2. Riferimenti e sigle

Bozza di linee guida per l’adozione di IA nella pubblica amministrazione

La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.

Questo argomento accoglie i commenti relativi al capitolo 2. Riferimenti e sigle.

I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).

Leggi il documento in consultazione.

2.1 NOTE DI LETTURA DEL DOCUMENTO:
Nonostante l’elencazione dei termini chiave “deve”, “devono”, “non deve”, “non devono”, “dovrebbe”, “non dovrebbe”, “può”, “possono” e “”opzionale”, le indicazioni del documento non sono chiare nelle parti in cui al posto delle suddette espressioni è usato un verbo coniugato al presente indicativo. Per esempio, ciò avviene alle pagg.15, 16, 19, 20, 21, 23,
Si suggerisce di usare sempre uno dei c.d. “termini chiave” in modo da distinguere gli obblighi veri e propri dalle facoltà.

|2.1| Le linee guida dovrebbero fornire alle pubbliche amministrazioni ¶ delle indicazioni chiare e fugare possibili dubbi interpretativi. A tal fine, non si ritiene opportuno l’uso di termini quali “dovrebbero” o “possono”. Il documento, inoltre, dovrebbe guidare le PA in termini operativi. Così come presentato appare invece di difficile lettura, teorico e privo di esempi concreti potenzialmente utili ai destinatari del documento.

|2.2| I riferimenti a disposizioni normative esterne al documento (es. art. 14-bis, comma 2, lettera a) CAD) dovrebbero essere spiegati, senza rimandi ad altri testi (elemento che complica ulteriormente la lettura e l’utilizzo delle linee guida in termini operativi). Inoltre, il paragrafo dedicato alla struttura dovrebbe indicare anche le modalità e le tempistiche di aggiornamento degli allegati menzionati.

Esplicitare meglio la questione della responsabilità legale in caso di conseguenze negative dell’IA. Attualmente, la sezione 4.6 (Governance) fa solo un riferimento generico e non chiarisce come affrontare le eventuali responsabilità delle PA nell’utilizzo di sistemi IA. Considerando che l’EU AI Liability Directive è stata ritirata, è necessario precisare quali normative vigenti regolano la responsabilità delle amministrazioni pubbliche nell’uso di IA e quali strumenti possono essere adottati per gestire i rischi legali.

2.3 Riferimenti normativi.
Per completezza dovrebbero essere inseriti:
Codice trasparenza, decreto legislativo 14 marzo 2013, n. 33; legge anticorruzione 6 novembre 2012, n. 190; art. 6 decreto legge n. 80 del 9 giugno 2021 (PIAO).

2.3.: Riferimenti normativi: Nell’indicazione dei principali atti normativi di riferimento è indicato il D.lgs. 134/2024 come decreto di recepimento della direttiva 2557/2022, ed è riportato erroneamente tra parentesi il termine “NIS2”, quando, invece, tale decreto recepisce la direttiva CER (appunto la n. 2557/2022). Sarebbe quindi opportuno correggere tale assunto e aggiungere, nell’indicazione delle fonti normative di riferimento, altresì la direttiva 2557/2022 (direttiva CER) “relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio”.
Inoltre, si rende necessario inserire il decreto di recepimento della Direttiva NIS 2 che è il seguente:
[D.lgs. 138/2024] - “Decreto legislativo 4 settembre 2024, n. 13. Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”.

  1. Le Linee Guida per l’adozione dell’IA nella PA offrono un quadro di riferimento strutturato, supportato da framework consolidati, indicatori di prestazione e riferimenti normativi. Tuttavia, pur garantendo flessibilità alle amministrazioni, presentano ancora alcune criticità che potrebbero rendere complessa un’adozione uniforme e coerente dell’IA nella PA.
  1. Sul piano normativo e legale, si suggerisce di riorganizzare i cap. 2.3 e 2.4 tenendo conto della gerarchia delle norme e delle fonti, distinguendo tra
  • atti con efficacia vincolante per la PA, separando: Regolamenti Europei, Norme Nazionali di attuazione delle Direttive Europee, Norme Nazionali (come il CAD); altre Linee guida Agid; Linee Guida e Provvedimenti di altre Autorità, etc.;
  • altri documenti senza efficacia vincolante diretta per la PA (es. dichiarazioni di principi, OCSE, standard di settore).

Va inoltre chiarito bene l’impatto vincolante (ai sensi dell’art. 71 e considerando anche l’art. 18bis del CAD) delle Linee Guida Agid sulla PA, per favorirne l’applicazione pratica. Va infine evitato di duplicare o riscrivere con linguaggio diverso ciò che è già descritto nell’AI Act (es. Definizione del Fornitore) e in ogni altra norma già efficace e prescrittiva.

  1. Un aspetto migliorabile è il collegamento tra le norme ISO e i capitoli del documento, che potrebbe essere reso più esplicito per facilitare l’applicazione pratica degli standard. Inoltre, sebbene il documento fornisca riferimenti a KPI e metodologie di gestione del rischio, questi strumenti potrebbero essere integrati con indicazioni più operative per agevolare la standardizzazione delle pratiche tra le PA.

  2. L’uso dei termini “DEVE” e “DOVREBBE” andrebbe inoltre rivisto in alcuni punti (specificati nell’allegato pdf con maggior dettaglio), in particolare per quanto riguarda la governance e la gestione del rischio, affinché determinate raccomandazioni diventino requisiti vincolanti per garantire maggiore uniformità.

Questo argomento è stato automaticamente chiuso dopo 35 giorni. Non sono permesse altre risposte.