Oltre il Backup. Data governance e intelligenza artificiale: una vera priorità per la PA

Home PA Digitale Oltre il Backup. Data governance e intelligenza artificiale: una vera priorità per la PA

L’integrità e una governance matura del dato non sono meri prerequisiti tecnici, bensì condizioni abilitanti per qualsiasi strategia di intelligenza artificiale nella PA. Le istituzioni pubbliche hanno oggi l’occasione, nonché l’obbligo, di gestire il proprio patrimonio informativo con metodo, strumenti adeguati e una visione strategica di lungo periodo. In questo scenario, il mercato si sta già riorganizzando e il partenariato pubblico-privato si rivela, ancora una volta, determinante

14 Aprile 2026

O

Paola Orecchia

Foto di Martino Pietropoli su Unsplash - https://unsplash.com/it/foto/donna-che-cammina-con-ombra-pirWeToS2mA

C’è una domanda che, nel corso di qualsiasi conversazione sulla transizione digitale della PA, emerge con imbarazzante puntualità: “Sapete dove sono i vostri dati sensibili? Chi li utilizza? E in che modo vengono impiegati negli strumenti di intelligenza artificiale (IA) adottati quotidianamente dal vostro personale?” Nella maggior parte dei casi, la risposta è un no secco.

Non si tratta di mancanza di volontà. Le PA italiane sono organismi che hanno alle spalle decenni di stratificazioni tecnologiche e organizzative. Oggi, sistemi legacy degli anni Novanta dialogano con piattaforme cloud di nuova generazione, portali digitali, archivi documentali distribuiti, applicativi per la gestione delle pratiche. E i dati, nel tempo, proliferano in modo difficile da controllare. Gestire tutto questo, classificarlo, proteggerlo e renderlo affidabile è una sfida di enormi proporzioni. Inoltre, esiste una nuova minaccia che molte organizzazioni pubbliche stanno sottovalutando: lo Shadow AI.

Il pericolo della Shadow AI: da pratiche incontrollate a rischio sistemico

La visibilità totale è oggi un requisito non negoziabile. Tuttavia, deve fare i conti con lo Shadow AI, un fenomeno tanto semplice da spiegare quanto pericoloso: nel tentativo di ottimizzare il proprio lavoro, il dipendente pubblico inserisce dati che non dovrebbero mai uscire dall’ente in un sistema di IA generativa, disponibile gratuitamente online e privo di validazione di sicurezza. Quei dati vengono trasmessi a sistemi esterni e, potenzialmente, possono essere utilizzati per addestrare modelli di IA oppure diventare accessibili a soggetti non autorizzati. Ma c’è di più: il GDPR e la normativa italiana sulla protezione dei dati personali impongono obblighi precisi, che oggi sono minati dal ricorso non governato a strumenti di IA da parte dei dipendenti. L’amministrazione, dunque, rischia anche sanzioni pesantissime.

Una soluzione sarebbe vietare l’uso spavaldo dei tool gratuiti. Ma non basta.

Qualità e governabilità del patrimonio dati: un quadro normativo che non lascia margini

Il contesto descritto, fatto di infrastrutture eterogenee, dati distribuiti, flussi informativi spesso non mappati e pratiche comuni e non supervisionate, mette in evidenza che la Data Governance è una priorità di politica pubblica e di responsabilità istituzionale. Tanto più che il quadro normativo necessita di fondamenta solide. Il messaggio del legislatore, difatti, è inequivocabile: l’adozione dell’IA nella PA è promossa, attesa, e deve avvenire con dati affidabili e secondo i principi di  governance e tracciabilità. A tale scopo, il legislatore europeo e quello italiano hanno tracciato una direzione precisa, che aiuta le amministrazioni a orientarsi nell’adozione dell’IA.

Innanzitutto, il Piano Triennale per l’informatica nella PA 2024-2026 introduce un focus strutturato sull’intelligenza artificiale (Capitolo 5) e contiene anche un Decalogo di principi generali per l’utilizzo dell’intelligenza artificiale nelle PA. Non si tratta di indicazioni generiche: il Piano prevede obiettivi misurabili, come il raggiungimento di almeno 400 progetti di innovazione mediante IA entro il 2026, con la promozione di soluzioni nazionali scalabili a partire da questo stesso anno.

Sul fronte normativo europeo, l’AI Act (Regolamento UE 2024/1689) impone obblighi concreti per fornitori e utenti di sistemi di IA ad alto rischio, categoria che comprende molte delle applicazioni tipicamente usate in ambito pubblico. Per questi sistemi sono previsti requisiti stringenti di qualità dei dati, tracciabilità, supervisione umana e gestione del rischio lungo l’intero ciclo di vita.

A livello nazionale, con l’entrata in vigore della Legge 132/2025, prima legge organica italiana sull’IA, in vigore da ottobre 2025, il quadro si è ulteriormente consolidato. L’articolo 3 della norma afferma che ogni utilizzo dell’IA deve avvenire nel pieno rispetto della Costituzione e dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali e sostenibilità. La vigilanza sulla conformità è affidata a due pilastri istituzionali: AgID (Agenzia per l’Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale), con compiti di vigilanza sulla conformità dei sistemi di IA ai requisiti di sicurezza, in coordinamento con il Garante Privacy.

A completare il quadro, le Linee guida per l’adozione dell’IA nella PA puntano esplicitamente a fornire strumenti di assessment, che permettano a ogni amministrazione di identificare le proprie esigenze, valutare lo stato delle infrastrutture digitali disponibili e applicare l’IA in modo efficace e conforme.

Governare i dati in modo consapevole, strutturato e conforme alla legge: la chiave di volta

I modelli di IA che vengono alimentati con dati incompleti, non classificati, duplicati, contraddittori tra loro o estratti da sistemi che non dialogano in modo coerente producono output inaffidabili. E il problema non è quasi mai la qualità degli algoritmi o la potenza di calcolo disponibile.

È questo il concetto alla base del fallimento del 95% dei progetti pilota di IA (secondo la ricerca dell’iniziativa NANDA del MIT).

Se, invece, l’amministrazione ha la piena governance dei dati, l’IA si trasforma in un booster di notevole efficacia, come dimostrano le esperienze di alcune amministrazioni italiane che condividono un approccio fondamentale: l’IA non è stata introdotta come soluzione a sé stante, ma come moltiplicatore del valore di un patrimonio dati già compreso, classificato e presidiato.

  • INPS ha investito sull’IA partendo da una base di dati solida e ben strutturata: il sistema sviluppato per la gestione ottimizzata delle richieste del Customer Service (che gestisce circa 2,5 milioni di istanze l’anno) riesce oggi a indirizzare correttamente oltre un terzo delle richieste direttamente all’operatore specializzato di secondo livello, con un notevole risparmio di risorse umane.
  • ISTAT sta esplorando l’utilizzo di algoritmi di IA generativa per produrre ontologie semantiche a partire da descrizioni in linguaggio naturale, con l’obiettivo di rendere i dati amministrativi interoperabili tra le amministrazioni.
  • INAIL, consapevole degli obblighi che l’AI Act porta con sé, sta costruendo un framework integrato di governance dell’IA che s’innesta sull’esistente quadro di governance del dato, per garantire conformità legale ed etica lungo tutto il ciclo di vita delle soluzioni di intelligenza artificiale.

Comprendere, classificare e presidiare il proprio patrimonio dati è un’impresa sfidante per qualsiasi amministrazione e può rivelarsi titanica, e a volte impossibile, per le amministrazioni più piccole e meno strutturate. Il partenariato pubblico/privato, anche in questo caso, si rivela determinante.

Le trasformazioni del mercato in virtù della Data & IA Governance

È utile osservare come il mercato tecnologico stia riorganizzando la propria offerta in considerazione delle esigenze della PA nel campo della Data & IA Governance.

Nel dicembre 2025, per esempio, Veeam ha completato l’acquisizione di Securiti AI, il leader riconosciuto nel Data Security Posture Management (DSPM), privacy, governance e AI trust. In questo modo, ha compiuto la propria evoluzione da leader storico nel backup a piattaforma unificata per la resilienza e la sicurezza dei dati. Difatti, insieme, le due realtà formano la prima Data Platform unificata del settore: un unico sistema per vedere, mettere in sicurezza, governare e recuperare tutti i dati alla velocità dell’IA.

L’acquisizione risponde anche a una transizione ancora scarsamente compresa: il passaggio concettuale dall’IA come strumento passivo che risponde a domande, all’IA agentica, cioè l’affermazione di sistemi autonomi che prendono decisioni, eseguono azioni, interagiscono con altri sistemi e modificano dati in modo indipendente, alla velocità delle macchine.

Per la PA, questo scenario introduce ulteriori rischi. Un agente di IA che opera su un database di pratiche amministrative può produrre errori su scala che impattano sui diritti dei cittadini.

In risposta a questa sfida, Veeam ha sviluppato Agent Commander, soluzione che offre capacità distinte e complementari, tra le quali la rilevazione contestualizzata: il sistema identifica la presenza di Shadow AI, l’esposizione di dati sensibili e i comportamenti rischiosi degli agenti.

Conclusioni

Il valore duraturo dell’adozione dell’IA deriva da una governance solida del dato. Implementare sistemi apparentemente sofisticati, ma privi di adeguati controlli, è il modo più rapido per fallire e per minare la fiducia dei cittadini. L’alternativa, oggi più che mai, è governare l’evoluzione grazie a tecnologie, quali Agent Commander, che offrano alle organizzazioni il controllo necessario per guidare l’IA, mitigare i rischi dell’agentic AI e correggere tempestivamente le anomalie.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Su questo argomento

Governare l’onda dell’innovazione: dialogo con Giovanni Anastasi, Presidente di Formez