Fatta salva un’eventuale proroga – chiesta a gran voce da diverse aziende del settore ICT – il Regolamento (UE) 1689/2024, noto come AI Act, entrerà pienamente in applicazione dal 2 agosto 2026, due anni dopo la sua entrata in vigore formale. Si tratta della prima normativa europea organica sull’intelligenza artificiale, pensata per bilanciare innovazione e tutela dei diritti fondamentali. Un testo che non guarda solo alle big tech, ma che impatterà direttamente anche su Regioni ed enti locali, chiamati ad adeguarsi a regole stringenti per l’uso di sistemi di IA nella Pubblica Amministrazione.
Indice
- Perché l’AI Act interessa Regioni ed enti locali
- I diversi livelli di rischio previsti dall’AI Act
- Sistemi ad alto rischio e regole di conformità
- Contratti e responsabilità nella PA
- Obblighi specifici per i deployer pubblici
- FRIA: la valutazione d’impatto sui diritti fondamentali
- Trasparenza e sistemi a rischio limitato
- Le sanzioni in caso di inadempienza
- L’occasione per innovare responsabilmente
Perché l’AI Act interessa Regioni ed enti locali
L’AI Act, approvato dall’Unione Europea, segna un passaggio decisivo per Regioni ed enti locali che intendono adottare sistemi di intelligenza artificiale nella gestione amministrativa. Queste tecnologie, se ben integrate, possono ridurre la complessità burocratica, velocizzare l’analisi delle domande dei cittadini e migliorare la continuità dei servizi pubblici. L’IA, insomma, non è solo innovazione tecnologica: è anche uno strumento di governance capace di supportare decisioni politiche, monitorarne l’attuazione e valutarne gli effetti nel tempo.
In questo quadro, occorre però considerare i vincoli posti dal regolamento europeo. Pur tralasciando gli aspetti collegati alla protezione dei dati personali, l’AI Act stabilisce regole precise sull’uso dei sistemi di intelligenza artificiale, compresa la Valutazione d’impatto sui diritti fondamentali (FRIA), in stretta relazione con la più nota DPIA prevista dal GDPR.
I diversi livelli di rischio previsti dall’AI Act
Alla base della normativa vi è la consapevolezza che l’IA può portare vantaggi enormi ma anche rischi significativi. Per questo, l’AI Act introduce una classificazione dei sistemi in quattro fasce di rischio:
- Inaccettabile: sistemi vietati per legge.
- Alto rischio: soggetti a obblighi stringenti di conformità.
- Rischio limitato: comportano oneri ridotti.
- Rischio minimo: non hanno vincoli specifici, salvo norme di settore già vigenti.
L’obiettivo è garantire tutela costante in materia di salute, sicurezza, diritti fondamentali, democrazia, Stato di diritto e protezione ambientale.
Sistemi ad alto rischio e regole di conformità
Per gli enti pubblici, molti casi rientrano nella categoria “alto rischio”. Tra questi:
- infrastrutture critiche come acqua, gas, elettricità o traffico stradale;
- sistemi che determinano l’accesso a istruzione e formazione professionale;
- tecnologie utilizzate per concedere o revocare servizi di assistenza pubblica;
- strumenti che gestiscono chiamate d’emergenza e la selezione dei pazienti nei pronto soccorso.
Le Regioni e i Comuni devono verificare che i fornitori forniscano documentazione tecnica e un sistema di gestione dei rischi costantemente aggiornato. I dataset devono essere adeguati al contesto geografico e sociale, garantendo accuratezza, robustezza e cybersecurity.
Inoltre, i sistemi devono disporre di:
- istruzioni chiare per individuare anomalie o discriminazioni;
- funzionalità di registrazione degli input e output;
- strumenti per identificare chi, all’interno dell’ente, ha supervisionato l’uso del sistema.
Contratti e responsabilità nella PA
Dal 2025 gli enti locali potranno contare sulle Clausole Contrattuali Modello UE (MCC-AI), disponibili anche in italiano. Si tratta di due template: uno per appalti di sistemi ad alto rischio e l’altro per tecnologie meno critiche. Questi schemi contrattuali aiutano a chiarire ruoli e responsabilità, a prevenire conflitti e a rispettare gli obblighi previsti dal regolamento.
Obblighi specifici per i deployer pubblici
Secondo l’AI Act, se un ente locale modifica in modo sostanziale un sistema ad alto rischio, viene considerato fornitore a tutti gli effetti, con obblighi equivalenti.
In ogni caso, i deployer pubblici devono:
- garantire sorveglianza umana qualificata;
- adottare misure organizzative e tecniche per un uso corretto;
- assicurarsi della qualità e rappresentatività dei dati di input;
- monitorare il funzionamento del sistema;
- segnalare incidenti o rischi a fornitori e autorità competenti;
- conservare i log per almeno sei mesi.
Oltre a ciò, i sistemi ad alto rischio devono essere registrati in una banca dati europea, che raccoglie informazioni sul fornitore, dati di input e dichiarazioni di conformità.
FRIA: la valutazione d’impatto sui diritti fondamentali
L’articolo 27 del regolamento introduce la FRIA come requisito fondamentale prima dell’uso di un sistema ad alto rischio. Questa analisi deve descrivere processi, tempi di utilizzo, categorie di cittadini coinvolti e rischi potenziali, oltre a prevedere misure di sorveglianza umana e meccanismi di reclamo.
La FRIA è strettamente collegata alla DPIA del GDPR: in molti casi, infatti, può integrare valutazioni già fatte sul trattamento dei dati personali. Modelli operativi, come quello sviluppato dall’Autorità Catalana per la Protezione dei Dati, offrono una guida concreta agli enti locali.
Trasparenza e sistemi a rischio limitato
Anche nei casi di rischio minore, l’AI Act impone trasparenza. Se Regioni o Comuni utilizzano chatbot o generatori di testo per comunicare con i cittadini, devono segnalare chiaramente che il contenuto è stato creato o modificato artificialmente.
Le sanzioni in caso di inadempienza
La non conformità agli obblighi può costare caro: fino a 15 milioni di euro di sanzione. Ogni Stato membro, Italia compresa, disciplinerà nel dettaglio le modalità di applicazione e gli eventuali limiti per le amministrazioni pubbliche.
L’occasione per innovare responsabilmente
L’AI Act non è solo un vincolo normativo, ma un’occasione per ripensare il rapporto tra Pubblica Amministrazione e tecnologia. Regioni ed enti locali si trovano davanti a un bivio: usare l’intelligenza artificiale come leva di efficienza e trasparenza oppure subirne le regole senza coglierne i vantaggi. La sfida è culturale prima ancora che tecnologica: occorreranno competenze, governance e una visione chiara per trasformare i paletti europei in opportunità concrete per i cittadini.
