Sommario: 1. Opportunità e rischi dell’intelligenza artificiale - 2. Differente approccio nella governance delle innovazioni tra Europa e Stati Uniti - 3. Quali spazi di governance dopo l’emanazione dell’A.I. Act tra normazione tradizionale, soft law e self regulation - 4. Il ruolo di AGID tra piani triennali e strategie - 5. Critiche sul percorso intrapreso e rischi concreti di una sostanziale assenza di governance per la pubblica amministrazione.
1. Opportunità e rischi dell’intelligenza artificiale
L’intelligenza artificiale, come noto, involge, al di là dei molteplici vantaggi e possibilità, tutta una serie di criticità e possibili (sebbene, al momento, ancora indefiniti) pericoli.
Allo stato, però, il pericolo e il rischio collegati all’uso e allo sviluppo dell’I.A. è divenuto storytelling e, in linea tendenziale, gli aspetti positivi di questa straordinaria tecnologia vengono costantemente negletti a favore di una narrazione cupa che, a tratti, rasenta il luddismo, e che comporta e, verosimilmente, determinerà una serie di prevedibili conseguenze negative sulle realtà che decideranno di chiudersi a questa nuova tecnologia[1].
Ciò che sorprende sta nel fatto che la modalità di intercettare e limitare questi rischi non può essere risolta (sarebbe meglio dire esorcizzata) attraverso, sterili, richiami al necessario contributo umano, al divieto di discriminazione o alla necessità del rispetto della trasparenza. Men che meno alla pretesa che l’approccio sia antropocentrico e affidabile[2]. L’aspirazione di contenere l’I.A. per decretum appare, oltre che puerile, illusoria.
C’è, in verità, sull’intelligenza artificiale – non solo in Italia ma in ambito continentale – una tensione di carattere deduttivo che viene sviluppata sulla pretesa di un rischio che incombe, ça va sans dire, a prescindere. La tendenza è, pertanto, quella di limitare o, meglio, di cercare di imbrigliare un monstrum che, ancora, neppure si conosce attraverso palizzate, steccati e predefinizione del potere umano chiamato, salvificamente, a controllare, decidere e, quindi, anche, smentire l’esito del procedimento automatizzato[3]. Come correttamente fatto rilevare, però, l’intelligenza artificiale non concerne la possibilità di riprodurre l’intelligenza umana ma, in realtà, la capacità di farne a meno, dal momento che si sviluppa attraverso il c.d. machine learning che, partendo da una serie di dati finiti, si sviluppa in una serie indefinita (e, sovente, imprevedibile) di soluzioni[4]. In questi sensi impostare il “contributo umano” come limite all’intelligenza artificiale rischia di apparire tanto paradossale quanto dissonante[5]. L’A.I. Act, su questo tema, sembra intraprendere una linea meno invasiva in merito alla “sorveglianza umana”, limitandola ai soli settori giudicati “ad alto rischio”, ergo qualora vi siano potenziali pregiudizi per salute, sicurezza e diritti fondamentali e con conseguente e opportuna modulazione della stessa in rapporto ai rischi attesi [6].
Non si intende affermare, va chiarito immediatamente, che l’intelligenza artificiale debba essere libera e svincolata da verifiche e binari, ma è indubbio che un eccesso di controlli e limitazioni[7], tanto dal lato definitorio che effettuale, ne snaturerebbe potenzialità e future positive applicazioni. Il fatto che l’I.A. sia, indubbiamente, un motore di innovazione non può, né dovrebbe, portare i regolatori a sviluppare normative e discipline eccessivamente rigide od ostruzionistiche le quali determinerebbero una concreta ed effettiva minaccia per l’incedere dell’innovazione[8].
2. Differente approccio nella governance delle innovazioni tra Europa e Stati Uniti
In questi sensi vige una marcatissima differenza di approcci tra quanto accade oltre Atlantico e le tendenze interpretative e regolatrici eurounitarie.
La letteratura statunitense in merito all’incapacità europea (elevata a livello paradigmatico) di intercettare i benefici delle innovazioni tecnologiche, non a caso, parla di Europe lag[9]. Viene, a tal proposito, fatto rilevare come l’approccio europeo sia radicato nel principio di precauzione[10], laddove si invita, al contrario, il regolatore statunitense - qualora intenda replicare i successi di innovazione che hanno accompagnato gli ultimi 20 dalla nascita di Internet in poi - ad adottare il medesimo approccio scarsamente invasivo (“light-touch approach”) per la governance dei sistemi e delle tecnologie riferite all’intelligenza artificiale, al fine di consentire degli spazi liberi di sperimentazione onde ottenere tutti i benefici delle innovazioni, evitando così di incamminarsi nel percorso che segue l’Europa e, quindi, infilandosi in una strada tesa a “soffocare un'industria prima che abbia la possibilità di svilupparsi”[11].
In effetti l’Europa non si è fatta attendere nelle sue pulsioni (iper) regolatrici e ha emanato il 13 giugno 2024 (dopo un cammino, effettivamente, iniziato nel 2021) l’A.I. Act, teso a istituire “un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, l'immissione sul mercato, la messa in servizio e l'uso di sistemi di intelligenza artificiale (sistemi di IA) nell'Unione, in conformità dei valori dell'Unione, promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea (“Carta”), compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, proteggere contro gli effetti nocivi dei sistemi di IA nell'Unione, nonché promuovere l'innovazione”.
A ben guardare il richiamato regolamento, piuttosto che promuovere lo sviluppo e la diffusione dell’intelligenza artificiale, è per la gran parte teso alla protezione e alla prescrittività[12].
Questi limiti e criticità, tipiche della dinamica normativa europea, sono stati messi in evidenza, di recente, da Mario Draghi nel suo rapporto “Il futuro della competitività europea” ove, con lucidità cristallina, ha evidenziato quanto segue: “In secondo luogo, l’atteggiamento normativo dell’UE nei confronti delle aziende tecnologiche ostacola l’innovazione: l’UE ha attualmente circa 100 leggi incentrate sul settore tecnologico e oltre 270 autorità di regolamentazione attive nelle reti digitali in tutti gli Stati membri. Molte leggi dell’UE adottano un approccio precauzionale, dettando pratiche commerciali specifiche ex ante per scongiurare potenziali rischi ex post. Ad esempio, l’AI Act impone ulteriori requisiti normativi ai modelli di IA per scopi generici che superano una soglia predefinita di potenza computazionale (una soglia che alcuni modelli all’avanguardia già superano). In terzo luogo, le aziende digitali sono scoraggiate dall’operare in tutta l’UE tramite filiali, in quanto si trovano di fronte a requisiti eterogenei, a una proliferazione di agenzie di regolamentazione e al cosiddetto “gold plating” della legislazione UE da parte delle autorità nazionali”.
3. Quali spazi di governance dopo l’emanazione dell’A.I. Act tra normazione tradizionale, soft law e self regulation
Dopo l’emanazione dell’A.I. Act, risulta necessario domandarsi se vi siano ancora spazi per una normazione nazionale e quali possano essere gli spazi di regolazione eventualmente da riempire. Se, quindi, residuino possibilità di intervento da parte dei legislatori nazionali e si possa (ancora) avviare una fase normativa e amministrativa nei singoli Stati che sviluppi l’innovatività e, almeno in parte, consenta degli spazi di autonomia rispetto all’A.I. Act.
Quando si fa riferimento alla possibilità di una “regolamentazione nazionale”, si intende, sia ben inteso, anche la facoltà che determinati spazi vengano deliberatamente esclusi dall’influenza di un regolatore esterno. Il fatto, consapevole, di non procedere con una specifica normazione, liberando determinate energie e dinamiche innovative per l’I.A. attraverso una forma di deregolamentazione – deve essere chiaro – è anch’essa una forma di governance.
Più o meno inconsapevolmente, però, di tutto si ragiona, con riferimento all’intelligenza artificiale, ma la governance sta, costantemente, ai margini del dibattito tecnico e dottrinale. Proprio per questa ragione, sebbene sia evidentemente uno degli elementi di maggior rilievo (quello relativo all’an e al quomodo di regolazione dell’I.A.), si fa sovente riferimento a una sorta di governance gap[13].
Gli spazi di intervento per gli Stati membri dell’UE, nella regolazione dell’intelligenza artificiale, nonostante l’emanazione dell’A.I. Act, sembrano, però, non mancare. Tutto ciò alla luce di alcune considerazioni che appaiono difficilmente superabili.
La governance, poi – è bene chiarirlo a scanso di equivoci – come tale, come entità liquida onnicomprensiva, non esiste. Esistono, infatti, le governances.
L’intelligenza artificiale ha diversi livelli di possibile intervento che sono distinti e radicalmente differenti l’uno dall’altro (tecnologico e dati, informazione e comunicazione, economico, sociale, etico, legale e normativo) e, come tale, ognuno di questi ambiti, necessita di specifici e autonomi livelli e modalità di governance[14].
Lo sviluppo della governance (come sopra accennato) attiene, in concreto, a due piani metodologici differenti: l’an (se procedere o meno attraverso un intervento normativo o regolatorio) e, soprattutto, il quomodo (con quale modalità intervenire, se rigida o, diversamente, attraverso quelli che vengono definiti sistemi di soft law).
C’è chi, a tal proposito ha richiamato la possibilità di applicazione estensiva della normativa vigente[15] e chi, invece – prospettiva che sta riscuotendo in questa fase maggiore successo – reputa che la migliore modalità di procedere, attraverso una effettiva quanto dinamica modalità di governance, sia quella offerta da sistemi di soft law[16].
In tali ambiti, caratterizzati da un livello elevatissimo di innovazione, si ritiene – non a torto – che il legislatore sia impreparato a regolamentare in maniera puntuale e dinamica un settore tanto mutevole quanto tecnologicamente avanzato[17].
Richiamata la diversa e molteplice serie di ambiti correlativi all’intelligenza artificiale (le “sei dimensioni di rischio dell’I.A.”[18]), ci si domanda se tutti questi ambiti siano stati, o meno, coperti dalla regolamentazione dell’I.A. Act. Dalla risposta positiva, o meno, a detto quesito si riuscirà a definire quali possibilità residuino in capo ai regolatori nazionali.
La preoccupazione del legislatore europeo è stata quella – certamente rilevante – di regolamentare, in maniera vigorosa, principalmente, i dati[19] e, nelle ipotesi di sistemi di I.A. “ad alto rischio” (relativamente, quindi, ai rischi sui diritti fondamentali e ai settori meglio richiamati nell’Allegato III all’A.I. Act), di imporre una previa valutazione di impatto[20]. Imponendo, inoltre, al deployer (art. 3.4 A.I. Act: “persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un'attività personale non professionale”), sempre nei casi di “alto rischio”, ulteriori adempimenti e modalità di governance per quanto, in verità, attualmente, piuttosto generiche e indeterminate[21]. Si è, quindi, stabilito di delegare la (futura e concreta) governance, in senso orizzontale e generale, ad apposito Ente (l’Ufficio per l’I.A.[22]) che sarà supportato da un gruppo di esperti[23].
Per le attività valutate quali “non ad alto rischio”, si è ritenuto, invece, di limitare la governance attraverso sistemi di soft law quali codici di condotta e/o dinamiche di self regulation, quindi anche su base volontaria[24].
Con riferimento alle dinamiche di soft law, è significativo quanto stabilisce l’art. 95 dell’A.I. Act nel valorizzare i c.d. codici di condotta e buone pratiche (self regulation)[25].
Viene, inoltre, valorizzata, per i sistemi ad alto rischio o per i modelli di I.A. per finalità generali, una governance multipartecipativa[26] che la dottrina definisce, più correttamente, collaborativa[27].
Alla luce di queste essenziali considerazioni – in disparte alcune disposizioni esplicite – per gli ambiti riferibili all’intelligenza artificiale (con particolare riferimento a quelli tecnologico, economico, legale e normativo) residua un discreto spazio libero di regolazione da colmare mediante normazione tradizionale, declinazioni specifiche di soft law o di deliberata non regolazione o, ancora (strumento di estremo dinamismo e utilità previsto ad hoc dall’A.I. Act ma ancora, sostanzialmente, negletto), attraverso la sperimentazione normativa[28].
Si può sostenere, in estrema sintesi, come, a livello eurounitario, siano state gettate le basi per governare l’intelligenza artificiale, principalmente, in senso strutturale, attraverso la consegna della “cassetta degli attrezzi”. Manca ancora, però – al di là di alcuni principi assai rigorosi - tutta la fase attuativa e applicativa, mediante la quale verranno in concreto declinate le regole e le disposizioni a tutela dei diritti e, si spera, anche a vantaggio e sviluppo dell’innovazione.
4. Il ruolo di AGID tra piani triennali e strategie
Alla luce di queste evidenze risulta necessario comprendere come si stia ponendo e sviluppando la questione della governance in ambito nazionale, a distanza di oramai due anni dall’entrata in vigore dell’art. 30 del D.L.vo 36/2023 (nuovo Codice dei contratti pubblici) che prefigurava l’inizio di una nuova era nei rapporti tra tecnologia e pubblica amministrazione.
Si era parlato, evidentemente non a torto, di un eccesso di ottimismo[29] da parte del legislatore che consegnava “prometeicamente”, all’interno della necessaria digitalizzazione dei contratti pubblici, una serie di strumenti quali “soluzioni tecnologiche”, “intelligenza artificiale” e “decisioni algoritmiche” nella convinzione che le amministrazioni “in un futuro prossimo”[30] ne avrebbero fatto buon uso.
Ad oggi, nonostante il decorso di un periodo sufficientemente lungo, si rileva l’assenza della necessaria tensione della P.A. verso i descritti strumenti ma, soprattutto, si fa apprezzare la latenza del legislatore che non ha dato i necessari impulso e vigore a un’opzione normativa che, da sola e senza strumenti di attuazione e regolazione, non avrebbe potuto avere alcun effettivo sviluppo.
L’orizzonte, nonostante altisonanti richiami a strategie nazionali[31], si presenta oggettivamente povero[32] quanto, almeno al momento, lo sforzo profuso risulta, di fatto, inconcludente. La “Strategia italiana per l’intelligenza artificiale 2024-2026” – relativamente ai dichiarati obbiettivi per la pubblica amministrazione e per l’e-procurement – si appalesa, infatti, tautologica ed evanescente[33].
La scelta di regolamentare un ambito così nuovo e rilevante, in mancanza di interventi normativi, attraverso linee guida dell’Agenzia per l’Italia digitale (AGID), quindi, mediante provvedimenti di carattere generale privi di valenza normativa, appare una modalità tanto poco meditata quanto inusuale.
A “delegare” l’AGID, a produrre linee guida, in ambito di intelligenza artificiale, con riferimento ai procedimenti amministrativi e, specificamente, all’ambito degli appalti pubblici[34] non è stato, infatti, alcun dato normativo né primario e neppure di carattere regolamentare. La “fonte” relativa alla regolazione dell’“Intelligenza artificiale per la Pubblica Amministrazione” la si è ravvisata nel Piano Triennale per l’informatica nella pubblica amministrazione del dicembre 2023 (sulla base di una singolare interpretazione dell’art. 14 co. 2 del D.L.vo n. 82/2005) che, in verità, sembrerebbe aver trasceso dai propri argini. Il Piano è, infatti, uno strumento di carattere generale che ha, a ben guardare, altri obbiettivi e finalità che non risultano essere quelli aderenti alla regolamentazione dei provvedimenti algoritmici o relativi all’utilizzo e dell’intelligenza artificiale all’interno della P.A.. In quanto, più propriamente, riferibili alla programmazione e al coordinamento delle attività delle amministrazioni per l’uso delle tecnologie dell’informazione e della comunicazione[35] che, come si farà immediatamente rilevare, sono “altro” rispetto alla gestione e regolazione dell’I.A..
Il ruolo di AGID è, infatti, di carattere eminentemente tecnico e di supporto.
Nella misura in cui venisse delegata a intervenire – senza adeguate competenze, qualità e attribuzioni sui procedimenti amministrativi e sugli appalti pubblici – in ambiti che non rappresentano il proprio core business, si potrebbe avere, concretamente, il rischio tanto di un intervento non adeguatamente centrato, sia di un’alterazione e invasione di competenze che necessiterebbe di essere successivamente riequilibrata.
La fonte di riferimento, il D.L.vo n. 82 del 7.03.2005 (c.d. Codice dell’amministrazione digitale), ha evidentemente altre finalità[36] e, neppure con il più audace sforzo analogico, può essere inteso come afferente alla regolamentazione e gestione di un fenomeno tanto recente e specifico, quanto deflagrante, come l’intelligenza artificiale e la sua conseguente applicazione a procedimenti amministrativi e appalti pubblici.
Lo stesso Regolamento UE 2019/881 (relativo alla creazione dell’“Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione”) si riferisce, anch’esso, specificamente al funzionamento dei sistemi, più propriamente, informatici e alle reti[37], senza mai citare l’intelligenza artificiale o provvedimenti algoritmici come riferimenti e dinamiche oggetto di normazione. Ad avvalorare questa lettura restrittiva è anche la recentissima legge sull’intelligenza artificiale, n. 132 del 23.09.2025. Non a caso, infatti, non viene mai richiamato, in alcun passo, il Codice dell’amministrazione digitale, né vengono stabiliti ex novo quei presupposti che devono essere propri e finalizzati all’applicazione della disciplina attinente all’intelligenza artificiale ai vari ambiti sociale, economico e amministrativo[38]. Senza prevedere o autorizzare AGID a emanare alcuna linea guida o provvedimento di carattere generale, con finalità di indirizzo alle pubbliche amministrazioni.
Il ruolo della predetta Agenzia è, infatti, ivi circoscritto e limitato, art. 20: “l'AgID è responsabile di promuovere l'innovazione e lo sviluppo dell'intelligenza artificiale, fatto salvo quanto previsto dalla lettera b). L'AgID provvede altresì a definire le procedure e a esercitare le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell'Unione europea”. Un ruolo, quindi (si ribadisce), strettamente tecnico e di monitoraggio e supporto, mai di indirizzo e di regolazione sostanziale sugli atti e i provvedimenti.
Sembra, pertanto, almeno a chi scrive, che sussisterebbe un vulnus nelle competenze e attribuzioni affidate ad AGID qualora il Piano triennale avesse inteso consegnarle dei compiti tanto pregnanti in ambito di I.A. senza una diretta, quanto espressa, delega normativa.
Questa lettura, che individua in AGID un ente di supporto meramente strutturale e tecnico, la si ravvisa anche attraverso un’attenta lettura dell’art. 14 bis del D.L.vo n. 82 del 7.03.2005 che attribuisce all’“AgID … le funzioni di: a) emanazione di Linee guida contenenti regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull'attuazione e sul rispetto delle norme di cui al presente Codice, anche attraverso l'adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell'Unione europea”. Non risulta esservi, insomma, alcuna disposizione che consenta alla citata Agenzia di avere titolarità e di vedersi delegata con poteri per l’organizzazione e l’indirizzo dell’intelligenza artificiale nella pubblica amministrazione e, men che meno, in ambito di organizzazione e regolazione degli appalti pubblici. Anche in considerazione del fatto che AGID non possiede istituzionalmente competenze specifiche in relazione al settore dei contratti pubblici e, in termini generali, riferibili al governo e alla definizione di percorsi procedimentali della pubblica amministrazione. La sua competenza è, infatti, limitata a “regole, standard e guide tecniche” e, ancora (cfr. lett. b dell’art. 20 della legge istitutiva dell’Agenzia n. 134 del 7.08.2012), risulta circoscritta a dettare “indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e di omogeneità dei linguaggi, delle procedure e degli standard, anche di tipo aperto, in modo da assicurare anche la piena interoperabilità e cooperazione applicativa tra i sistemi informatici della pubblica amministrazione e tra questi e i sistemi dell'Unione europea”.
Non esiste, vieppiù, alcuna disposizione del D.L.vo n. 36/2023 che consegni ad AGID (anche in sede di successivo e futuro superamento degli Allegati al Codice dei contratti pubblici) alcun potere o delega che non attenga, strettamente, alle piattaforme di approvvigionamento digitale, alle banche dati e alla loro interoperabilità (ved. artt. 23, 24 e 26 del D.L.vo 36/2023).
5. Critiche sul percorso intrapreso e rischi concreti di una sostanziale assenza di governance per la pubblica amministrazione
Appare evidente – tanto de jure condito che negli emanandi atti normativi – come non sussista alcuna possibile equiparazione tra “digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell'Unione europea” (art. 14 bis D.L.vo n. 82/2005) e attività connessa allo sviluppo di provvedimenti amministrativi algoritmici o di governance dell’intelligenza artificiale, tantomeno in relazione agli appalti pubblici.
Il senso e la ratio dell’art. 14 della richiamata legge italiana sull’intelligenza artificiale[39], evidenziano e colorano di peculiarità la relazione tra P.A. e l’intelligenza artificiale. Ci si trova ben lungi rispetto alla digitalizzazione o alle tecnologie dell’informazione e della comunicazione. L’intelligenza artificiale, si ribadisce, non è logicamente o tecnicamente sussumibile all’interno della predetta categoria.
Non è chiaro, pertanto, donde siano stati ravvisati i poteri e i presupposti normativi del predetto Piano triennale per l’informatica nella pubblica amministrazione nel delegare AGID all’emanazione di “Linee guida per promuovere l’adozione dell’IA nella Pubblica Amministrazione … Linee guida che definiscono i passi metodologici e organizzativi che le pubbliche amministrazioni devono seguire per definire attività progettuali di innovazione mediante l’utilizzo di IA” e, ancora e soprattutto, “Linee guida che hanno l’obiettivo di orientare le pubbliche amministrazioni nella scelta delle procedure di approvvigionamento e nella definizione delle specifiche funzionali e non funzionali delle forniture al fine di garantire: la soddisfazione delle esigenze dell’amministrazione, adeguati livelli di servizio e la conformità con il quadro normativo vigente … Le Linee guida forniranno indicazione sulla gestione dei servizi di IA da parte della PA”[40].
Impostazione che si appalesa, a parere di chi scrive, erronea e sulla quale tralaticiamente si è adagiato anche il recente atto di indirizzo di carattere generale qualificato come “Strategia italiana per l’intelligenza artificiale 2024-2026” (cfr. pagg. 21 e segg.).
Il potere di AGID - con specifico riferimento al settore dei contratti pubblici – nonostante venga richiamato e fatto proprio dal Piano Triennale per l’Intelligenza Artificiale[41] e, quindi, dalla richiamata “Strategia”, non risulta rinvenibile in alcun dato normativo.
L’unica disposizione che permette l’emanazione (delle linee guida) è la lett. a, comma 2, dell’art. 14 bis del D.L.vo n. 82/2005 che le consente laddove, e nella misura in cui, contengano “regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull’attuazione e sul rispetto delle norme di cui al presente Codice, anche attraverso l’adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell’Unione europea”, unitamente all’art. 20 lett. b della legge 134/2012 istitutiva di AGID con limiti, come visto sopra, sostanzialmente analoghi. Nulla che sia e possa essere ricollegabile alla regolazione e agli indirizzi da dare alle amministrazioni in tema di provvedimenti algoritmici o che abbiano come presupposto l’I.A..
Lo stesso art. 14 bis co. 2, ma alla lett. f, in ambito di contratti pubblici, non cita neppure la possibilità di emanare linee guida, attribuendo ad AGID esclusivamente la titolarità di rendere meri “pareri tecnici, obbligatori e non vincolanti”[42]. Peraltro le linee guida, sebbene stabilite e previste dal predetto articolo, per lo stretto ambito della digitalizzazione, non sono espressamente previste per l’uso e l’implementazione dell’intelligenza artificiale all’interno della PA. In questi sensi si ritiene che le future linee guida di AGID – senza copertura di specifico atto normativo a supporto – qualora venissero emanate, con aspirazione, per così dire, espansiva, nascerebbero inesorabilmente affette da illegittimità.
La citata “Strategia per l’intelligenza artificiale 2024 – 2026” si propone di “Supportare i processi amministrativi attraverso le tecnologie dell’IA, aumentando l’efficienza e ottimizzando la gestione delle risorse pubbliche; finanziare alcuni progetti pilota su scala nazionale; sostenere le iniziative delle singole amministrazioni, inquadrate come soggetto collettivo, capace cioè di realizzare soluzioni e applicazioni di IA, e definite in ossequio a precise linee guida di interoperabilità e che garantiscano adeguati standard funzionali”.
In disparte l’erroneo (quanto, peraltro, significativo) riferimento ai “processi” amministrativi, non può non rilevarsi come l’Italia – nonostante i proclami e le pretese di portarsi all’avanguardia nel settore dell’intelligenza artificiale – quantomeno con riferimento alla pubblica amministrazione e al settore degli appalti pubblici (l’unico sostanzialmente che sia stato destinatario di apposita disposizione normativa), si trovi ancora all’anno zero, senza alcun serio progetto di sperimentazione normativa[43] e in assenza di una reale governance. La cattiva notizia sta nel fatto che di tutto ciò sembra non accorgersi alcuno, tanto in ambito politico che amministrativo.
[1] “Ma perché polarizzarsi sull’IA è pericoloso? Che cosa può succedere? Rimanere esclusi dalla rivoluzione industriale, pensando a quella del passato, non fece accadere nulla di drammatico nell’immediato. Ma nei secoli la differenza nella qualità della vita tra la società occidentale, col suo abbondante uso di energia, e il resto del mondo si è resa sempre più marcata e manifesta. Oggi il rischio è simile con l’unica sostanziale differenza che i tempi di questa rivoluzione sono accelerati all’incirca cento volte e l’unità di misura delle trasformazioni è l’anno, non più il secolo e neppure il decennio. Il pericolo che corre un Paese che si chiude all’IA va dal piombare in breve tempo nel terzo mondo o, alla meglio, diventare colonia di quelli che la sviluppano, producono e vendono. Naturalmente non è pensabile lasciare la nuova tecnologia in libertà anarchica o nelle mani di pochi criptici attori. Le conseguenze potrebbero essere peggiori di quelle ecologiche prodotte dell’uso non sostenibile dell’energia”, Pierluigi Contucci in “Quella dell’intelligenza artificiale non è una missione impossibile” in www.rivistailmulino.it 2023.
[2] Considerando n. 1 dell’A.I. ACT dell’U.E. del 13.06.2024 e art. 1 Legge italiana sull’intelligenza artificiale n. 132/2025.
[3] “L’utilizzo dell’intelligenza artificiale avviene in funzione strumentale e di supporto all’attività provvedimentale, nel rispetto dell’autonomia e del potere decisionale della persona che resta l’unica responsabile dei provvedimenti e dei procedimenti in cui sia stata utilizzata l’intelligenza artificiale”, art. 13 delle” Disposizioni e delega al Governo in materia di intelligenza artificiale”.
“Tra gli obiettivi specifici, vi è quello di è di porre al centro di ogni attività che riguardi lo sviluppo e l’utilizzo dei sistemi e dei modelli di intelligenza artificiale l’autodeterminazione umana. Porre al centro dello sviluppo e della concreta applicazione dei sistemi e dei modelli di IA il rispetto della autonomia e del potere decisionale dell’uomo consente di adottare scelte consapevoli su come delegare le decisioni ai sistemi di IA. In tutto il ciclo di vita dei sistemi e dei modelli di IA occorre che sia l’essere umano a stabilire quali decisioni prendere e come realizzare un risultato vantaggioso per la società. Consapevolezza, responsabilità e affidabilità quali espressione del diritto fondamentale della persona di autodeterminarsi, con coscienza e pensiero critico, in ogni ambito in cui è coinvolta dalle tecnologie digitali” – Comunicato alla Presidenza del Consiglio dei ministri del 20.05.2024, “Disposizioni e delega al Governo in materia di intelligenza artificiale”.
[4] Luciano Floridi – “Etica dell’intelligenza artificiale” 2022, Raffaello Cortina editore.
[5] Mauro Barberio “L’utilizzo degli algoritmi e l’intelligenza artificiale tra futuro prossimo e incertezza applicativa” in www.giustizia-amministrativa.it, giugno 2023.
[6] A.I. Act UE art. 14 “La sorveglianza umana mira a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando un sistema di IA ad alto rischio è utilizzato conformemente alla sua finalità prevista o in condizioni di uso improprio ragionevolmente prevedibile, in particolare qualora tali rischi persistano nonostante l'applicazione di altri requisiti di cui alla presente sezione. Le misure di sorveglianza sono commisurate ai rischi, al livello di autonomia e al contesto di utilizzo del sistema di IA ad alto rischio”.
[7] C. Reed “How should we regulate artificial intelligence?” Published in Philosophical Transactions 6 August 2018, libera traduzione dal testo originale in lingua inglese: “Alcuni commentatori sono così allarmati dalla prospettiva di rischi sconosciuti che hanno proposto l’istituzione di un ente di controllo generale per l’IA. Ma in questo momento ci sono forti argomenti contro l’introduzione di nuovi obblighi legali e regolamentari di applicazione generale”, pag. 2.
[8] Ibidem C. Reed, “Fino a quando i rischi dell’IA non saranno conosciuti, almeno in una certa misura, questo non sarà realizzabile. La regolamentazione non può controllare i rischi sconosciuti, e la definizione di un mandato normativo sulla base di rischi teorici sembra improbabile che produca risultati positivi. In secondo luogo, i legislatori generalmente non hanno successo quando si occupano di regolamentazione nei settori tecnologici. La storia della legislazione per le tecnologie digitali è tendenzialmente una storia di sostanziali fallimenti. Infine, e cosa più importante, un regime normativo volto a disciplinare tutti gli usi della tecnologia dell’intelligenza artificiale avrebbe una portata incredibilmente ampia. La gamma di potenziali applicazioni è troppo diversificata … Un progetto normativo di questo tipo rischierebbe di diventare un progetto di regolamentazione di tutti gli aspetti della vita umana”, pag. 2; ved anche Urs Gasser, Virgilio A.F. Almeida, 2017, “A Layered Model for AI Governance.” IEEE Internet Computing 21 (6) (November): 58–62.
[9] A. Thierer, A. Castillo O’Sullivan and R. Russell, “Artificial Intelligence and Public Policy” in Mercatus Research, 2017.
[10] Ibidem A. Thierer, A. Castillo O’Sullivan and R. Russell, libera traduzione dal testo originale in lingua inglese: “Il ragionamento basato sul principio di precauzione si riferisce alla convinzione che le innovazioni debbano essere limitate o vietate finché i loro sviluppatori non possano dimostrare che non causeranno danni a individui, gruppi, entità specifiche, norme culturali o varie leggi o tradizioni esistenti”, pag. 45.
[11] Ibidem A. Thierer, A. Castillo O’Sullivan and R. Russell. Questa assenza di regolamentazione, definita non a caso “hands off”, ultimamente, sta iniziando ad avere alcuni ripensamenti che stanno conducendo il legislatore a intervenire, concretamente e operativamente, sull’intelligenza artificiale. Si vedano l’Executive order 14110 dell’Amministrazione Biden che, pur non essendo particolarmente penetrante, declina alcuni principi vincolanti e, ancora, alcune incisive proposte di legge quali quella pendente nello Stato della California denominata “Safe and secure innovation for frontier artificial intelligence models act”, Florence G’sell “Regulating under uncertainty: governance options for generative AI”, Stanford cyber policy center 2024.
[12] Considerando 5, 6 e 7 “(5) L'IA può nel contempo, a seconda delle circostanze relative alla sua applicazione, al suo utilizzo e al suo livello di sviluppo tecnologico specifici, comportare rischi e pregiudicare gli interessi pubblici e i diritti fondamentali tutelati dal diritto dell'Unione. Tale pregiudizio può essere sia materiale sia immateriale, compreso il pregiudizio fisico, psicologico, sociale o economico. (6) In considerazione dell'impatto significativo che l'IA può avere sulla società e della necessità di creare maggiore fiducia, è essenziale che l'IA e il suo quadro normativo siano sviluppati conformemente ai valori dell'Unione sanciti dall'articolo 2 del trattato sull'Unione europea (TUE), ai diritti e alle libertà fondamentali sanciti dai trattati e, conformemente all'articolo 6 TUE, alla Carta. Come prerequisito, l'IA dovrebbe essere una tecnologia antropocentrica. Dovrebbe fungere da strumento per le persone, con il fine ultimo di migliorare il benessere degli esseri umani. (7) Al fine di garantire un livello costante ed elevato di tutela degli interessi pubblici in materia di salute, sicurezza e diritti fondamentali, è opportuno stabilire regole comuni per i sistemi di IA ad alto rischio. Tali regole dovrebbero essere coerenti con la Carta, non discriminatorie e in linea con gli impegni commerciali internazionali dell'Unione. Dovrebbero inoltre tenere conto della dichiarazione europea sui diritti e i principi digitali per il decennio digitale e degli orientamenti etici per un'IA affidabile del gruppo di esperti ad alto livello sull'intelligenza artificiale (AI HLEG)”
[13] Jakob Mökander, Jonas Schuett, Hannah Rose Kirk & Luciano Floridi, libera traduzione dal testo originale in lingua inglese: “In sintesi, se da un lato i LLM hanno reso prestazioni impressionanti in un’ampia gamma di compiti, dall’altro comportano anche notevoli rischi etici e sociali. Pertanto, la questione di come gli LLM dovrebbero essere governati ha attirato molta attenzione, con proposte che vanno da strutturati protocolli di accesso per prevenirne l'uso dannoso fino a una regolamentazione rigida che vieta l'impiego di LLM per scopi specifici. Tuttavia, l’efficacia e la fattibilità di questi meccanismi di governance devono ancora essere suffragati da ricerche empiriche. Inoltre, data la molteplicità e la complessità dei rischi etici e sociali associati agli LLM, prevediamo che le risposte politiche saranno molteplici e incorporeranno diversi meccanismi di governance complementari. I fornitori di tecnologia e i politici hanno appena iniziato a sperimentare differenti meccanismi di governance e il modo tramite il quale dovrebbero essere governati gli LLM resta una domanda aperta” in “Auditing large language models: a three-layered approach” in AI and Ethics, 2023.
[14] Bernd W. Wirtz, Jan C. Weyerer, Ines Kehl “Governance of artificial intelligence: A risk and guideline-based integrative framework” in Journal: Government Information Quarterly, 2022, n. 4 - Elsevier BV.
[15] Adam Thierer, Andrea Castillo O’Sullivan and Raymond Russell “Artificial Intelligence and Public Policy”, Mercatus Research Paper, 56 Pages Posted: 22 Aug 2017, libera traduzione dal testo originale in lingua inglese: “in effetti, la natura dell’intelligenza artificiale e le tecnologie possono frustrare del tutto i tentativi di regolamentazione quando effettuati ex ante. I politici dovrebbero tenere presente la ricca e distinta varietà di opportunità offerte dalle tecnologie di intelligenza artificiale, per evitare ulteriori regolamentazioni che possono risultare appropriate per un tipo di applicazione ed ostacolare inavvertitamente lo sviluppo di altre, portando a conseguenze indesiderate”, pag. 39,
[16] G. Marchant, “Soft Law” Governance of Artificial Intelligence”, UCLA AI Pulse Papers, 2019, libera traduzione dal testo originale in lingua inglese: “Il ritmo di sviluppo dell’IA supera di gran lunga la capacità di qualsiasi sistema normativo tradizionale di tenere il passo, una sfida nota come “problema del ritmo” che colpisce molte tecnologie emergenti. I rischi, i benefici e le traiettorie dell’IA sono tutti altamente incerti, rendendo ancora una volta difficile il processo decisionale normativo. Infine, i governi nazionali sono riluttanti a impedire l’innovazione in una tecnologia emergente mediante una regolamentazione preventiva in un periodo di intensa concorrenza internazionale. Per questi motivi, si può affermare con certezza che per qualche tempo non ci sarà una regolamentazione tradizionale completa dell’IA, tranne forse nel caso in cui si verificasse qualche disastro che potrebbe determinare una risposta normativa drastica per quanto, senza dubbio, inadeguata … sarà necessario per colmare il divario nella governance dell’intelligenza artificiale intervenire tramite la categoria della “soft law””, pag. 4; G. Marchant e C.I. Gutierrez “Soft law 2.0: an agile and effective governance approach for artificial intelligence” Minnesota Journal of law, science & technology, 2023, 4.
[17] Ibidem G. Marchant, C.I. Gutierrez, libera traduzione dal testo originale in lingua inglese “I tradizionali quadri normativi governativi non sono adatti per gestire le tecnologie emergenti come l’intelligenza artificiale a causa del rapido ritmo del cambiamento … Mentre la tradizionale normazione del governo dovrebbe e svolgerà sicuramente un ruolo importante e crescente nella supervisione dell’intelligenza artificiale … I programmi di soft law prevedono misure che creano aspettative sostanziali che non sono direttamente applicabili da parte dei governi. Possono avere diverse forme e formati, quali codici di condotta, dichiarazioni etiche, linee guida professionali, dichiarazioni di principi, programmi di certificazione, standard privati, partenariati pubblico-privati o programmi volontari”; Elettra Stradella “Le fonti nel diritto comparato: analisi di scenari extraeuropei (Stati Uniti e Cina)” in Diritto e intelligenza artificiale, sezione monografica a cura di Carlo Casonato, Marta Fasan e Simone Penasa, DPCE Online 1/2022: “la consapevolezza circa il fatto che le tecnologie (qui intese in senso molto generale quali applicazioni che attraverso la potenza del calcolo producono trasformazioni nell’ambiente circostante, nell’esistenza di chi le utilizza, nella materia che con esse si interfaccia) non sono mai neutrali, non giustificherebbe di per sé la regolazione ad hoc dell’AI come soluzione necessitata. Il fatto è che l’alternativa, cioè quella di un’assimilazione di questo particolare tipo di tecnologia (o, meglio, di questo paradigma tecnologico che caratterizza in realtà una pluralità di tecnologie) ad altri settori tecnologici già oggetto di disciplina, ovvero l’applicazione di norme generali ratione materiae all’AI (come ad esempio quelle sulla responsabilità civile), appare comunque insoddisfacente, principalmente a causa della rapidità dell’innovazione che attraversa il campo dell’AI, più di ogni altro”.
[18] “1) tecnologico, dati e analitico, 2) informativo e comunicativo, 3) economico, 4) sociale, 5) etico nonché 6) legale e normativo”, Bernd W. Wirtz, Jan C. Weyerer, Ines Kehl “Governance of artificial intelligence: A risk and guideline-based integrative framework” in Journal: Government Information Quarterly, 2022, n. 4 - Elsevier BV.
[19] Considerando nn. 67, 69 e art. 10 dell’A.I. Act.
[20] Mauro Barberio “L’uso dell’intelligenza artificiale nell’art. 30 del d.lgs. 36/2023 alla prova dell’AI Act dell’Unione europea” in Rivista italiana di informatica e diritto, 2023.
[21] Art. 26 A.I. Act (Obblighi dei deployer dei sistemi di IA ad alto rischio) “I deployer di sistemi di IA ad alto rischio adottano idonee misure tecniche e organizzative per garantire di utilizzare tali sistemi conformemente alle istruzioni per l'uso che accompagnano i sistemi, a norma dei paragrafi 3 e 6”.
[22] L’Ufficio per l’I.A. è stato istituito, precedentemente alla pubblicazione dell’A.I. Act, dalla Commissione UE con decisione del 24.01.2024; Considerando n. 116 dell’A.I. Act: “L'ufficio per l'IA dovrebbe incoraggiare e agevolare l'elaborazione, il riesame e l'adeguamento dei codici di buone pratiche, tenendo conto degli approcci internazionali. Tutti i fornitori di modelli di IA per finalità generali potrebbero essere invitati a partecipare. Per garantire che i codici di buone pratiche riflettano lo stato dell'arte e tengano debitamente conto di una serie diversificata di prospettive, l'ufficio per l'IA dovrebbe collaborare con le pertinenti autorità nazionali competenti e potrebbe, se del caso, consultare le organizzazioni della società civile e altri portatori di interessi ed esperti pertinenti, compreso il gruppo di esperti scientifici, ai fini dell'elaborazione di tali codici. I codici di buone pratiche dovrebbero disciplinare gli obblighi per i fornitori di modelli di IA per finalità generali e per i fornitori di modelli di IA per finalità generali che presentano rischi sistemici. Inoltre, quanto ai rischi sistemici, i codici di buone pratiche dovrebbero contribuire a stabilire una tassonomia del tipo e della natura dei rischi sistemici a livello dell'Unione, comprese le loro fonti. I codici di buone pratiche dovrebbero inoltre concentrarsi su misure specifiche di valutazione e attenuazione dei rischi”; Considerando n. 148 “… L'attuazione e l'esecuzione efficaci del presente regolamento richiedono un quadro di governance che consenta di coordinare e sviluppare competenze centrali a livello dell'Unione. L'ufficio per l'IA è stato istituito con decisione della Commissione e ha la missione di sviluppare competenze e capacità dell'Unione nel settore dell'IA e di contribuire all'attuazione del diritto dell'Unione in materia di IA.”
[23] Considerando nn. 148, 151, 163 e art. 64 dell’A.I. Act.
[24] Considerando n. 165 dell’A.I. Act “I fornitori di sistemi di IA non ad alto rischio dovrebbero essere incoraggiati a creare codici di condotta, che includano meccanismi di governance connessi, volti a promuovere l'applicazione volontaria di alcuni o tutti i requisiti obbligatori applicabili ai sistemi di IA ad alto rischio, adattati in funzione della finalità prevista dei sistemi e del minor rischio connesso e tenendo conto delle soluzioni tecniche disponibili e delle migliori pratiche del settore, come modelli e schede dati. I fornitori e, se del caso, i deployer di tutti i sistemi di IA, ad alto rischio o meno, e modelli di IA dovrebbero inoltre essere incoraggiati ad applicare su base volontaria requisiti supplementari relativi, ad esempio, agli elementi degli orientamenti etici dell'Unione per un'IA affidabile, alla sostenibilità ambientale, alle misure di alfabetizzazione in m