di GIOVANNA PANUCCI
Il 10 ottobre 2025 è una data spartiacque per la Pubblica Amministrazione italiana. Con l’entrata in vigore della legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, l’Italia si è dotata della prima legge organica nazionale sull’intelligenza artificiale, anticipando molti altri Paesi europei e introducendo un quadro normativo che non si limita a recepire i principi dell’AI Act europeo, ma li declina nella specifica realtà ordinamentale italiana.
Per la Pubblica Amministrazione, questo non è un semplice aggiornamento normativo da archiviare tra le circolari. È un cambio di paradigma che impone di ripensare strategie, procedure e competenze. L’alternativa, oggi più che mai, non è tra “usare” o “non usare” l’intelligenza artificiale, ma tra governarla in modo consapevole, strutturato e conforme alla legge, oppure subirla in modo disorganizzato, rischioso e, in ultima analisi, illegittimo.
Indice
- Un quadro normativo a 360 gradi
- L’articolo 14: il “nuovo statuto” dell’AI pubblica
- Il “patto di efficienza” con il cittadino
- Il principio di “non sostituzione”: l’AI come strumento, non come decisore
- Le misure organizzative e formative: dalla tecnologia alle persone
- Il dovere di informativa: il pilastro esterno della trasparenza
- Governance nazionale: promuovere e vigilare
- Cosa devono fare le amministrazioni: dall’urgenza all’azione
- Verso una PA “AI-ready”: la sfida culturale
- Approfondimento: l’addendum alla Guida Pratica
Un quadro normativo a 360 gradi
La legge 132/2025 non è un intervento settoriale, ma una riforma sistemica che affronta l’intelligenza artificiale da molteplici angolazioni. La sua architettura, articolata in 26 articoli suddivisi in cinque capi, rivela l’ambizione del legislatore di creare un ecosistema normativo completo:
Capo I (Artt. 1-5): definisce finalità e principi generali, tra cui trasparenza, proporzionalità, sicurezza, protezione dei dati e, soprattutto, rispetto dell’autonomia e del potere decisionale dell’uomo. Questi principi costituiscono le fondamenta etico-giuridiche dell’intero impianto normativo.
Capo II (Artt. 6-18): contiene le disposizioni di settore, che rappresentano il cuore della specificità italiana. Qui troviamo le norme sull’uso dell’AI in ambito sanitario, nel mondo del lavoro, nelle professioni intellettuali e, di cruciale importanza per noi, nella Pubblica Amministrazione (Art. 14) e nell’attività giudiziaria (Art. 15). Include anche deleghe al Governo per disciplinare aspetti tecnici e giuridici complessi.
Capo III (Artt. 19-24): istituisce la governance nazionale, definendo la Strategia Nazionale per l’AI, le Autorità Nazionali (AgID per la promozione, ACN per la vigilanza) e le azioni di promozione, come gli spazi di sperimentazione (sandbox regolatori).
Capo IV (Artt. 25-30): si occupa delle disposizioni in materia penale, introducendo nuove fattispecie di reato legate all’uso illecito di sistemi di AI, a tutela sia dei singoli che della collettività.
Capo V (Artt. 31-34): contiene le disposizioni finali, finanziarie e di coordinamento.
Questa architettura dimostra che l’intelligenza artificiale non è più considerata una questione meramente tecnologica, ma un fenomeno che impatta sulla società, sull’economia, sul lavoro e sui diritti fondamentali. Per la Pubblica Amministrazione, questo significa che l’adozione di un sistema di AI non potrà essere una mera scelta tecnica o di approvvigionamento, ma dovrà essere inquadrata in una valutazione complessiva di conformità a questo articolato quadro normativo.
L’articolo 14: il “nuovo statuto” dell’AI pubblica
Il cuore della disciplina per la PA risiede nell’articolo 14, rubricato “Uso dell’intelligenza artificiale nella pubblica amministrazione”. Questa norma, sebbene sintetica nei suoi tre commi, delinea un perimetro d’azione chiaro e introduce principi destinati a modificare profondamente l’approccio delle amministrazioni all’innovazione digitale.
Il “patto di efficienza” con il cittadino
Il primo comma dell’articolo 14 non lascia spazio ad interpretazioni ambigue. L’utilizzo dell’AI da parte delle PA persegue finalità concrete e misurabili, che possono essere riassunte in un vero e proprio “patto di efficienza” con cittadini e imprese:
– Incrementare l’efficienza della propria attività
– Ridurre i tempi di definizione dei procedimenti
– Aumentare la qualità e la quantità dei servizi erogati
Queste finalità, tuttavia, non sono incondizionate. Il legislatore le lega indissolubilmente ad un obbligo fondamentale, un vero e proprio pilastro della nuova disciplina: assicurare agli interessati la conoscibilità del suo funzionamento e la tracciabilità del suo utilizzo. Si tratta di un’affermazione di principio di portata rivoluzionaria. La PA non può e non potrà mai essere una “scatola nera” algoritmica. Ogni volta che un sistema di AI viene impiegato, deve essere garantita la massima trasparenza sul suo funzionamento e deve essere possibile ricostruire, a posteriori, il percorso logico che ha portato a un determinato risultato.
Questo obbligo di tracciabilità è la precondizione per la tutela dei diritti e per l’imputazione della responsabilità. Senza tracciabilità, non c’è accountability; senza accountability, non c’è fiducia.
Volume dedicato
Guida pratica all’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione
L’Intelligenza Artificiale generativa è già entrata negli uffici pubblici, spesso in modo spontaneo e non regolato. Questo manuale offre alla Pubblica Amministrazione e a tutti i suoi addetti uno strumento operativo completo per affrontare le sfide portate da questa nuova tecnologia, evitando rischi e cogliendo tutte le opportunità.L’adozione dell’AI non può essere affidata al mero entusiasmo tecnologico né abbandonata alla frammentarietà di iniziative locali disconnesse. Al contrario, richiede una visione sistemica, una strategia di lungo periodo ed una leadership pubblica all’altezza della sfida. Ma, prima ancora delle soluzioni tecniche, serve un cambio di mentalità. Il futuro della PA digitale si costruirà sulla capacità di integrare l’innovazione senza rinunciare ai principi costituzionali e sarà plasmato quotidianamente da dirigenti, funzionari, tecnici e collaboratori che useranno la tecnologia non come fine, ma come mezzo per migliorare la qualità dell’azione amministrativa e rafforzare il legame fiduciario con i cittadini.Con un linguaggio chiaro e rigoroso, l’autrice guida enti, dirigenti, funzionari e responsabili digitali nell’adozione consapevole dell’AI, nel rispetto delle norme: AI Act, GDPR, Linee guida AgID.Il volume aiuta a:› capire cosa si può fare (e cosa no) con l’AI generativa› ridurre i tempi delle attività ripetitive senza compromettere legalità e trasparenza› formare il personale all’uso corretto degli strumenti AI› governare il cambiamento senza subirlo.Una guida indispensabile per una Pubblica Amministrazione moderna, competente, compliance e davvero digitale. Giovanna PanucciAvvocato esperto in privacy, protezione dei dati personali e intelligenza artificiale. DPO e AI Strategist, iscritta all’Albo dei Maestri della protezione dei dati & Data Protection Designer®, Founder di “Gladiatori Digitali”, la prima community italiana dedicata all’uso dell’AI generativa per professionisti, aziende e pubbliche amministrazioni e ideatrice del concetto di “Legal Prompting”, il prompt engineering per il mondo giuridico.
Giovanna Panucci | Maggioli Editore 2025
45.00 €
Il principio di “non sostituzione”: l’AI come strumento, non come decisore
Il secondo comma dell’articolo 14 introduce il principio più importante e garantista dell’intero impianto normativo per la PA: il principio di non sostituzione. La legge stabilisce che:
“L’utilizzo dell’intelligenza artificiale avviene in funzione strumentale e di supporto all’attività provvedimentale, nel rispetto dell’autonomia e del potere decisionale della persona che resta l’unica responsabile dei provvedimenti e dei procedimenti in cui sia stata utilizzata l’intelligenza artificiale.”
Questa disposizione traccia una linea invalicabile. L’AI è e deve rimanere uno strumento nelle mani del funzionario pubblico, non un decisore autonomo. Può analizzare, elaborare, suggerire, segnalare anomalie, ma non può mai sostituire la valutazione e la decisione finale, che resta di esclusiva competenza della persona. La responsabilità del provvedimento finale non è dell’algoritmo, né del suo fornitore, ma del funzionario che lo ha adottato, avvalendosi del supporto della macchina.
Questa disposizione ha implicazioni pratiche enormi. Un cittadino che si vede recapitare un atto amministrativo sfavorevole non potrà mai sentirsi rispondere che “ha deciso il computer”. Il funzionario dovrà sempre essere in grado di spiegare le ragioni della sua decisione, di giustificare perché si è fidato del suggerimento dell’algoritmo o, al contrario, perché ha deciso di discostarsene. Il principio della responsabilità personale del funzionario, cardine del nostro diritto amministrativo, non solo viene salvaguardato, ma esce rafforzato, poiché richiede una consapevolezza ancora maggiore nell’uso degli strumenti a disposizione.
Le misure organizzative e formative: dalla tecnologia alle persone
Il legislatore è ben consapevole che i principi di strumentalità e responsabilità non possono reggersi da soli. Per questo, il terzo comma dell’articolo 14 impone alle Pubbliche Amministrazioni di adottare misure tecniche, organizzative e formative finalizzate a garantire un utilizzo responsabile dell’AI e a sviluppare le capacità trasversali degli utilizzatori.
Si tratta di un passaggio cruciale, che sposta l’attenzione dalla tecnologia alle persone e all’organizzazione:
Misure tecniche: riguardano la scelta di sistemi affidabili, sicuri e conformi ai principi di protezione dei dati fin dalla progettazione (privacy by design).
Misure organizzative: implicano la definizione di procedure chiare su quando e come utilizzare i sistemi di AI, chi è responsabile della loro gestione, come documentare il loro impiego (il registro degli utilizzi diventa uno strumento essenziale) e come gestire eventuali incidenti o contestazioni.
Misure formative: rappresentano la vera chiave di volta. Non è sufficiente acquistare una tecnologia; è indispensabile formare il personale per comprenderne le potenzialità, i limiti e i rischi. I funzionari devono essere in grado di dialogare con la macchina, di interpretarne gli output in modo critico e di riconoscere quando un risultato è anomalo o potenzialmente discriminatorio. La formazione non può essere un evento una tantum, ma un processo continuo di aggiornamento delle competenze.
Il dovere di informativa: il pilastro esterno della trasparenza
Se il principio di responsabilità umana è il pilastro interno che regge l’uso dell’AI nella PA, il dovere di informativa ne rappresenta il pilastro esterno, quello che garantisce la trasparenza e la tutela del cittadino. La Legge 132/2025 costruisce questo dovere non attraverso un singolo articolo, ma tramite un sistema di norme che, lette congiuntamente, creano un obbligo di comunicazione chiaro e ineludibile.
Il fondamento normativo del dovere di informativa si articola su più livelli:
– L’Articolo 4, comma 3 – L’obbligo generale di chiarezza: inserito tra i principi generali, stabilisce che le informazioni e le comunicazioni relative all’uso dell’AI devono essere fornite con “linguaggio chiaro e semplice”, al fine di garantire all’utente la “conoscibilità dei relativi rischi”. Non si tratta solo di dire “usiamo l’IA”, ma di farlo in modo comprensibile a un pubblico non esperto e di evidenziare i potenziali impatti.
– L’Articolo 14, comma 1 – La conoscibilità e tracciabilità nella PA: come già visto, questa disposizione impone specificamente alla Pubblica Amministrazione di assicurare agli interessati la “conoscibilità del funzionamento” e la “tracciabilità dell’utilizzo” dell’AI. Questo va oltre la semplice informazione: implica la necessità di rendere comprensibili, almeno a grandi linee, la logica dell’algoritmo e di tenere un registro delle operazioni svolte.
– Il coordinamento con il GDPR e il d.lgs. 33/2013: il dovere di informativa sull’IA non sostituisce, ma si affianca agli obblighi già esistenti in materia di protezione dei dati personali (informativa ex artt. 13-14 GDPR) e di trasparenza amministrativa (d.lgs. 33/2013). Le amministrazioni dovranno quindi integrare le loro informative esistenti con le nuove indicazioni specifiche sull’uso dell’AI.
La mancata o inadeguata informativa non è una questione formale, ma può avere conseguenze significative: dall’invalidità dell’atto amministrativo (per violazione del diritto di partecipazione e difesa), alla responsabilità del funzionario, fino alla violazione del GDPR con le relative sanzioni. Ma, soprattutto, comporta un danno alla fiducia tra cittadino e amministrazione, che è il vero capitale su cui si fonda la legittimazione dell’azione pubblica.
Governance nazionale: promuovere e vigilare
La legge 132/2025 non si limita a stabilire principi e obblighi, ma istituisce anche una governance nazionale articolata su due pilastri istituzionali, ciascuno con un ruolo ben definito:
AgID (Agenzia per l’Italia Digitale): assume il ruolo di promotore dell’innovazione. È responsabile della definizione della Strategia Nazionale per l’AI, del coordinamento delle iniziative pubbliche, della promozione di progetti pilota e della diffusione di buone pratiche. L’AgID dovrà anche istituire e gestire sandbox regolatori, spazi di sperimentazione controllata in cui amministrazioni e imprese possono testare soluzioni innovative sotto la supervisione dell’autorità, con regole semplificate.
ACN (Agenzia per la Cybersicurezza Nazionale): assume il ruolo di vigilanza sulla conformità dei sistemi di AI ai requisiti di sicurezza e, in coordinamento con il Garante Privacy, sulla tutela dei diritti fondamentali. L’ACN avrà anche poteri sanzionatori in caso di violazioni gravi.
Questa governance a due teste riflette la duplice esigenza di promuovere l’innovazione (per non restare indietro) e di governarla (per evitare abusi e rischi). Le amministrazioni dovranno imparare a dialogare con queste autorità, a partecipare alla Strategia Nazionale e, quando necessario, a confrontarsi con i meccanismi di vigilanza.
Cosa devono fare le amministrazioni: dall’urgenza all’azione
Di fronte a questo quadro normativo complesso e cogente, la domanda che ogni dirigente e responsabile della transizione digitale si pone è: cosa devo fare concretamente?
La risposta non può essere un semplice elenco di adempimenti burocratici, ma richiede un cambio di approccio culturale e organizzativo. Ecco le azioni prioritarie:
1. Mappare l’esistente: il censimento dei sistemi AI
Il primo passo è sapere dove siamo. Molte Amministrazioni utilizzano già, magari inconsapevolmente, sistemi che rientrano nella definizione di AI (algoritmi di ranking, chatbot, sistemi di analisi predittiva, strumenti di OCR avanzato, ecc.). È necessario condurre un censimento sistematico di tutti i sistemi in uso, documentandone:
-Finalità
-Fornitore
-Tipologia di dati trattati
-Livello di rischio (secondo la classificazione dell’AI Act)
-Misure di sicurezza adottate
Questo censimento non è un esercizio formale, ma la base per costruire il Registro degli utilizzi AI, strumento essenziale per la trasparenza e la tracciabilità.
2. Valutare la conformità: gap analysis e DPIA
Una volta mappati i sistemi, è necessario valutarne la conformità ai principi della Legge 132/2025 e dell’AI Act. Per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone, sarà obbligatoria una
DPIA (Data Protection Impact Assessment) ai sensi dell’art. 35 del GDPR.
È, inoltre, fortemente consigliabile, soprattutto per i sistemi ad alto rischio secondo l’AI Act, condurre una
FRIA (Fundamental Rights Impact Assessment), per valutare l’impatto sui diritti fondamentali al di là della sola protezione dei dati. La FRIA rappresenta un importante strumento di accountability per dimostrare la conformità ai principi della Legge 132/2025 e dell’AI Act.
3. Redigere l’informativa pubblica
Ogni amministrazione dovrà pubblicare sul proprio sito istituzionale un’informativa chiara e accessibile sull’uso dell’AI, indicando:
Quali sistemi utilizza e per quali finalità
Come funzionano (a grandi linee)
Quali dati trattano
Quali sono i diritti dei cittadini (incluso il diritto di contestare una decisione)
Come esercitare tali diritti
L’informativa non deve essere un documento tecnico incomprensibile, ma uno strumento di comunicazione efficace con il cittadino.
4. Formare il personale
La formazione è l’investimento più importante. Non basta un corso generico sull’AI: serve una formazione mirata sui sistemi effettivamente utilizzati, sui loro limiti, sui rischi di bias e discriminazione, e sulle responsabilità del funzionario. La formazione deve coinvolgere non solo i tecnici, ma anche i dirigenti e i funzionari che prendono decisioni.
5. Adottare procedure e regolamenti interni
Le misure organizzative si traducono in procedure operative e regolamenti interni che disciplinano:
Chi può utilizzare i sistemi AI e per quali finalità
Come documentare l’utilizzo
Come gestire le contestazioni
Come aggiornare e monitorare i sistemi
Questi documenti devono essere vivi, non polverosi atti da cassetto, e devono essere periodicamente aggiornati.
Verso una PA “AI-ready”: la sfida culturale
La legge 132/2025 non è solo un insieme di norme da rispettare, ma un’opportunità per ripensare il modo in cui la Pubblica Amministrazione lavora, decide e si relaziona con i cittadini. L’intelligenza artificiale, se governata con consapevolezza, può davvero rendere la PA più efficiente, più rapida e più equa. Ma se subita in modo disorganizzato, rischia di amplificare inefficienze, creare nuove discriminazioni e minare la fiducia.
La vera sfida non è tecnologica, ma culturale e organizzativa. Richiede dirigenti che comprendano le potenzialità e i limiti dell’AI, funzionari formati e consapevoli, DPO che sappiano integrare la protezione dei dati con la governance algoritmica, e cittadini informati e tutelati.
“Governare l’innovazione”, oggi, significa prima di tutto “governare” la sua fonte normativa. E la Legge 132/2025 è quella fonte. Non possiamo più permetterci di ignorarla o di rimandarla. Il tempo dell’attesa è finito. È il momento dell’azione.
Approfondimento: l’addendum alla Guida Pratica
Per aiutare dirigenti, responsabili della transizione digitale, DPO e tutti gli operatori del settore pubblico a comprendere le implicazioni concrete della legge 132/2025 e ad adeguare le proprie procedure, ho realizzato un addendum approfondito alla mia Guida pratica all’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione.
L’addendum, disponibile gratuitamente negli approfondimenti online del libro, fornisce:
– Un’analisi dettagliata di tutti gli articoli della legge 132/2025 rilevanti per la PA.
– Un focus operativo sul dovere di informativa, con bozza di informativa-tipo pronta all’uso.
– Checklist di autovalutazione della maturità AI.
– Roadmap di implementazione per la compliance.
– Casi d’uso concreti con analisi di conformità.
– FAQ operative e glossario completo.
L’approccio è lo stesso del libro: pragmatico, operativo, immediatamente utilizzabile. Non solo teoria, ma strumenti pratici per tradurre i precetti normativi in azioni concrete.
Perché oggi non si tratta più di scegliere se usare o meno l’intelligenza artificiale, ma di gestirla o subirla. E “gestirla” richiederà conoscenza, strumenti e metodo.
Scrivi un commento
Accedi per poter inserire un commento