Sommario: 1. AI Act e settore amministrativo: molti interrogativi, poche risposte – 2. Frammenti di disciplina, vuoti di regolazione ed il pericolo di un tracollo delle garanzie: il caso della riserva di umanità e della trasparenza algoritmica – 3. Il problema dell’ammissibilità di un intervento regolatorio nazionale in tema di automazione decisionale amministrativa a mezzo di intelligenza artificiale – 4. Un (possibile) tracciato per aprire la via “italiana” per l’intelligenza artificiale nel procedimento amministrativo.
1. AI Act e settore amministrativo: molti interrogativi, poche risposte
Nel giugno scorso si è finalmente giunti all’approvazione del Regolamento Europeo sull’intelligenza artificiale[1].
La comunità dei giuristi ha atteso con trepidazione un momento che è stato vissuto come un traguardo storico che ha posto l’Unione europea all’avanguardia mondiale[2].
Ciò è valso anche per gli amministrativisti[3] travolti, ormai da più di un lustro[4], da una nouvelle vague di studi sul tema.
Le speranze di trovare nel legislatore europeo le risposte ai tanti interrogativi che si agitano attorno al tema sono state, tuttavia, largamente disattese. Tanto che forse, oggi, ci troviamo dinanzi ad un framework regolatorio complessivamente più incerto rispetto a quello sinora offerto dalla giurisprudenza e dalla normativa speciale[5].
Non si può, infatti, mettere seriamente in dubbio che l’AI Act si rivolga (anche) alle pubbliche amministrazioni. In questo senso è schierata la quasi totalità dei primi commentatori[6]. Questi fanno condivisibilmente leva, in particolare, sulle nozioni di “fornitore” e “deployer” ex art. 3, par. nr. 3) e 4) che menzionano espressamente anche l’“autorità pubblica”[7].
Ma, se la platea soggettiva del Regolamento ricomprende certamente, seppur in una veste specifica, gli operatori pubblici, appare chiaro che la sua disciplina non è stata concepita né elaborata tenendo a mente le peculiarità del settore amministrativo[8].
Ciò discende, a ben vedere, dalla criticità che affligge, al fondo, la scelta regolatoria unionale: coltivare l’ambizione di disciplinare in maniera “orizzontale” il fenomeno e farlo, tuttavia, con lo strumento del regolamento.
E, infatti, è quasi superfluo osservare che l’intelligenza artificiale, come tecnologia di base dal potenzialmente sterminato campo di applicazione costituisce un oggetto sfuggevole che può essere imbrigliato solo a mezzo di una normazione minima per principi che deve necessariamente trascendere i tratti distintivi dei diversi settori ordinamentali[9].
Ne è, così, uscita fuori, almeno nella specifica prospettiva dell’amministrativista, una disciplina che soffre di evidenti vuoti di regolazione.
Il che emerge con chiarezza se ci si sofferma sulle concrete ricadute della stessa meditando su cosa accadrebbe ove, all’indomani dell’entrata in vigore del Regolamento[10], ci si trovasse ad applicare quest’ultimo, in ragione dell’efficacia diretta di molte delle sue disposizioni, alla vita dell’amministrazione.
2. Frammenti di disciplina, vuoti di regolazione ed il pericolo di un tracollo delle garanzie: il caso della riserva di umanità e della trasparenza algoritmica
Per saggiare l’impatto che la nuda disciplina del Regolamento avrebbe nel settore amministrativo, prima di approfondire due aspetti puntuali, giova rammentare succintamente quali sono i suoi capisaldi.
Lo scheletro dell’AI Act poggia, in particolare, sulla categorizzazione dei sistemi di intelligenza artificiale che segue un risk based approach[11] e che ha lo scopo di tracciarne il diverso regime giuridico.
Questi, fatte salve alcune categorie peculiari[12], sono suddivisi in quattro tipologie: i sistemi “vietati” ex art. 5 del Regolamento; i sistemi “ad alto rischio” ex art. 6 del Regolamento; i sistemi ex art. 50 “a rischio limitato” rispetto alle esigenze di trasparenza; tutti gli altri sistemi considerati “a rischio minimo”[13].
Le prime due sono costruite secondo una logica di stretta tassatività e trovano una disciplina specifica. la terza opera de residuo rispetto alla precedenza e non trova, ad opera del Regolamento, un regime giuridico ad hoc.
Nella prospettiva che qui interessa, l’art. 6 del Regolamento rappresenta il vero perno di questa categorizzazione perché individua, in un certo senso, il suo cuore precettivo[14].
La disposizione in parola individua i sistemi di intelligenza artificiale “ad alto rischio” a mezzo del rinvio esterno all’Allegato III[15]. Quest’ultimo, a sua volta, reca un’elencazione, dal tenore certamente tassativo, di sistemi di IA che “sono considerati ad alto rischio”[16].
Ebbene, non può sfuggire, come pure notato da taluno in dottrina, che in detta elencazione un po’ farraginosa rientrano certamente alcuni campi propri dell’azione amministrativa[17]. Ne è un esempio, tra gli altri, l’all. III par. 5 lett. a) il quale contempla “sistemi di IA destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l'ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi”[18].
Manca, per contro, una previsione di portata generale che consideri “ad alto rischio” ogni sistema di intelligenza artificiale impiegato a supporto dello svolgimento di funzioni pubblici e nell’esercizio di poteri autoritativi. Ciò emerge con nettezza se si opera un raffronto con il settore “giustizia” in relazione al quale è rintracciabile, invece, una disposizione di tale tenore[19]. Inoltre, non può obliterarsi, nel corso del travagliato iter che ha condotto all’adozione dell’AI Act, è stato pure proposto (ma non approvato) un emendamento con il quale inserire, su modello di quanto previsto per l’attività giudiziaria, anche i sistemi di IA serventi l’attività amministrativa tra quelli ad alto rischio[20].
L’intenzione del legislatore europeo recepita nella versione finale del Regolamento pare, dunque, sia stata quella di non qualificare, in generale, l’impiego dell’IA a sostegno dell’azione amministrativa come “ad alto rischio” salvo che per quei specifici casi tassativamente indicati all’allegato III (tra cui, ad esempio, il sopra citato all. III par. 5 lett. a)[21].
Facilmente intuibili sono le non trascurabili conseguenze di questa scelta.
Il primo e più evidente riflesso è dato dalla frammentazione del regime giuridico[22]. Infatti, solo per i sistemi di IA impiegati nello svolgimento delle funzioni amministrative che siano espressamente inquadrabili tra quelli “ad alto rischio” troverà applicazione la disciplina prevista all’uopo dal Regolamento.
Ciò si traduce, all’evidenza, in mancanza di una qualificazione in termini generali, in un’elevata incertezza applicativa che potrebbe, specie in un primo momento, frenare il ricorso allo strumento dell’intelligenza artificiale. E, infatti, occorrerà di volta in volta chiedersi se un dato impiego dell’IA nel settore pubblico ricada in una delle fattispecie, talvolta, sfumate, dell’allegato III[23].
E, se si pone mente alla circostanza che buona parte delle disposizioni che compongono lo statuto dei sistemi “ad alto rischio” risulta dotato di efficacia diretta, è facile immaginare che queste incognite applicative possano alimentare anche il contenzioso attorno all’attività amministrativa automatizzata.
Ma la ripercussione più delicata della scelta regolatoria del legislatore europeo attiene al livello di guarentigie che l’AI Act finirebbe con l’accordare. Seguendo la logica al fondo della quadripartizione su cui si fonda il Regolamento, i sistemi di IA impiegati nello svolgimento delle funzioni amministrative che non siano qualificabili come “vietati” ex art. 5 né “ad alto rischio” ex art. 6 sono destinati a rientrare nella categoria di quelli “a rischio limitato” ovvero, de residuo, in quella dei sistemi “a rischio minimo” per cui non è opera una disciplina ad hoc, salva la possibilità di un’estensione su base volontaria del regime legale dei sistemi “ad alto rischio” attraverso lo strumento dei codici di condotta di cui all’art. 95, par. 1, del Regolamento[24]. Il che importa l’inoperatività della safeguards previste dal Regolamento.
Eppure, non v’è dubbio che vi siano moltissime possibili applicazioni dell’IA nel settore pubblico non rientranti nell’elencazione di cui all’allegato III ma destinate ad incidere ugualmente in maniera significativa su diritti e libertà fondamentali dell’individuo[25].
Queste, nonostante la loro delicatezza, soffrirebbero così il depotenziamento (o forse più propriamente l’azzeramento) delle garanzie già costruite a livello nazionale dapprima da dottrina e giurisprudenza e poi recepite nella normativa speciale dal legislatore[26].
Sono due i profili più eclatanti.
La garanzia della “supervisione umana” ex art. 14 del Regolamento[27] opererebbe solo per gli impieghi da parte della pubblica amministrazione – che costituiscono invero una netta minoranza - inquadrabili tra quelli dell’allegato III. Fuori di tale limitato campo non opererebbe, pertanto, il principio di non esclusività algoritmica[28] e sarebbe tradita la “riserva di umanità”[29].
Non opererebbero neppure, e questo è l’altro aspetto critico, le garanzie in materia di trasparenza algoritmica poste dall’art. 13[30] ma, al più, solo quelle (assai più lasche ed eventuali, per i soli sistemi “a rischio limitato”) di cui all’art. 50 in tema di “Obblighi di trasparenza per i fornitori e i deployers di determinati sistemi di IA”.
È chiaro che una simile ricostruzione, specie ove non si dovesse lasciare spazio di correzione al legislatore nazionale, innescherebbe profonde tensioni anche con principi supremi di rango costituzionale. Ciò vale sia con riguardo alla “riserva di umanità”, che gode di copertura costituzionale agli artt. 2, 54, 97 e 98 Cost. e sovranazionale all’art. 1 della Carta di Nizza[31], che alla trasparenza algoritmica[32].
Uno scenario, questo, che potrebbe addirittura condurre all’attivazione dei contro-limiti[33] ovvero spingere la giurisprudenza interna a battere, rispetto al Regolamento, la strada del rinvio pregiudiziale di validità dinanzi alla Corte di giustizia facendo leva, come parametro di diritto unionale primario, sulla Carta dei diritti fondamentali dell’Unione europea e sulla[34].
3. Il problema dell’ammissibilità di un intervento regolatorio nazionale in tema di automazione decisionale amministrativa a mezzo di intelligenza artificiale
Il rischio di un generalizzato abbattimento delle garanzie rende massimamente opportuno (e forse addirittura impone) un intervento regolatorio nazionale a corredo dell’AI Act.
Queste considerazioni non esonerano certo il giurista dall’interrogarsi se siffatto intervento regolatorio sia, però, anche ammissibile nel quadro dei rapporti tra diritto nazionale e diritto unionale. Trattasi, invero, di questione che involge anzitutto la struttura del sistema delle fonti di un ordinamento che, anche nel campo amministrativo, è oramai multilivello.
L’esistenza o meno di un margine regolatorio in favore del nostro legislatore interno è, peraltro, tema, come segnalato dalla dottrina più attenta[35], di stringente attualità.
E ciò non solo per la prossima entrata in vigore della parte del Regolamento che si occupa dei sistemi di IA “ad alto rischio” ma perché, nel maggio 2024, in concomitanza con l’organizzazione del G7 a presidenza italiana, è stato presentato un disegno di legge di iniziativa governativa avente ad oggetto “Disposizioni e delega al Governo in materia di intelligenza artificiale”[36]. In esso campeggia, peraltro, all’art.13, una disciplina relativa all’“Uso dell'intelligenza artificiale nella pubblica amministrazione” che recepisce l’idea dell’esistenza di una riserva di umanità a portata generale nell’ambito delle funzioni amministrative automatizzate e che ribadisce la centralità delle garanzie in tema di trasparenza algoritmica[37].
Il pericolo di una sovrapposizione con l’AI Act (nel frattempo adottato) è stato, invero, avvertito sin da subito dal legislatore nazionale il quale, non solo ha escluso espressamente tela evenienza in sede di analisi tecnico normativa ma ha anche inserito un riserva espressa di prevalenza del diritto unionale[38].
A ciò ha fatto seguito, nell’ottica della leale cooperazione, l’apertura di un carteggio con la Commissione su alcuni profili del disegno di legge.
Gli esiti del confronto sono ancora provvisori e riservati ma non condurranno, con ogni probabilità, a risposte nette specie con riguardo, per quanto qui più interessa, l’aspetto dell’uso dell’intelligenza artificiale da parte della pubblica amministrazione in quanto quest’ultimo non sembra aver formato direttamente oggetto dell’interlocuzione.
In un quadro in evidente evoluzione non sembra, tuttavia, possa tacersi l’esistenza di una serie di dati che potrebbero spingere ad escludere l’ammissibilità di un intervento regolatorio nazionale in tema di automazione decisionale amministrativa a mezzo di intelligenza artificiale.
In primo luogo, è quasi superfluo rammentare che il legislatore europeo ha optato per l’utilizzo di un regolamento adottato attraverso una procedura di tipo legislativo.
Ci si confronta, pertanto, con una fonte di diritto derivato del diritto dell’Unione Europea che presenta le note caratteristiche di cui all’art. 288 T.F.U.E..
Il Regolamento è, in particolare, atto a portata generale, vincolante in tutti i suoi elementi e, soprattutto “direttamente applicabile” negli Stati membri.
La sua diretta applicabilità importa che esso non necessita, almeno di regola, di attuazione a livello nazionale[39].
Deve, tuttavia, aggiungersi che la base giuridica specifica per l’adozione dell’AI Act è stata rappresentata dall’art. 114 T.F.U.E. inserito nel Capo 3 del Titolo VII della Parte Terza del Trattato, il quale disciplina gli strumenti di “Ravvicinamento delle legislazioni” volti alla realizzazione degli obiettivi di cui all’art. 26 (cioè “l'instaurazione” e il “funzionamento del mercato interno”)[40].
Pur se in questa specifica ottica sembra, come detto, che il Regolamento sia nato con l’ambizione di offrire una regolazione di portata generale ed orizzontale del fenomeno dell’intelligenza artificiale[41]. Ciò è desumibile, in particolare, oltre che dai Considerando[42], dalle disposizioni relative al suo campo oggettivo di applicazione e, segnatamente, dall’art. 2, par. 3, secondo periodo, del regolamento che esclude dallo stesso il solo settore militare[43].
È lo stesso Regolamento, peraltro, a disciplinare, in taluni casi, i rapporti con il legislatore nazionale. Vi sono, infatti, sparse per l’AI Act disposizioni puntuali che consentono ovvero autorizzano l’intervento nazionale anche in deroga alla disciplina regolamentare. Ne è un esempio l’art. 5, par. 5 in tema di l’uso di sistemi di identificazione biometrica remota “in tempo reale”[44]. Valorizzando siffatte disposizioni si potrebbe, quindi, sostenere, seppur in maniera formalistica, che ubi lex voluit dixit ubi non voluit tacuit con la conseguenza di escludere ogni margine di regolazione nazionale fuori dei casi espressamente individuati dalla fonte unionale.
Infine, nell’ammettere la possibilità di intervento del legislatore dello Stato membro ci si deve confrontare con il concreto rischio di sovra-regolamentazione della materia anche nelle forme del cd. “gold plating”. Un fenomeno, questo, da scongiurare perché reca con sé incertezze applicative e mette in pericolo la stessa primazia del diritto dell’Unione[45].
4. Un (possibile) tracciato per aprire la via “italiana” per l’intelligenza artificiale nel procedimento amministrativo
Nonostante i possibili indizi di segno contrario indicati al paragrafo precedente, sembrano nettamente prevalere gli elementi che depongono nel senso dell’ammissibilità di un intervento del legislatore nazionale in subiecta materia.
Anzitutto, non può trascurarsi che, come già evidenziato, la base giuridica di adozione dell’AI Act è rappresentata dall’art. 114 T.F.U.E. e che, quindi, in disparte dal tipo di strumento normativo prescelto, la prospettiva resta pur sempre quella di “ravvicinamento” (e non di una radicale uniformazione) delle discipline nazionali[46].
Peraltro, come pure accennato, lo scopo del Regolamento, reso esplicito anche dal suo art. 1, par. 1, è “migliorare il funzionamento del mercato interno e promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di IA nell'Unione, e promuovendo l'innovazione”[47].
Se ne può trarre che l’IA è vista dal legislatore europeo essenzialmente come res[48] e, specificatamente, come prodotto del mercato in particolare nell’ottica di assicurare la libera circolazione[49]. In tale ottica, statica e non dinamica, è posta la disciplina unionale che guarda quale oggetto della sua regolazione lo strumento[50] e non anche, salvo alcuni specifiche applicazioni più delicate[51], l’uso dello stesso. È chiaro come il confine tra questi due piani non sia sempre netto e che, talvolta, disciplinare lo strumento in sé equivale anche a regolarne in qualche misura anche l’uso[52]. Ne è riprova la circostanza che l’art. 1, par. 2 del Regolamento si propone di stabilire, tra l’altro, con un approccio che sembrerebbe onnicomprensivo, “regole armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA nell'Unione”.
Ma per quanto qui più interessa, sembra si debba necessariamente prendere atto che, come pure osservato in dottrina, la disciplina posta dall’AI Act, specie con riguardo al piano dei possibili usi dello strumento, non è esaustiva[53] ma necessita di attuazione dando vita ad una armonizzazione non massima[54].
Di ciò sembra in qualche misura consapevole lo stesso legislatore dell’AI Act tanto da prevedere al Considerando 153 che “Gli Stati membri svolgono un ruolo chiave nell'applicare ed eseguire il presente regolamento. A tale riguardo, è opportuno che ciascuno Stato membro designi almeno una autorità di notifica e almeno una autorità di vigilanza del mercato come autorità nazionali competenti al fine di controllare l'applicazione e l'attuazione del presente regolamento”[55].
Su altro versante va, altresì, preso atto che la disciplina dettata dal Regolamento esplica la sua forza, in ragione dell’assetto complessivo dei rapporti tra livello nazionale e unionale, in un campo naturalmente limitato.
In primo luogo, non è superfluo rammentare che il criterio fondamentale di riparto delle competenze normative tra Unione e Stati membri previsto dall’art. 5 T.U.E. è rappresentato dal principio di attribuzione e che, a fronte di quest’ultimo, non è rinvenibile una base giuridica generale in materia di disciplina dell’attività amministrativa[56].
Se è vero che il legislatore europeo spesso pone frammenti di disciplina procedimentale lo fa, tuttavia, nell’esercizio di specifici titoli competenziali e con un approccio che deve essere di self restraint ispirato al rispetto del principio di autonomia procedurale[57]. Nel caso di specie, sembra, peraltro, difficile sostenere che una base giuridica, come quella prima rammentata, di mera armonizzazione e che guarda al funzionamento comune possa essere “stirata” fino a tal punto da consentire di occupare trasversalmente l’ambito materiale del procedimento amministrativo ogni qual volta venga in rilievo in esso l’impiego dello strumento dell’intelligenza artificiale.
In secondo luogo, occorre fare i conti con l’art. 2, par. 3, dello stesso AI Act. Secondo tale disposizione “Il presente regolamento non si applica a settori che non rientrano nell'ambito di applicazione del diritto dell'Unione e, in ogni caso, non pregiudica le competenze degli Stati membri in materia di sicurezza nazionale, indipendentemente dal tipo di entità incaricata dagli Stati membri di svolgere compiti in relazione a tali competenze”. Ne consegue che la forza vincolante del regolamento risulta in ogni caso limitata ai casi in cui la P.A. agisce in settori disciplinati dal diritto dell’Unione e, quindi, solo nei casi di “amministrazione indiretta” ovvero “congiunta”[58] in cui le autorità amministrative nazionali fanno diretta applicazione del diritto unionale. Fuori tale campo non v’è alcun problema, neppure astratto, di compatibilità tra un’eventuale disciplina nazionale e l’AI Act.
Infine, non deve dimenticarsi che, come emerge anche dai primi Considerando al Regolamento, la tutela dei diritti umani, pur non costituendo la base giuridica dell’intervento normativo europeo, rappresenta uno dei suoi principali orizzonti. Sicché l’ammissibilità di un intervento regolatorio nazionale a corredo dell’AI Act deve essere necessariamente valutata anche in ragione della capacità di implementare ed innalzare, in un’ottica multilivello, la soglia di tutela offerta dall’ordinamento rispetto a tali posizioni subiettive fondamentali[59].
In altri termini, pare che vadano apprezzate favorevolmente iniziative legislative in grado di correggere quello che è stato definito, in maniera severa ma efficace, con una metafora che strizza l’occhio al mondo dell’architettura, il “brutalismo” della nascente disciplina europea in materia di tecnologie digitali[60].
In un quadro così frastagliato e complesso, sembra peraltro che l’individuazione di un margine di regolazione dell’impiego dell’IA nel settore amministrativo in favore degli Stati membri possa passare per il crinale che corre tra i fenomeni, vicini ma differenti, della c.d. “armonizzazione spontanea” e del c.d. “gold plating”.
Come ha avuto occasione di osservare la dottrina più attenta[61], il c.d. gold plating concerne tipicamente il momento attuativo del diritto dell’Unione europea ed è caratterizzato dall’imposizione, da parte del legislatore nazionale, di oneri normativi, amministrativi e burocratici ulteriori rispetto a quelli espressamente richiesti dall’atto unionale[62]; sicché esso è un concetto che può essere inquadrato entro un più generale discorso di better regulation.
Il fenomeno dell’armonizzazione spontanea, invece, non concerne il momento attuativo del diritto dell’Unione, consistendo piuttosto in un allineamento della disciplina interna a quella di derivazione “eurounitaria” anche nei casi in cui quest’ultima non opera. La differenza con il gold-plating è, pertanto, evidente atteso che nel caso dell’armonizzazione spontanea il legislatore non ha alcun dovere di recepimento o di attuazione ma sceglie di “ispirarsi” alla normativa europea nel disciplinare una fattispecie interna a cui non si applicherebbe il diritto dell’Unione, con ciò ponendo in essere un vero e proprio processo di “spontaneous europeanisation” o uno “spill-over effect” del diritto europeo[63].
Nell’ottica propria dell’“armonizzazione spontanea” può, in particolare, essere letto un intervento del legislatore dello Stato membro che si sostanzi nell’estensione delle safeguards previste per i sistemi ad alto rischio anche fuori del campo di naturale applicazione dell’AI Act e, quindi, più segnatamente, non solo oltre lo steccato del già ricordato art. 2, par. 3 (id est anche ove la pubblica amministrazione nazionale non faccia applicazione in sede di amministrazione indiretta del diritto unionale), ma anche al di là delle ipotesi di attività amministrative tipizzate come ad “alto rischio” dall’Allegato III al Regolamento medesimo[64]. Una logica, quella del volontario innalzamento delle guarentigie, che fa capolino anche nel testo del Regolamento col meccanismo dei codici di condotta ex art. 95, par. 1[65].
Si potrebbe, tuttavia, obiettare che, attraverso una simile estensione, si finisca in qualche modo con il superare la scelta politica compiuta dal legislatore europeo[66]. Una scelta che potrebbe essere stata espressa anche “in negativo” e cioè nel senso che, qualificando come ad “alto rischio” solo taluni sistemi tassativamente individuati, questi ha voluto, al contempo, escludere che lo siano (e che lo possano essere) quelli non inseriti in tale elencazione. Il che equivarrebbe a dire che al fondo del Regolamento vi è l’intenzione che i sistemi di IA non qualificati espressamente come ad alto rischio debbano restare, sempre e comunque, assoggettati ad una disciplina più lasca (o meglio di sostanziale libertà).
Posta in questi termini la questione, il vero punto su cui riflettere diviene quello della individuazione dello scopo finale del Regolamento.
In particolare, v’è da chiedersi se il suo fine ultimo sia la promozione del ricorso allo strumento dell’IA (anche per evitare che la sua regolazione sia da freno allo sviluppo del settore) oppure, anzitutto, quello di costruire una disciplina minima comune a garanzia di diritti fondamentali e libertà anche esportabile fuori dei confini del continente europeo[67].
La risposta, ancora una volta, non è scontata perché si ammanta di valutazioni politiche tanto più che, come detto, sia nei considerando che nel corpo della disciplina del Regolamento fanno capolino entrambi i suddetti scopi.
E, allora, l’aspetto su cui meditare attiene più precipuamente è la ricerca di un punto di equilibrio tra questi due opposti poli.
Con ogni probabilità questo difficile compito sarà affidato, come accaduto per altri delicati snodi del tortuoso processo di integrazione unionale, al dialogo tra Corti nazionali (costituzionale e di ultima istanza) e Corte di giustizia[68].
In attesa di tali risposte è, però, tempo di cominciare ad immaginare concretamente una “via italiana” all’impiego dell’intelligenza artificiale nel settore pubblico[69]. E farlo velocemente, prima della completa entrata in vigore dell’AI Act, sotto la irrinunciabile guida dei principi costituzionali ed europei mettendo saldamente al centro riserva di umanità e trasparenza algoritmica.
Quanto al modo, la delicatezza, nell’attuale frangente storico, dei rapporti tra Unione e Stati membri suggeriscono un approccio forse più dimesso rispetto a quello finora seguito in cui ci si concentri, non tanto (e non solo) sulla costruzione di una disciplina di portata generale ed orizzontale che rischia di “doppiare” quella europea[70], ma su interventi più puntuali e circoscritti, quasi chirurgici, sul testo della l. n. 241 del 1990[71].
Il cantiere può dirsi aperto.
Lo scritto è stato redatto nell’ambito del progetto di ricerca «Algorithmic tools for citizens and public administrations», finanziato dallo spagnolo Ministerio de Ciencia e Innovación (PID2021-126881OB-I00).
[1] Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024che stabilisce regole armonizzate sull'intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull'intelligenza artificiale), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea Serie L del 12 luglio 2024.
[2] Facendo dell’Unione un “gigante” della regolazione che però resta un “nano” sul piano della tecnologia a cospetto di Stati Uniti e Cina, le quali seguono approcci profondamente differenti (come ricordato da ultimo da L. Torchia, Pubblica amministrazione e transizione digitale, in Giorn. dir. amm., 6, 2024, 729). Il quadro è, peraltro, in continua evoluzione e si lega al complessivo scenario geopolitico (su questa dimensione di confronto tra “potenze” si veda il volume di Limes, L’intelligenza non è artificiale, 12, 2022). Si pensi, ad esempio, al brusco cambio di rotta impresso dalla presidenza Trump che, all’indomani dell’elezione ha ritirato l’executive order “on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence” emanato di dal suo predecessore il 30 ottobre 2023. Quanto all’impatto che la regolazione della tecnologia può avere sulla distribuzione della ricchezza e sulla necessità di una visione inclusiva del digitale che non alimenti ulteriormente le diseguaglianze si veda il fondamentale lavoro di D. Acemoglu e S. Johnson, Potere e progresso. La lotta millenaria per la tecnologia e la prosperità, Milano, 2023.
[3] Tra i numerosi studi in tema si segnalano, senza pretesa di esaustività, B. Marchetti, Intelligenza artificiale, poteri pubblici e rule of law, in Riv. it. dir. pub. com., 1, 2024, 49 e ss.; G. Lo Sapio, L’Artificial Intelligence Act e la prova di resistenza per la legalità algoritmica, in Federalismi, 16, 2024; S. Francario, La decisione amministrativa automatizzata secondo il Regolamento UE 2024/1689, in questa Rivista, 31 ottobre 2024; A. Cerrillo i Martínez, El impacto del Reglamento de Inteligencia Artificial en las Administraciones públicas, in Revista Jurídica de les Illes Balears, 26, 2024; I. Hasquenoph, Commande publique : quels enjeux au lendemain du règlement européen sur l'intelligence artificielle?, in AJ Collectivités Territoriales, 2025, 147; A. G. Orofino, Tra obiettivi perseguiti e problemi irrisolti: l’impatto dell’IA Act sull’assetto regolatorio dell’informatica pubblica, in corso di pubblicazione su Contratto e impresa.
[4] Invero, in Italia le prime riflessioni risalgono a oltre trenta anni fa (A. Predieri, Gli elaboratori elettronici nell’amministrazione dello Stato, Bologna, 1971, p. 52; G. Duni, L’utilizzabilità delle tecniche elettroniche nell’emanazione degli atti e nei procedimenti amministrativi. Spunto per una teoria dell’atto emanato nella forma elettronica, in Riv.amm.,1978, 407 ss.; B. Selleri, Gli atti amministrativi «in forma elettronica», in Dir. Soc., 1982, 133; G. Caridi, Informatica giuridica e procedimenti amministrativi, Milano, 1983, p. 145; V. Frosini, L’informatica e la p.a., in Riv.trim.dir.pubbl., 1983, p. 48; A. Usai, Le prospettive di automazione delle decisioni amministrative in un sistema di teleamministrazione, in Dir.inf., 1993, 17 ss.; tra gli studi monografici A. Masucci, L’atto amministrativo informatico. Primi lineamenti di una ricostruzione, Napoli, 1993 e U. Fantigrossi, Automazione e pubblica amministrazione, Bologna, 1993) e quella attuale è solo l’ultima stagione di un dibattito molto più articolato. Di “stagioni” di studio ve ne sono state, invero, almeno due dopo i lavori dei pionieri della materia. La prima ha avuto luogo agli inizi degli anni 2000 su stimolo della giurisprudenza amministrativa (A.G. Orofino, La patologia dell’atto amministrativo elettronico: sindacato giurisdizionale e strumenti di tutela, in Foro amm. C.d.S., 2002, 2276; F. Saitta, Le patologie dell’atto amministrativo elettronico e il sindacato del giudice amministrativo, in Dir.ec., 2003, 615; D. Marongiu, L’attività amministrativa automatizzata, Santarcangelo di Romagna, 2005; A.G. Orofino, R.G. Orofino, L’automazione amministrativa: imputazione e responsabilità, in Giorn. dir. amm., 12, 2005, p. 1300 ss.). La seconda, più recente ed ancora in corso, figlia dell’impetuoso sviluppo tecnologico degli ultimi anni, ha preso abbrivio a partire dalla seconda metà degli anni ’10 di questo secolo, è certamente più ricca dal punto di vista quantitativo ma si muove, in massima parte, ancora nel solco tracciato dai lavori precedenti. Tra questi, sempre senza pretesa di esaustività, il riferimento è, per rimanere a livello monografico a G. Avanzini, Decisioni amministrative e algoritmi informatici. Predeterminazione, analisi predittiva e nuove forme di intellegibilità, Napoli, 2019; V. Brigante, Evolving pathways of administrative decisions. Cognitive activity and data, measures and algorithms in the changing administration, Napoli, 2019; A. Di Martino, Tecnica e potere nell’amministrazione per algoritmi, Napoli, 2023; E. M. Menéndez Sebastián, From Bureaucracy to Artificial Intelligence: The Tension between Effectiveness and Guarantees, Padova, 2023.
[5] Il riferimento è, rispettivamente, alla giurisprudenza amministrativa e, segnatamente, del Consiglio di Stato (Cons. St., sez. VI, 8 aprile 2019, n. 2270; Cons. St., sez. VI, 13 dicembre 2019, n. 8474; Cons. St., Sez. VI, 4 febbraio 2020, n. 881, con commento di A.G. Orofino, G. Gallone, L’intelligenza artificiale al servizio delle funzioni amministrative: profili problematici e spunti di riflessione, in Giur. it., 2020, 1738; per una descrizione del contesto in cui nascono queste pronunce si veda L. Carbone, L’algoritmo e il suo giudice, in www.giustizia-amministrativa.it, 2023) e all’art. 30 del d.lgs. n. 36 del 2023 (per la cui analisi si rinvia alle osservazioni svolte in G. Gallone, Digitalizzazione, amministrazione e persona: per una “riserva di umanità” tra spunti codicistici di teoria giuridica dell’automazione, in P.A. Persona e Amministrazione, 1, 2023, 329 e ss.; D. U. Galetta, Digitalizzazione, Intelligenza artificiale e Pubbliche amministrazioni: il nuovo Codice dei contratti pubblici e le sfide che ci attendono, in Federalismi, 12, 2023, 4 e ss.; M. Barberio, L’uso dell’intelligenza artificiale nell’art. 30 del d.lgs. 36/2023 alla prova dell’AI Act dell’Unione europea, in Riv. it. inf. dir., 2, 2023).
[6] In termini B. Marchetti, Intelligenza artificiale, poteri pubblici e rule of law, cit., 49; G. Lo Sapio, L’Artificial Intelligence Act e la prova di resistenza algoritmica, cit., 269 S. Francario, La decisione amministrativa automatizzata secondo il Regolamento UE 2024/1689, cit.; V. Neri, AI Act e diritto amministrativo, in Lavoro, diritti, Europa, n. 1, 2025; I. Hasquenoph, Commande publique : quels enjeux au lendemain du règlement européen sur l'intelligence artificielle?, cit.; A. G. Orofino, Tra obiettivi perseguiti e problemi irrisolti: l’impatto dell’IA Act sull’assetto regolatorio dell’informatica pubblica, cit..
[7] Non mancano altre disposizioni del Regolamento come, in particolare, gli artt. 27 e 86 i quali pongono a carico dei soli deployer pubblici (nonché agli incaricati di un pubblico servizio), l’obbligo, rispettivamente, di effettuare una valutazione di impatto sui diritti fondamentali e di garantire la spiegazione dei singoli processi decisionali. Osserva, peraltro, I. Hasquenoph, Commande publique : quels enjeux au lendemain du règlement européen sur l'intelligence artificielle?, cit., che “Notons qu'il ne paraît pas impossible que cette qualification de fournisseur s'applique à l'administration lorsqu'elle développe une solution d'IA en interne : le règlement y inclut en effet les « autorités publiques ». Dans ce cas, le droit de la commande publique est neutralisé”.
[8] Così G. Lo Sapio, L’Artificial Intelligence Act e la prova di resistenza algoritmica, cit., 270. In termini ancor più netti A. Cerrillo i Martínez, El impacto del Reglamento de Inteligencia Artificial en las Administraciones públicas, cit., 104, secondo cui “No obstante, a pesar del protagonismo de las Administraciones públicas en la aplicación del RIA y el impacto que la norma europea puede tener en su funcionamiento o en la toma de decisiones públicas y la prestación de servicios públicos, no podemos desconocer que el RIA no es una norma pensada para las Administraciones públicas”.
[9] A. G. Orofino, Tra obiettivi