La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.
Questo argomento accoglie i commenti relativi al capitolo 11. Sicurezza cibernetica.
I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).
Il documento trascura di affrontare una sfida strutturale che condiziona ogni sforzo di modernizzazione digitale: la dipendenza dell’Europa da infrastrutture e modelli algoritmici sviluppati al di fuori dei suoi confini. Questo silenzio sulla sovranità digitale e sull’indipendenza tecnologica rischia di vanificare gli stessi obiettivi di sicurezza e trasparenza che le linee guida promuovono, poiché la capacità di controllare processi, dati e tecnologie è prerequisito indispensabile per qualsiasi politica pubblica realmente autonoma.
La questione centrale risiede nel controllo delle infrastrutture critiche. Oggi, la maggior parte dei sistemi di IA utilizzati nella PA si appoggiano a piattaforme cloud gestite da aziende statunitensi o cinesi, soggette a legislazioni nazionali che ne consentono l’accesso ai dati per motivi di sicurezza o intelligence. Il Cloud Act statunitense, ad esempio, permette alle autorità di richiedere dati custoditi da società americane anche se fisicamente ubicati in server europei, mentre la National Intelligence Law cinese impone alle aziende di collaborare con i servizi segreti del governo. Questo scenario crea un paradosso: mentre le linee guida italiane insistono sulla protezione dei dati personali in ottica GDPR, l’infrastruttura stessa su cui questi dati risiedono potrebbe esporli a giurisdizioni esterne, minando alla base il principio di sovranità informativa. Senza un’alternativa europea in termini di cloud pubblico e privato, la PA resta ostaggio di dinamiche geopolitiche che ne limitano l’autonomia decisionale.
Un secondo aspetto critico riguarda il controllo epistemico sui modelli di IA. L’adozione di algoritmi sviluppati da Big Tech extraeuropee introduce un deficit di trasparenza che va oltre la mera spiegabilità tecnica. Quando una pubblica amministrazione utilizza un sistema di IA proprietario, non solo non ha accesso al codice sorgente, ma spesso non dispone degli strumenti per verificarne la logica interna, i bias impliciti o i criteri di addestramento. Questo trasferisce potere decisionale a entità private che definiscono standard e priorità in base a logiche commerciali o a interessi nazionali divergenti da quelli europei. Ad esempio, un modello di IA sviluppato in Silicon Valley potrebbe incorporare visioni culturali o parametri etici non allineati ai principi della Carta dei Diritti Fondamentali dell’UE, influenzando indirettamente servizi pubblici essenziali come l’allocazione di risorse sociali o la valutazione di pratiche amministrative. Le linee guida, pur richiedendo sistemi di verificabilità, non prevedono meccanismi per garantire che questa verifica avvenga attraverso enti indipendenti europei, dotati di competenze e strumenti per contrastare l’opacità dei “black box” algoritmici.
La dipendenza tecnologica si traduce anche in vulnerabilità strategiche. L’assenza di un’industria europea competitiva nell’IA avanzata costringe le istituzioni pubbliche a rivolgersi a fornitori esteri per soluzioni critiche, esponendosi a rischi di lock-in tecnologico. Ciò significa che aggiornamenti, manutenzioni o modifiche ai sistemi dipendono dalla volontà e dalla stabilità di attori esterni, con possibili ripercussioni sulla continuità dei servizi pubblici. Inoltre, la mancanza di standard aperti e interoperabili rende difficile integrare soluzioni diverse o migrare dati tra piattaforme, limitando la flessibilità della PA. Sebbene le linee guida menzionino la necessità di conformità alle norme tecniche, non esplicitano come queste debbano essere costruite per favorire l’autonomia europea, ad esempio promuovendo formati di dati non proprietari o protocolli condivisi.
Un ulteriore punto critico è la gestione del ciclo di vita dei dati. Le linee guida sottolineano l’importanza del GDPR, ma non riconoscono che la protezione dei dati è intrinsecamente legata alla loro localizzazione fisica e giuridica. L’archiviazione su server controllati da aziende extra-UE espone a rischi di accesso non autorizzato, estrazione di valore o sorveglianza massiva, con implicazioni per la privacy ma anche per la sicurezza nazionale. Ad esempio, dati sanitari o informazioni su infrastrutture critiche potrebbero diventare oggetto di analisi predittiva da parte di governi stranieri, utilizzati per scopi non allineati agli interessi europei. La proposta di cloud sovrani, come Gaia-X, rimane marginale nel dibattito, mentre servizi pubblici continuano a affidarsi a AWS, Microsoft Azure o Google Cloud, rinunciando a costruire capacità strategiche interne.
Infine, la mancanza di un preciso progetto per gli investimenti in ricerca e sviluppo condanna l’Europa a un ruolo di “follower” tecnologico. Le linee guida italiane non incoraggiano esplicitamente la PA a privilegiare soluzioni europee o a partecipare a progetti comunitari per lo sviluppo di modelli di IA open-source, nonostante questi ultimi rappresentino un’opportunità per ridurre la dipendenza e favorire l’innovazione locale. Senza un ecosistema di competenze e tecnologie made in Europe, la sovranità digitale rimarrà un concetto astratto. Servirebbero politiche attive per formare professionisti in ambito IA, sostenere startup europee e creare partnership tra PA, università e industria, trasformando le istituzioni pubbliche non solo in utilizzatori passivi, ma in co-sviluppatori di soluzioni su misura.
In conclusione, l’efficacia delle linee guida dipende dalla capacità di integrarle in una visione strategica più ampia, che riconosca la sovranità digitale come pilastro della sicurezza nazionale. Senza investimenti in infrastrutture autonome, standard aperti, modelli trasparenti e competenze locali, ogni sforzo di regolamentazione rischia di essere scavalcato da dinamiche di potere globale che l’Europa non controlla. La posta in gioco non è solo tecnica, ma politica: decidere se l’IA nella PA sarà strumento di emancipazione democratica o moltiplicatore di dipendenze esterne.