e privacy.

Alla luce di tali principi ogni amministrazione, sulla base della propria struttura organizzativa, potrà dare indicazioni specifiche e anche fare esempi concreti.

Sicuramente si potrà precisare che:

• l’uso di strumenti di IA generativa è possibile solo con l’utilizzo delle dotazioni messe a disposizione dall’Ufficio (hardware, software e account istituzionali), all’interno di ambienti informatici sicuri, nel rispetto delle policy e previa autorizzazione degli Uffici competenti;
• è vietato l’utilizzo di dispositivi personali o non approvati;
• l’uso di strumenti di IA generativa è ammessa solo per attività di supporto operativo e non elimina la responsabilità individuale nei processi decisionali, istruttori o regolatori. Sarà possibile:
  • la redazione di bozze di testi, e-mail, report o documenti informativi, che devono però essere soggetti caso a verifica e validazione da parte del responsabile prima della loro diffusione, dell’utilizzo ufficiale o dell’archiviazione nei sistemi;
  • la sintesi di documenti pubblici, la raccolta di spunti per attività di analisi preliminare, supporto alla generazione di contenuti in fase di brainstorming o elaborazione testuale;
  • la traduzione automatica, la revisione ortografica e grammaticale, la semplificazione e/o riformulazione di testi per finalità comunicative o divulgative;
• l’utilizzo degli strumenti di IA generativa deve avvenire con senso critico e sotto il controllo diretto dell’utilizzatore. La responsabilità finale rispetto ai contenuti prodotti, validati o veicolati con il supporto dell’IA generativa resta in ogni caso in capo all’utilizzatore.

Sicuramente si potrà evidenziare il generale divieto di utilizzare strumenti di IA in tutti i casi in cui l’attività possa comportare rischi per la riservatezza dei dati, la correttezza dell’azione amministrativa o l’integrità delle funzioni istituzionali della PA e, in particolare:

• inserire nei prompt dati personali, dati particolari o giudiziari, informazioni protette da obblighi di segretezza, di proprietà intellettuale o riservatezza industriale/commerciale, codici di accesso, credenziali, documenti interni non pubblici;
• sostituire l’intervento umano nei processi decisionali discrezionali, laddove si tratti di valutazioni istruttorie, attività di vigilanza o di difesa, accertamenti ispettivi o altre funzioni che richiedono autonomia di giudizio, responsabilità obbligo di motivazione. L’IA può essere utilizzata per elaborazioni preliminari, ma mai determinare effetti giuridici o amministrativi diretti;
• simulare identità o generare contenuti ingannevoli, fuorvianti o non chiaramente attribuibili alla persona o struttura che li utilizza. È vietato l’uso dell’IA per costruire narrazioni artificiali, impersonare interlocutori o alterare la percezione dell’autenticità dei contenuti, in contrasto con i principi di trasparenza e correttezza dell’azione amministrativa;
• utilizzare strumenti di IA generativa per scopi extraprofessionali durante l’orario di lavoro, in modo non occasionale o non autorizzato.

A completare il quadro potranno essere allegati esempi di casi concreti collegati alle peculiarità di ogni amministrazione.