L’intelligenza artificiale nella Pubblica Amministrazione: chi governa cosa, secondo la Legge 132/2025. PRIMI MODELLI DA UTILIZZARE.
PREMESSA POLEMICA (DA LEGGERE PRIMA DI FARE DANNI)
Mettiamolo subito in chiaro: l’Intelligenza Artificiale non è obbligatoria.
Non lo impone alcuna legge, non lo richiede alcun regolamento e nessuna norma vi costringe a usarla.
Se qualcuno vi ha detto il contrario, vi ha mentito oppure non sa di cosa parla.
L’IA non è una prescrizione normativa, non è un adempimento automatico e non è una “spunta” da aggiungere in un piano o in una delibera.
È una scelta discrezionale. E come tutte le scelte discrezionali, produce responsabilità.
Chi decide di utilizzarla deve rispettare il diritto dell’Unione europea e quello dello Stato italiano.
Punto.
Non circolari ministeriali, non slide di convegno, non FAQ rassicuranti, non interpretazioni creative di uffici che non hanno alcun potere normativo.
Qui sotto trovate modelli di base.
Servono a capire la complessità del problema, non a mascherare l’assenza di competenze né a costruire una finta conformità da esibire in caso di controllo.
Se volete affrontare seriamente la materia – governance, rischio, responsabilità, impatto sui diritti, profili risarcitori – potete contattarmi.
Il mio supporto non è gratuito: perché chi lavora correttamente si assume responsabilità, non le scarica sugli altri.
In alternativa, siete liberi di rivolgervi al vasto sottobosco di pseudo-consulenti che copiano i miei schemi, li svuotano di contenuto, abbassano i prezzi e dicono sempre sì.
Sono comodi, rassicuranti e totalmente inoffensivi. Fino al primo problema.
Un ultimo avviso, per chi pensa che “tanto non succede nulla”:
l’impatto sanzionatorio, risarcitorio e reputazionale dell’uso scorretto dell’IA è elevato.
E non colpisce i modelli. Colpisce le persone che li hanno adottati.
Ora sapete tutto.
Da qui in avanti, le scelte sono solo vostre.
VINCENZO DE PRISCO. MEMBRO AI PACT.
Con la Legge 23 settembre 2025, n. 132, il legislatore italiano ha definito per la prima volta un quadro organico nazionale per l’introduzione, l’uso e la governance dell’intelligenza artificiale, in piena coerenza con il Regolamento (UE) 2024/1689 – AI Act.
La legge non introduce nuovi obblighi sostanziali rispetto alla normativa europea, ma chiarisce ruoli, competenze e responsabilità istituzionali, con particolare rilievo per la Pubblica Amministrazione.
1. Il livello strategico: Presidenza del Consiglio e Strategia nazionale IA
Il perno della governance nazionale è collocato presso la Presidenza del Consiglio dei ministri, attraverso la struttura competente in materia di innovazione tecnologica e transizione digitale.
A essa spetta la predisposizione e l’aggiornamento della Strategia nazionale per l’intelligenza artificiale, approvata almeno con cadenza biennale dal Comitato interministeriale per la transizione digitale (CITD).
La strategia:
- coordina l’azione delle amministrazioni pubbliche,
- indirizza lo sviluppo e l’adozione dei sistemi di IA,
- orienta le politiche di ricerca, formazione e sostegno industriale,
- assicura coerenza con i principi del diritto europeo e internazionale, inclusa la tutela dei diritti fondamentali.
Accanto alla strategia opera un Comitato di coordinamento interministeriale, con funzioni di indirizzo e raccordo sugli enti pubblici e privati che operano nel campo dell’innovazione digitale e dell’IA.
2. Le Autorità nazionali per l’intelligenza artificiale: AgID e ACN
Il cuore operativo del sistema è rappresentato dalla designazione formale delle Autorità nazionali per l’intelligenza artificiale:
- Agenzia per l’Italia Digitale (AgID)
È responsabile della promozione dello sviluppo dell’IA e delle funzioni di notifica, valutazione, accreditamento e monitoraggio dei soggetti che verificano la conformità dei sistemi di IA, secondo quanto previsto dall’AI Act. - Agenzia per la Cybersicurezza Nazionale (ACN)
È titolare delle funzioni di vigilanza, ispezione e sanzione, con particolare riferimento ai profili di cybersicurezza e resilienza dei sistemi di IA lungo tutto il loro ciclo di vita.
AgID e ACN operano in coordinamento tra loro e con le altre autorità di settore (Banca d’Italia, CONSOB, IVASS), nonché con il Garante per la protezione dei dati personali, che conserva integralmente i propri poteri in materia di privacy.
3. Il ruolo della Pubblica Amministrazione: utilizzo strumentale e responsabilità umana
L’articolo 14 della legge è particolarmente rilevante per Comuni, Regioni, enti e amministrazioni centrali.
La norma chiarisce un principio chiave: l’intelligenza artificiale nella PA è uno strumento di supporto, non un decisore autonomo.
In particolare:
- l’IA può essere utilizzata per aumentare efficienza, qualità dei servizi e ridurre i tempi procedimentali;
- resta sempre in capo alla persona (dirigente, funzionario, responsabile del procedimento) la responsabilità dei provvedimenti;
- devono essere garantite conoscibilità del funzionamento, tracciabilità dell’uso e trasparenza verso cittadini e imprese;
- le amministrazioni sono chiamate ad adottare misure tecniche, organizzative e formative, senza nuovi oneri finanziari, ma con un chiaro obbligo di governo consapevole della tecnologia. 132_2025-2
4. Dalla norma alla pratica: governance, non sperimentazione anarchica
Il messaggio della Legge 132/2025 è netto: l’introduzione dell’IA nella PA non è un fatto meramente tecnologico, ma un tema di:
- governance istituzionale,
- allocazione delle responsabilità,
- gestione del rischio,
- tutela dei diritti fondamentali.
Strumenti come valutazioni d’impatto, sorveglianza umana, formazione del personale e presidio della cybersicurezza diventano elementi strutturali, non opzionali.
Per le amministrazioni pubbliche, la Legge 132/2025 segna il passaggio:
- dalla sperimentazione informale,
- a un modello regolato, tracciabile e responsabile di adozione dell’intelligenza artificiale.
Un modello in cui la tecnologia è al servizio dell’azione amministrativa, ma la decisione resta
Vi riporto con chiarezza l’articolo 20 della L. 132/2025
Art. 20
Autorità nazionali per l’intelligenza artificiale
1. Al fine di garantire l’applicazione e l’attuazione della normativa nazionale e dell’Unione europea in materia di intelligenza artificiale, l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN) sono designate quali Autorità nazionali per l’intelligenza artificiale, ferma restando l’attribuzione alla Banca d’Italia, alla CONSOB e all’IVASS del ruolo di autorità di vigilanza del mercato ai sensi e secondo quanto previsto dall’articolo 74, paragrafo 6, del regolamento (UE) 2024/1689. Conseguentemente, nel rispetto dei principi di cui alla presente legge e ferme restando le funzioni già rispettivamente attribuite:
a) l’AgID è responsabile di promuovere l’innovazione e lo sviluppo dell’intelligenza artificiale, fatto salvo quanto previsto dalla lettera b). L’AgID provvede altresì a definire le procedure e a esercitare le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea;
b) l’ACN, anche ai fini di assicurare la tutela della cybersicurezza, come definita dall’articolo 1, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, è responsabile per la vigilanza, ivi incluse le attività ispettive e sanzionatorie, dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea. L’ACN è altresì responsabile per la promozione e lo sviluppo dell’intelligenza artificiale relativamente ai profili di cybersicurezza;
c) l’AgID e l’ACN, ciascuna per quanto di rispettiva competenza, assicurano l’istituzione e la gestione congiunta di spazi di sperimentazione finalizzati alla realizzazione di sistemi di intelligenza artificiale conformi alla normativa nazionale e dell’Unione europea, sentiti il Ministero della difesa per gli aspetti relativi ai sistemi di intelligenza artificiale impiegabili in chiave duale e il Ministero della giustizia per i modelli e i sistemi di intelligenza artificiale applicabili all’attività giudiziaria. Resta fermo quanto previsto dall’articolo 36, commi da 2-bis a 2-novies, del decreto-legge 30 aprile 2019, n. 34, convertito, con modificazioni, dalla legge 28 giugno 2019, n. 58, per quanto concerne la sperimentazione di sistemi di intelligenza artificiale destinati ad essere immessi sul mercato, messi in servizio o usati da istituti finanziari.
2. Ferma restando l’attribuzione alla Banca d’Italia, alla CONSOB e all’IVASS del ruolo di autorità di vigilanza del mercato ai sensi e secondo quanto previsto dall’articolo 74, paragrafo 6, del regolamento (UE) 2024/1689, l’AgID è designata quale autorità di notifica ai sensi dell’articolo 70 del medesimo regolamento e l’ACN è designata quale autorità di vigilanza del mercato e punto di contatto unico con le istituzioni dell’Unione europea ai sensi del medesimo articolo 70.
3. Le Autorità nazionali per l’intelligenza artificiale di cui al comma 1 assicurano il coordinamento e la collaborazione con le altre pubbliche amministrazioni e le autorità indipendenti, nonché ogni opportuno raccordo tra loro per l’esercizio delle funzioni di cui al presente articolo. A quest’ultimo fine, presso la Presidenza del Consiglio dei ministri è istituito un Comitato di coordinamento, composto dai direttori generali delle due citate Agenzie e dal capo del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri medesima. Al suddetto Comitato partecipano, quando si trattano questioni di rispettiva competenza, rappresentanti di vertice della Banca d’Italia, della CONSOB e dell’IVASS. Ai componenti del Comitato non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.
4. Restano fermi le competenze, i compiti e i poteri del Garante per la protezione dei dati personali e dell’Autorità per le garanzie nelle comunicazioni, quale Coordinatore dei Servizi Digitali ai sensi dell’articolo 15 del decreto-legge 15 settembre 2023, n. 123, convertito, con modificazioni, dalla legge 13 novembre 2023, n. 159.
5. All’articolo 8, comma 2, primo periodo, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo le parole: «Presidenza del Consiglio dei ministri» sono aggiunte le seguenti: «nonché dell’Agenzia per l’Italia digitale (AgID)».
Detto questo vi lascio il codice etico adottato e per ora in consultazione da parte dell’agid
Vi riporto inoltre un vecchio POST dove si approfondiscono i passi “FONDAMENTALI”
Altro ELEMENTO FONDAMENTALE è la mappatura e la VALUTAZIONE DELL’IMPATTO dell’IA, strumento dato sempre dall’AGID.
Inoltre vi lascio una pagina di calcolo interattiva.
Detto questo, lasciati gli strumenti indispensabili cerchiamo di capire quali sono i passaggi per un0adozione dei sistemi AI.
PRIMO PASSAGGIO
Formazione OBBLIGATORIA art 4 del Reg 2024/1689
Ritengo infatti necessario fare prima la formazione obbligatoria, non quella che esce dalle PATATINE SAN CARLO per intenderci, solo dopo decidere se utilizzarla o meno, infatti ricordo che nessun medico e nessuna legge impongono l’uso dell’IA.
SECONDO STEP
Inserimento della volontà di utilizzare l’AI nei documenti strategici, a questo punto si deve introdurre la volontà dell’utilizzazione anche nel PTIPA, CAPITOLO V Obiettivi da 5.1 a 5.4.
TERZO STEP.
Adozione di un codice ETICO condiviso da AGID ed ACN (vedi articolo 20 della L. 132/2025)
QUARTO STEP
Censimento per LIVELLO DI RISCHIO e per CASI d’USO
Da questo momento in poi occorre tenere conto del rischio del danno erariale, dell’articolo 3 della l.241/90 e soprattuto che i giudici civili considerano l’uso dell’intelligenza artificiale alla stregua dell’esercizio di “…..attività pericolose”, quindi si applica l’articolo 2050 del Codice Civile.
Nell’ambito della PA ricordo l’articolo 14 della L. 132/2025, l’OBBLIGO DELLA TRASPARENZA…e già sono le sanzioni arrivate a diverse pubbliche amministrazioni…..sempre la stessa categoria
Art. 14
Uso dell’intelligenza artificiale nella pubblica amministrazione
1. Le pubbliche amministrazioni utilizzano l’intelligenza artificiale allo scopo di incrementare l’efficienza della propria attività, di ridurre i tempi di definizione dei procedimenti e di aumentare la qualità e la quantità dei servizi erogati ai cittadini e alle imprese, assicurando agli interessati la conoscibilità del suo funzionamento e la tracciabilità del suo utilizzo.
2. L’utilizzo dell’intelligenza artificiale avviene in funzione strumentale e di supporto all’attività provvedimentale, nel rispetto dell’autonomia e del potere decisionale della persona che resta l’unica responsabile dei provvedimenti e dei procedimenti in cui sia stata utilizzata l’intelligenza artificiale.
3. Le pubbliche amministrazioni adottano misure tecniche, organizzative e formative finalizzate a garantire un utilizzo responsabile dell’intelligenza artificiale e a sviluppare le capacità trasversali degli utilizzatori.
4. Le pubbliche amministrazioni provvedono agli adempimenti previsti dal presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
obbligo previsto anche dall’AI ACT
Articolo 50
Obblighi di trasparenza per i fornitori e i deployers di determinati sistemi di IA
1. I fornitori garantiscono che i sistemi di IA destinati a interagire direttamente con le persone fisiche sono progettati e sviluppati in modo tale che le persone fisiche interessate siano informate del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo. Tale obbligo non si applica ai sistemi di IA autorizzati dalla legge per accertare, prevenire, indagare o perseguire reati, fatte salve le tutele adeguate per i diritti e le libertà dei terzi, a meno che tali sistemi non siano a disposizione del pubblico per segnalare un reato.
2. I fornitori di sistemi di IA, compresi i sistemi di IA per finalità generali, che generano contenuti audio, immagine, video o testuali sintetici, garantiscono che gli output del sistema di IA siano marcati in un formato leggibile meccanicamente e rilevabili come generati o manipolati artificialmente. I fornitori garantiscono che le loro soluzioni tecniche siano efficaci, interoperabili, solide e affidabili nella misura in cui ciò sia tecnicamente possibile, tenendo conto delle specificità e dei limiti dei vari tipi di contenuti, dei costi di attuazione e dello stato dell’arte generalmente riconosciuto, come eventualmente indicato nelle pertinenti norme tecniche. Tale obbligo non si applica se i sistemi di IA svolgono una funzione di assistenza per l’editing standard o non modificano in modo sostanziale i dati di input forniti dal deployer o la rispettiva semantica, o se autorizzati dalla legge ad accertare, prevenire, indagare o perseguire reati.
3. I deployer di un sistema di riconoscimento delle emozioni o di un sistema di categorizzazione biometrica informano le persone fisiche che vi sono esposte in merito al funzionamento del sistema e trattano i dati personali in conformità dei regolamenti (UE) 2016/679 e (UE) 2018/1725 e della direttiva (UE) 2016/680, a seconda dei casi. Tale obbligo non si applica ai sistemi di IA utilizzati per la categorizzazione biometrica e il riconoscimento delle emozioni autorizzati dalla legge per accertare, prevenire o indagare reati, fatte salve le tutele adeguate per i diritti e le libertà dei terzi e conformemente al diritto dell’Unione.
4. I deployer di un sistema di IA che genera o manipola immagini o contenuti audio o video che costituiscono un «deep fake» rendono noto che il contenuto è stato generato o manipolato artificialmente. Tale obbligo non si applica se l’uso è autorizzato dalla legge per accertare, prevenire, indagare o perseguire reati. Qualora il contenuto faccia parte di un’analoga opera o di un programma manifestamente artistici, creativi, satirici o fittizi, gli obblighi di trasparenza di cui al presente paragrafo si limitano all’obbligo di rivelare l’esistenza di tali contenuti generati o manipolati in modo adeguato, senza ostacolare l’esposizione o il godimento dell’opera.
I deployer di un sistema di IA che genera o manipola testo pubblicato allo scopo di informare il pubblico su questioni di interesse pubblico rendono noto che il testo è stato generato o manipolato artificialmente. Tale obbligo non si applica se l’uso è autorizzato dalla legge per accertare, prevenire, indagare o perseguire reati o se il contenuto generato dall’IA è stato sottoposto a un processo di revisione umana o di controllo editoriale e una persona fisica o giuridica detiene la responsabilità editoriale della pubblicazione del contenuto.
5. Le informazioni di cui ai paragrafi da 1 a 4 sono fornite alle persone fisiche interessate in maniera chiara e distinguibile al più tardi al momento della prima interazione o esposizione. Le informazioni devono essere conformi ai requisiti di accessibilità applicabili.
6. I paragrafi da 1 a 4 lasciano impregiudicati i requisiti e gli obblighi di cui al capo III, così come gli altri obblighi di trasparenza stabiliti dal diritto dell’Unione o nazionale per i deployer dei sistemi di IA.
7. L’ufficio per l’IA incoraggia e agevola l’elaborazione di codici di buone pratiche a livello dell’Unione per facilitare l’efficace attuazione degli obblighi relativi alla rilevazione e all’etichettatura dei contenuti generati o manipolati artificialmente. La Commissione può adottare atti di esecuzione per approvare tali codici di buone pratiche secondo la procedura di cui all’articolo 56, paragrafo 6. Se ritiene che il codice non sia adeguato, la Commissione può adottare un atto di esecuzione che specifichi norme comuni per l’attuazione di tali obblighi secondo la procedura d’esame di cui all’articolo 98, paragrafo 2.
SPUNTO IMPORTANTE. IL CASO “del non rischio” più insidioso.
Tutti i lavori miseri ed approssimativi che ho visto fin’ora si limitano alla classificazione dei rischio degli articoli 5 e 6, ma esiste quello SISTEMICO, disciplinato dall’articolo 51 del REG 1689/2024….. e guarda un pò e proprio il caso di LLM generalisti, vi lascio il contenuto dell’annex XI per la documentazione a corredo.
ALLEGATO XI
Documentazione tecnica di cui all’articolo 53, paragrafo 1, lettera a) — documentazione tecnica per i fornitori di modelli di IA per finalità generali
Sezione 1
Informazioni che devono fornire tutti i fornitori di modelli di IA per finalità generali
La documentazione tecnica di cui all’articolo 53, paragrafo 1, lettera a), deve includere almeno le seguenti informazioni, in funzione della dimensione e del profilo di rischio del modello:
| 1. | Una descrizione generale del modello di IA per finalità generali comprendente:a)i compiti che il modello è destinato a eseguire e il tipo e la natura dei sistemi di IA in cui può essere integrato;b)le politiche di utilizzo accettabili applicabili;c)la data di pubblicazione e i metodi di distribuzione;d)l’architettura e il numero di parametri;e)la modalità (ad esempio testo, immagine) e il formato degli input e degli output;f)la licenza. |
| 2. | Una descrizione dettagliata degli elementi del modello di cui al punto 1 e informazioni pertinenti sul processo di sviluppo, compresi gli elementi seguenti:a)i mezzi tecnici (ad esempio istruzioni per l’uso, infrastruttura, strumenti) necessari per integrare il modello di IA per finalità generali nei sistemi di IA;b)le specifiche di progettazione del modello e del processo di addestramento, comprese le metodologie e le tecniche di addestramento, le principali scelte progettuali, comprese le motivazioni e le ipotesi formulate; gli aspetti che il modello è progettato per ottimizzare e la pertinenza dei diversi parametri, se del caso;c)informazioni sui dati utilizzati per l’addestramento, la prova e la convalida, se del caso, compresi il tipo e la provenienza dei dati e le metodologie di organizzazione (ad esempio pulizia, filtraggio, ecc.), il numero di punti di dati, la loro portata e le principali caratteristiche; il modo in cui i dati sono stati ottenuti e selezionati e tutte le altre misure per rilevare l’inadeguatezza delle fonti di dati e i metodi per rilevare distorsioni identificabili, se del caso;d)le risorse computazionali utilizzate per addestrare il modello (ad esempio il numero di operazioni in virgola mobile), il tempo di addestramento e altri dettagli pertinenti relativi all’addestramento;e)il consumo energetico noto o stimato del modello.Per quanto riguarda la lettera e), se il consumo energetico del modello non è noto, il consumo energetico può basarsi su informazioni relative alle risorse computazionali utilizzate. |
Sezione 2
Informazioni aggiuntive che devono fornire i fornitori di modelli di IA per finalità generali con rischio sistemico
| 1. | Una descrizione dettagliata delle strategie di valutazione, compresi i risultati della valutazione, sulla base dei protocolli e degli strumenti di valutazione pubblici disponibili o di altri metodi di valutazione. Le strategie di valutazione comprendono criteri di valutazione, metriche e metodi per l’individuazione delle limitazioni. |
| 2. | Se del caso, una descrizione dettagliata delle misure messe in atto al fine di effettuare il test contraddittorio (adversarial testing) interno e/o esterno (ad esempio, red teaming), adeguamenti dei modelli, compresi l’allineamento e la messa a punto. |
| 3. | Se del caso, una descrizione dettagliata dell’architettura del sistema che spiega in che modo i componenti software si basano l’uno sull’altro o si alimentano reciprocamente e si integrano nel processo complessivo. |
Ci avviamo verso la conclusione e vi ricordo che i sistemi di AI rientrano nell’e-procurement del DPCM 20.04.2025 in attuazione della Legge 90/2024.
vi lascio un vecchio approfondimento
ed uno schema CSA
Tabella di verifica per sistemi di Intelligenza Artificiale (GPAI e rischio sistemico)
Sezione A – Qualificazione del sistema e del modello
| ID | Requisito | Riferimento AI Act | Evidenza richiesta | Esito |
| A.1 | Uso di GPAI | Art. 3, 52 | Dichiarazione fornitore | ☐ OK ☐ NO ☐ NA |
| A.2 | GPAI a rischio sistemico | Art. 51 | Autodichiarazione / AI Office | ☐ OK ☐ NO ☐ NA |
| A.3 | Tipo di modello (open/closed) | Art. 52 | Descrizione tecnica | ☐ OK ☐ NO |
| A.4 | Modello proprietario o terzo | Art. 28 | Schema supply chain | ☐ OK ☐ NO |
Sezione B – Requisiti GPAI a rischio sistemico
| ID | Requisito | Riferimento | Evidenza richiesta | Esito |
| B.1 | Valutazione rischio sistemico | Art. 55 | Risk assessment | ☐ OK ☐ NO ☐ NA |
| B.2 | Stress test | Art. 55 | Report test | ☐ OK ☐ NO ☐ NA |
| B.3 | Piano mitigazione | Art. 55 | Piano mitigazione | ☐ OK ☐ NO ☐ NA |
| B.4 | Monitoraggio post-market | Art. 55 | Procedura + KPI | ☐ OK ☐ NO ☐ NA |
nel prossimo post invece analizzeremo i modelli tipo per l’acquisto di SISTEMI Di AI
Ora vi lascio il link con il codice di condotta per l’AI GENERATIVA sistemica con l’elenco degli aderenti
https://digital-strategy.ec.europa.eu/it/policies/contents-code-gpai
Ma prima vorrei farvi qualche quesito…..
SAPETE CHE I “PROMPT” CHE INSERITI NEI MODELLI DI INTELLIGENZA ARTIFICIALE VENGONO UTILIZZATI PER ADDESTRARE IL SISTEMA ?……..potete non rispondermi.
Vi lascio i vecchi approfondimenti.
COME BONUS FINALE vi LASCIO l’applicativo per il censimento
ed una semplice policy per i prompt
