La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.
Questo argomento accoglie i commenti relativi al capitolo 3. L’Intelligenza Artificiale.
I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).
All’interno delle linee guida il tema della sostenibilità è trattato solo parzialmente. Sarebbe utile fornire indicazioni più dettagliate sulle strategie da tenere come riferimento per un’implementazione sostenibile dell’IA, ad esempio:
Per puro caso proprio un minuto fa ero finito su un sito Google che aveva offerto una traduzione AI in italiano (non richiesta). Il testo non aveva senso e a un certo punto citava “L’Autorita’ Palestinese e me”. Clicco su “mostra l’originale”, che in effetti si riferiva a Pennsylvania (_PA) e Maryland (ME).
Mi sa che con la AI va a finire male. Appena ci mancano gli strumenti di discernimento e relazione con la realta’, e’ chiusa.
Sezione 3. L’intelligenza Artificiale pagina 13.
Esorto a considerare l’opportunità di integrare una spiegazione riguardante i sistemi IA, particolarmente quelli generativi, caratterizzati da “non determinismo”. Questo concetto è fondamentale per comprendere come funzionano questi sistemi e le conseguenze del loro utilizzo.
I sistemi IA generativi sono progettati per creare output basati su input specifici, ma il loro funzionamento non è sempre prevedibile a causa del “non determinismo”. Questo significa che i risultati potrebbero variare o essere imprevedibili, rendendo necessario un approccio più cauto nei confronti delle elaborazioni effettuate.
Per garantire una corretta comprensione e gestione dei risultati, è consigliabile introdurre chiarimenti specifici, come menzionato nel documento F.6 “Orchestrazione di processi”. che è pero specifico solamente per quel contesto.
Considerando il documento nel suo complesso, mi pare che uno degli obiettivi prioritari per un’ulteriore revisione dovrebbe essere quello di snellire il testo, rendendolo più agile e meno “denso” per il lettore. Questo non significa banalizzare i contenuti, ma piuttosto concentrarsi sull’essenziale e spostare ciò che è di supporto o di approfondimento in sezioni separate, facilmente consultabili ma non necessarie per avere una visione d’insieme chiara.
Mi spiego meglio. Credo che il documento possa essere riarticolato per consentire diversi livelli di lettura. Dovrebbe esserci un “nucleo” centrale, relativamente breve, che esponga i principi guida, il modello di adozione e le raccomandazioni fondamentali. Questo nucleo dovrebbe essere facilmente accessibile a tutti, anche a chi si avvicina per la prima volta al tema dell’IA nella PA, e dovrebbe fornire una solida base per comprendere il resto del documento.
Poi, a questo nucleo centrale, si aggiungerebbero degli “strati” di approfondimento, rappresentati dagli allegati e da sezioni più dettagliate. Il lettore, a seconda del suo ruolo e del suo livello di interesse, potrebbe scegliere di esplorare questi strati in modo selettivo, senza dover per forza leggere l’intero documento.
In concreto, cosa significa questo? Significa, ad esempio, che l’introduzione dovrebbe essere molto sintetica, limitandosi a fornire una panoramica degli obiettivi, dei principi e dei contenuti del documento. La sezione sulle definizioni dovrebbe essere ridotta all’osso, includendo solo i termini indispensabili e rimandando ad altre fonti per maggiori dettagli. Il modello di adozione potrebbe essere rappresentato in modo schematico, magari con un diagramma di flusso, evidenziando le fasi chiave e i punti decisionali. E così via.
Allo stesso tempo, sarebbe utile cercare di evitare le ripetizioni. A volte, le stesse raccomandazioni vengono ribadite in sezioni diverse, il che rende la lettura un po’ faticosa. Un lavoro di armonizzazione del linguaggio e di eliminazione delle ridondanze potrebbe migliorare molto la chiarezza.
Infine, per agevolare la lettura a diversi livelli, si potrebbe evidenziare in modo più marcato le raccomandazioni principali e i concetti chiave, magari usando il grassetto, dei riquadri o dei colori. E potrebbe essere utile suggerire dei percorsi di lettura specifici per i diversi stakeholder, indicando quali sono le sezioni più rilevanti per ciascuno.
Insomma, l’idea è quella di creare un documento che sia al tempo stesso completo e agile, che possa essere utilizzato da tutti, indipendentemente dal loro livello di conoscenza o dal loro ruolo.
Per consentire una lettura a diversi livelli di approfondimento, si suggerisce di:
Esempio Concreto:
Si potrebbe iniziare con un’introduzione di massimo due pagine che illustri:
Metodologicamente proporrei infine, un catalogo di soluzioni di IA agevolerebbe la diffusione di buone pratiche, la condivisione di esperienze e la riduzione del rischio di “reinventare la ruota” da parte delle diverse PA. La trasparenza sui progetti in corso promuoverebbe la collaborazione e l’innovazione. Per cui gli impatti sulle singole sezioni potrebbero essere le seguenti:
Con riferimento a quanto acquisito in merito, la presente non intende sollevare giudizi inerenti le medesime linee guida, piuttosto suggerimenti volti all’adozione di IIuna migliore dettagliata adozione di misure volte ad una maggiore trasparenza, alla base della tutela da eventuali rischi di bias. Si fa riferimento pertanto alla sezione 3. Intelligenza Artificiale e con riferimento particolare ai rischi di bias e conseguenze che possano avere in termini implicazioni ai diritti umani. Non si entra nel merito di informazioni di natura informatica, tuttavia, si evince una carenza dettagliata di informazioni sulla base dei quali riporre attività di monitoraggio, al fine di limitare e garantire la generazione di dati meno soggetti ai rischi di bias.
Non essendo espertissima, mi permetto di suggerire opportunità volte ad assicurarne il monitoraggio e soprattutto la trasparenza alla luce dei rischi associati, dovendo ricorrere ad appositi riferimenti che ne consentono l’identificaziobe numerica del bias. Ritengo possa essere utile per ciascuna PA dare debita evidenza di ogni sistema di IA adoperato , dei rispettivi bias e grado di rischio associato. Sarebbe utile ovvero dare un nome o un elemento identificativo per ciascuno di essi, con obblighi in capo ad ciascun ente preposto a vario titolo e livello, di uso di sistemi di IA VALIDATI, nel rispetto dei requisiti di completezza, precisione, affidabilità ovvero altri di mera natura tecinca, nonché opportunita di adozione nell’ambito della stessa infrastruttura informatica di un apposito sistema di blocco automatico al manifestarsi di un dato outputIInon atteso, oggetto di bias, previa adeguata definizione dello stesso e addestramento dello stesso sistema al rispettivo blocco. Cio potrebbe ridurre o esonerare eventuali rischi elevati a scapito dei diritti fondamentali grazie all’uso di sistemi di blocco automatico, di ovvia necessità ai fini sella rispettiva convalida.
Sempre in un ottica di maggiore trasparenza pubblica non escludo possa essere utile fornire altrettante debita evudenza pubblica del rispettivo impiego, mediante l’uso di monitor o schermi resi disponibili su portali web preposti nonché all’esterno della struttura di ogni ente preposto, volte a registrare e trasmettere in via contnuativa l’attività di ciascun sistema adoperato al quale attribuire un identificativo, ovvero un rispettivo codice con annessi valori soglia ammissibili, del quale appurare altrettanta corrispondenza nell’ambito di un registro sempre preposto all’accesso pubblico ai sensi del diritto di accesso civico. Sempre in funzione degli obblighi di trasparenza, di cui dare pieno valore mediante il diritto di accesso civico e generalizzato, ricorre altrettanto necessario bilanciare opportunità di tutela del diritto alla privacy, con inevitabile necessita di assicurare nell’ambito dei diversi cintesti interessati, misure idonee alla rispettiva tutela, avendo cura di garantire la pseudoanonimizzazione del soggetto o contesto nel quale applicarlo mediante l’uso di un rispettivo codice di cui dare evidenza nell’ambito della stessa schermata. Sarebbe opportuno pertanto fornire un monitor nell’ambito dei quali visualizzare grafici dai quali tracciare,ovvero monitirare in duretta lo stato di funzionalità dei sistemi adoperati ovvero delle loro attivita mediante ove evidenziare anche soglie di rilevazione degli output al fine di dare evidenza dell’esonero dei ruschi di bias. Resta intesa la necessità di dover iniziare da una base di informazione circa gli output gia in anticipo chiara, ovvero possedere piena contezza del risultato atteso per la precisione del dato che si intende trattare.
Sempre in un ottica di tutela della privacy e adozione di adeguate misure a tal fine, sarebbe congruo poter usufruire di infrastrutture informatiche che trasmettono l 'informazione media nte tali monitor esterni o visibili al pubblico inerenti le attivita condotte all’interno della stessa entita pubblica, mediante personale preposto, coinvolto nella visualizzazione della medesima schermata, o monitor e della possibilità di associazione del codice visionato all’esterno, ad un codice di sola presa visione del soggetto interessato e del personale autorizzato al rispettivo trattamento all’internodella della struttura, con fornitura di evidenza in merito alla validita di impiego del rispettivo sistema mediante consegna allo stesso soggetto interessato, della rispettiva certificazione attestante l’avvenuta convalida. Nella stessa poter evincere codice del sistema, della soglia o parametro o dato ammesso, risultato rilevato ovvero output e codice di accesso allo stesso che tuttavia riconduca all’identità del soggetto perché solo trattato all’in terno della struttura pubblica preposta, con un rispettivo riscontro nell’ambito di un apposito registro presente all’interno della struttura, sotto la responsabilità del DPO o personale delegato.
Sempre con riferimento al ciclo di vita, sarebbe congruoo per ogni fase dello stesso, identificare i rispettivi responsabili per ciascuna PA, sulla base del cintesto e dellevfihalita per la quale si intende realizzare e assicurare lo sviluppo dinun dato sistema.
Suggerirei pertanto alla presente sezione di garantire altrettanta elencazione del rispettivo personale responsabile per l’espletamento delle funzioni ruchieste, incluse le competenze e formazione becessaria per adempiereva tali funzioni, garantendo per ogni fase lo svolgimento della medesima nel rispetto di determinati requisiti di qualità grazia ad una rispettiva certificazione attestante la valudazione della mera fase iniziale. Al fine ovvero di garantire elevati standard di qualità, sarebbe necessario definure requisiti da rispettare ai fini della valutazione della fattibilità effettiva del sistema, grazie ad un apposito questionario caratterizzato da sezioni e sottosezioni ove evincere per ciascui na fase i requisiti che debbano essere soddisfatti sulla base di altrettanti definiti datina disposizione, nell’ottica successuva alla risoettiva raccolta, di convertire gli stessi requisiti in obiettivi complessivi, nonché soecifici per ciascuna fase.
Ad esempio, disciplinare la necessità di una fase di fattibilità per determinare se sulla base delle esigenze dello stakeholder sia possibile usufruire di un set di dati per poi identificare i rispettivi metadati e algoritmi grazie all’uso di un questiinario da impiegare nell’ambito di ciascuba PA che intenda svikupoare un sistema di IA.
Per ciascuna fase del ciclo di vita ricorre pertanto necessario riconoscere i rusoettivi attori coinvolti operanti nell’ambito della PA, le mansioni da svolgere, nonché altrettanto i committenti, definendo obblighi e responsabilità in capo a cuascuno, sulla basecdel Regolamento ACT IA, del quale dare evidenza grazie ad opportune certificazioni di conformità di cusscuna fase del ciclo di vita, in relazione alla disciplina emanata nell’ambito del Regolamento.
Sempre facendo debito riferimento alla sezione 3. INTELLIGENZA ARTIFICIALE, fermo restando le necessità di convalida di ogni fase che caratterizzi il ciclo di vita del sistema di IA, sarebbe congruo dettagliare opportuni obbligji e competenze in capo ai fabbricanti, nonché proponenti, ovvero stakeholder come la necessità di pattuire appositi accordi, previa sottoscrizione di un accordo di confidenzialità volto a tutelarne i diritti intellettuali e industriali, incluse specifiche inerenti le responsabilità in capo ai produttori per quanto concerne l’esonero dei rischi a cui si possa andare incontro, di cui darecsempre debitacdescrzione nell’ambito di un apposito documento di analusi iniziale che identifichi i profitti che possano essere tratti, ovvero i benefici, ma altrettanto i ruschi intesi come ripercussioni porenziali ai diritti fondamentali dei cittadini, nonché alla generazione di dati errati e delle mancate funzionalità. A tal riguarda, ricorrono altrettante necessità oer ogni fase di assunzione di responsabilità circa la generazione di sistemi affidabili eventualmente preposti secondo quanto autorizzato, fermo …restando certificazioni di qualità in capo ai fornitori.
Al fine di generare output sempre piu attemdibili rispetto a quelli attesi, non escludo possa essere utile e necessario garantire obblighi in capo al personale coinvolto nella raccolta dati, di definire nell’ambito di apposita documentazione generata nel corso dell’intero iter di sviluppo del software quali siano i sati strutturati e non, i metadati impiegati al fine di garantirne la standardizzazione del processo rispettando un iter produttivo omogeneo che possa anche essere impiegato da eventuali utilizzatori, non necessariamente fornitori, fermo restando altrettante necessità di assicurare infrastrutture integre oer garantire il mantenimento degli stessi dati per tutta la durata per la quale si intende adoperare il sistema.
A tal riguarda, la normativa in materia non detta informazioni circa la durata complessiva di un sistema di IA, con la necessità in capo a cascin fabbricante di garantire una rispettiva definizione della data entro la quale assicurarne il rispetto di determinati requisiti di qualità, sulla base di idonee certificazioni sttestanti molteciplici test volti a validarne la medesima, nonché a definirne il periodo di tempo massimo entro il quale garantire il mantenimento di determinati requisiti.
Resta inteso inoltre la definizione pertanto di quali debbno essere i periodi entro i quali assicurare attività di controllo qualità e pertanto convalida, manutenzione ordinaria e straordinaria, in merito ai quali, sempre al fine di incenivare idonee forme di trasparenza e sicurezza del rispettivo impiego, sarebbe altrettanto congruo per ciascun sistema di IA adoperato, poter conferire la rispettiva informazione nell’ambito di un big depository dei sistemi di IA, la cui finalità sia quella di assicurare la tracciabilita delle rispettive scadenze, con obblighi in capo al produttore di rinnovo delle medesime caratteristiche.
Nell’incipit del capitolo è riportata una definizione generica di AI. Si suggerisce di dare una definizione di AI presa da standard (ad esempio standard ISO o similiari) e un brevissimo excursus sui vari tipi di AI (difatti AI è un “umbrella term” che racchiude molteplici approcci). Il rischio di non dare una panoramica all’inizio del documento è orientare l’attenzione del lettore, che non necessariamente ha una conoscenza globale dell’IA, verso un sott’insieme di approcci.
La capacità inferenziale consente ai sistemi di IA di andare oltre l’elaborazione statica dei dati (come i
sistemi software tradizionali), adattandosi e migliorandosi in base ai risultati ottenuti e alle condizioni operative.
In altre parole, i sistemi di IA non si limitano a eseguire istruzioni predefinite, ma imparano e migliorano nel
tempo, ampliando la loro utilità e applicazione in contesti complessi. Si suggerisce di declinare questa frase generica con esempi pratici che aiutano il lettore a comprendere il significato. Di seguito un esempio di regressione lineare: previsione del prezzo di vendita di una casa basandosi su caratteristiche come metratura, numero di stanze e ubicazione, o l’uso di alberi decisionali per i rules -based symptom checkers.
Per quanto riguarda il capitolo 3: la bozza è molto dettagliata e ben strutturata, ma ci sono alcuni aspetti che potrebbero essere migliorati o integrati per renderla più completa e operativa.
Ruoli e responsabilità specifiche: Oltre alla distinzione tra fornitore e deployer, sarebbe utile indicare i ruoli interni alla PA che supervisionano, valutano e monitorano i sistemi di IA, come ad esempio un “AI Governance Board”, un “Responsabile della conformità AI”, o un “Comitato etico per l’IA”.
Processo decisionale trasparente: Potrebbe essere utile definire chi prende le decisioni chiave nell’implementazione dell’IA nella PA e come vengono documentate.
Audit e revisione periodica: Un processo chiaro di audit per verificare la conformità ai principi di trasparenza, etica e sicurezza nel tempo.
Consultazione pubblica permanente: Non basta solo la consultazione per queste linee guida, ma un meccanismo di “feedback continuo” per monitorare l’impatto dell’IA sui cittadini.
Partecipazione dei cittadini e delle organizzazioni della società civile: Potrebbero essere previsti strumenti di partecipazione pubblica o forme di “co-design” per sistemi di IA che incidono direttamente sui cittadini.
Checklist di conformità: Un insieme di strumenti pratici, come una checklist di conformità ai requisiti dell’AI Act, per facilitare l’adozione da parte delle PA.
Template e linee guida per le valutazioni d’impatto AI: Sarebbe utile fornire un modello di Valutazione d’Impatto sull’IA (AIA - AI Impact Assessment), soprattutto per i sistemi ad alto rischio.
Esempi di best practices e case study: Potrebbe essere utile inserire esempi pratici di implementazioni di IA di successo nella PA.
Mitigazione dei bias: Sebbene il documento menzioni il rischio di bias, non viene specificato un processo chiaro per la loro individuazione e correzione. Potrebbe essere utile integrare linee guida per la “fairness” degli algoritmi e test di equità ex ante ed ex post.
Resilienza agli attacchi adversariali: La sicurezza cibernetica è citata, ma non viene menzionato il rischio di “attacchi adversariali ai modelli di IA” (es. alterazione dei dati di input per manipolare l’output dell’IA). Un framework di mitigazione degli attacchi sarebbe utile.
Standard aperti e interoperabilità: L’adozione di IA nella PA dovrebbe essere basata su standard aperti per garantire interoperabilità tra le diverse amministrazioni.
Integrazione con sistemi legacy: Molte PA operano con infrastrutture IT obsolete; occorre una strategia chiara per integrare l’IA con i sistemi esistenti.
Bisogna assicurarsi di rispondere alla direttiva europea sull’interoperabilità per permettere un flusso aperto con le altre PA europee.
Indicatori di performance (KPI) per i sistemi di IA: Non viene specificato come valutare il successo o il fallimento dell’adozione di un sistema di IA. Potrebbero essere definiti dei KPI quantitativi e qualitativi per misurare efficacia, efficienza e impatto sui cittadini.
Monitoraggio degli impatti sociali ed economici: Oltre al monitoraggio tecnico, occorrerebbe anche una valutazione d’impatto sociale, economico ed etico dell’IA nella PA.
Strategia per la formazione continua: Si parla di formazione, ma manca una strategia chiara per aggiornare costantemente le competenze dei funzionari pubblici nell’uso dell’IA.
Creazione di un AI Competence Center per la PA: Un centro di competenza nazionale potrebbe fornire supporto tecnico e metodologico alle amministrazioni pubbliche.
Modelli di finanziamento per l’adozione dell’IA nella PA: La bozza non include riferimenti a strategie di finanziamento per l’implementazione dell’IA nella pubblica amministrazione. Sarebbe utile includere riferimenti a fondi europei, nazionali o partenariati pubblico-privati.
Paragrafo 3.3 classificazione sulla base del rischio e sezione 4.7 Gestione del rischio
Facendo seguito in merito a quanto sopra, al fine garantire una piena e continuativa attivita di monitoraggio dei rischi, sarebbe utile generare appositi modulari ove elencare dettagliatamente quali siano il set di dati e i rispettivi output sulla base dei contesti di raccolta a maggior rischio per la tutela dei diritti fondamentali dei cittadini, assicurando pertanto un codice identificativo nonché soglie oltre le quali manifestare un alto rischio, nonché l’ammissibilita di impiego e dei rispettivi contesti, fermo restando infrastrutture idonee in grado di captare l’output generato oltre il parametro ammesso, al fine di avviarne una rispettiva gestione presso una banca dati nazionale, altrettanto coinvolta in infrastrutte che ne assicurino il collegamento con una infrastrutture europea.
Non si evincono inoltre dettagli circa le responsabilità che debbano essere assunte, nel rispetto di ruoli e livelli professionali previsti in appositi ambiti contrattuali, da riporre in capo a ciascun soggetto coinvolto nel rispettivo impiego, potendo tuttavia ammettere il ricorso a misure di prevenzione e gestione che siano uniformi per tutti i soggetti operanti nell’ambito di una PA, a prescindere dal grado responsabilità in merito.
Tale assunzione verosimilmente potrebbe essere utile qualora si ravveda l uso di un sistema di IA a rischio moderato o basso, soggetto pertanto ad un esposizione comune e anche periodica qualora intenda usufruire di un dato servizio che ne implichi l’uso, grazie all’adozione di misure standard per segnalarne la criticità. Ad esempio, la possibilità di inoltro mediante l uso di software che non ammettino accessi da parte di terzi o blocchi, ovvero dotati da un elevato grado di sicurezza, di trasferire all’istante un apposito segnale nell’ambito di una piattaforma dedicata presso la Commissione europea. Il segnalatore pertanto sarebbe idoneo venisse munito all’atto di impiego del servizio o dello strumento, incluso il fabbricante di apposito foglietto di istruzioni che tuttavia venga inteso come documenti di responsabilizzazione del rispettivo uso, al fine di assicurare una politica volta a riporre idonee responsabilità non solo al fabbricante ovvero al rispettivo titolare in merito alla gestione dei rischi ma anche all’utilizzatore, nel rispetto di forme il piu possibili pratiche e immediate ovvero senza che comportino ritardi nello svolgimento quotidiano delle attività, essendo tenuto all’uso di un sistema di segnalazione tempestiva, con conseguente blocco automatico del rispettivo impiego o meno sulla base dell’entità dei rischi, fermo restando l’autonomia d’uso subordinata anche alla medesima entità e grado di severità.
Sempre al fine di rendere piu celere possibile l 'acquisizione di modalita di gestione del rischio, con riferimento particolare al basso e moderato grado, suggerisco all’Agid con la partecipazione condivisa tutti i titolari e fornitori, di avviare campagne di informazione mediante i media volti a fornire brevi informazioni educative a tutta la popolazione, fissando da parte dell’Autorita punti essenziali da trattare negli ambiti contenutistici delle rispettive pubblicità. Tale circostanza potrebbe rendere piu immediata la segnalazione da parte dell’utilizzatore, nonché fornitore, fermo restando obblighi in capo al solo personale autorizzato all’impiego di determinati sistemi di IA ad alto rischio di avvalersi di un sistema di gestione dei rischi piu complesso, caratterizzato da appositi manuali operativi che siano soggetti anche alla validazione da parte di personale informatico preposto, al fine di avviare una segnalazione per finalità di notifica e gestione medesima di eventuali rischi, garantendo sempre opportunità di innesco automatico della funzionalità di blocco, da sottoporre a rispettuva convalida periodica e altrettanto manutenzione.
Revisioni, modifiche e integrazioni al testo delle Linee Guida per l’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione
Premessa:
Le Linee Guida per l’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione rappresentano un documento fondamentale per orientare l’adozione di tecnologie innovative nel settore pubblico. Al fine di massimizzarne l’efficacia e la chiarezza, si propongono le seguenti revisioni, modifiche e integrazioni.
Revisioni e modifiche:
1. Terminologia:
* Si consiglia di uniformare la terminologia utilizzata in tutto il documento, preferendo l’uso di “Intelligenza Artificiale” o “IA” in modo coerente, evitando la forma abbreviata “I.A.” o altre varianti.
* Si suggerisce di uniformare l’uso di “organizzazione” o “ente” in riferimento alla PA, scegliendo uno dei due termini e utilizzandolo in modo coerente in tutto il documento.
Struttura:
Contenuto:
Integrazioni:
Considerazioni aggiuntive:
Conclusioni:
Le Linee Guida per l’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione rappresentano un importante strumento per guidare l’innovazione nel settore pubblico. Le revisioni, modifiche e integrazioni proposte mirano a migliorare la chiarezza, la completezza e l’efficacia del documento, al fine di favorire un’adozione responsabile e consapevole dell’IA nella PA.
Aggiungerei una sezione dedicata alla gestione dei rischi etici specifici legati all’IA, come la discriminazione algoritmica e i bias nei modelli.
Uno degli aspetti che richiede maggiore approfondimento è la descrizione del ciclo di vita dei sistemi di IA. Il documento si limita a delineare le fasi principali, ma non specifica con sufficiente dettaglio le attività critiche per ciascuna fase, come la gestione dei dati di addestramento, la valutazione dell’accuratezza degli algoritmi e i meccanismi di aggiornamento continuo dei modelli. Sarebbe utile includere indicazioni pratiche su come le amministrazioni possano monitorare e documentare ogni fase del ciclo di vita dell’IA per garantire trasparenza, accountability e conformità normativa.
Anche la sezione dedicata ai ruoli nella catena del valore dell’IA appare incompleta. Viene fatta una distinzione tra sviluppatori, fornitori e utilizzatori dei sistemi di IA, ma manca una definizione chiara delle responsabilità di ciascun attore, soprattutto per quanto riguarda la gestione del rischio e la protezione dei dati personali. L’integrazione di riferimenti specifici al Regolamento AI Act e al GDPR permetterebbe di chiarire meglio gli obblighi di ciascun soggetto coinvolto, specialmente nelle fasi di progettazione e implementazione dei sistemi di IA.
La classificazione dei sistemi di IA sulla base del rischio segue il modello europeo, ma non fornisce criteri operativi dettagliati per l’applicazione pratica di questa classificazione nelle pubbliche amministrazioni. Sarebbe utile includere linee guida più specifiche su come le amministrazioni possano identificare, valutare e mitigare i rischi associati all’uso di IA in processi decisionali automatizzati. Inoltre, non viene chiarito se sia prevista una revisione periodica del livello di rischio di un sistema di IA dopo la sua implementazione, un aspetto fondamentale per garantire la sicurezza e l’affidabilità nel tempo.
Infine, i principi per l’adozione dell’IA nella pubblica amministrazione sono elencati in modo generico e senza un collegamento chiaro con le normative vigenti. Sarebbe utile approfondire il principio di non discriminazione, fornendo esempi concreti di come evitare bias algoritmici nei sistemi di IA utilizzati per l’erogazione di servizi pubblici. Anche il principio di trasparenza dovrebbe essere dettagliato maggiormente, includendo obblighi precisi per la documentazione e la spiegabilità delle decisioni algoritmiche. L’integrazione di strumenti pratici come checklist o framework di valutazione potrebbe migliorare l’utilità operativa di questa sezione.
Paragrafo 3.1 Ciclo di Vita
Il modello di riferimento del Ciclo di vita dovrebbe suggerire una metodologia. Il presupposto della metodologia risiede nella volontà di rendere il processo affidabile e riutilizzabile.
La metodologia dovrebbe suggerire un framework con delle fasi che potrebbero essere ripetute ciclicamente con l’obiettivo di revisionare e rifinire il modello.
Suggerisco di introdurre il Business Understanding (non si può prescindere da una buona conoscenza del business). Risulta spesso difficile trovare forti competenze di business e altrettanto forti competenze analitiche nella stessa persona.
Già in questa fase preliminare sarebbe opportuno predisporre un piano di sviluppo del progetto.
Si suggerisce di elencare anche la tipologia di documentazione da produrre per ogni singola fase .
Forse sarebbe utile introdurre il Data Understanding, ovvero capire e valutare la bontà dei dati è il pilastro fondamentale per la riuscita del progetto, in questa fase
occore identificare quali sono i dati rilevanti per la creazione del modello.
L’attività di esplorazione e descrizione dei dati deve essere completata con la varifica della qualità e e devono essere chiaramente descritti i dati mancanti e le situazioni anomale.
Facendo seguito in merito alla sezione 3.3 la definizione di ciascun rischio risulti essere congrua sebbene venga meno una chiara definizione di un dato sistema di gestione e minimizzaaione del rischio, che sia caratterizzato per quanto possa suggerire da criteri standard, ovvero requisiti predeterminati in merito ai quali sussistono chiare e definite correlazioni a fattori dinrischio l’integrita e i diritti fondamentali, per poi dettagliare il medesimo sistema di gestione del rischio in modo specifico al rispettivo contesto di applicazione. Si fa ivvero riferimento ad una strutturazione caratterizzata da standard di riferimento da ottemperare al fine di garantire la gestione dei rischi meramente relati agli standard di qualità preposti, come quelli scaturiti da una architettura generata sulla base di requisiti tecnici che tuttavia non ne abbiano consentito l’effettiva definizione di obiettivi necessari sulla base delle funzionalita che si intendeva ottemperare con l’uso di tali sistemi. Fermo restando potenziali rischi associati a problematiche inerenti le caratteristiche standard ai fini della qualità del prodotto, ciascun sistema di gestione e minimizzazione dei rischi divrebbe altrettanto caratterizzarsi da una sezione dedicata a quelli associati al contewto di impiego, al gradomdi severita che possa comportare un dato sistema di IA, oltre che violazione dei diritti fondamentali dei cittadini, adottando altrettante misure volte ad un monitoraggio costante del mantenimento dei requisiti di qualità e dei rischi associati, grazie al quale peraltro acquisire in modo sistematico sempre piu informazioni circa l’integrita del prodotto e ,a rispettiva funzionalità idonea, al fine di adottare anche conseguenti decisioni volte al miglioramento del sistema preposto.
Vista peraltro l’importanza del contesto inerenti l’uso di sistemi di IA, resta intesa la necessita di definizione di un dato organigramma nel quale assicurare idonee descrizioni circa il personale preposoto, le rispettive responsabilità e mansioni, ovvero obblighi e doveri ai sensi della normativa in materia di stato giuridico del personale degli enti pubblici, conformi alla disciplina dettata nell’ambito della contrattazione collettiva nazionale.
Suggerisco inoltre la definzione di norme che abbiano il fine di definire un’apparato legislatvo sulla base del quale assicurare requisiti procedirali e termini temporali da rispettare ai fini della gestione del rischio, con riferimento particolare alla trasmissione di apposite segnalazioni, che siano caratterizzate da un contenuto quali quantitativo conforme e corrispettivo rispetto al grado di severità del rischio, come peraltro i termini ai fini della rispettiva trasmissione.
A tal riguardo, suggerisco la realizzazione di un’apposita scala di gradazione, caratterizzata da soglie inerenti parametri e dati sulla base dei quali definire il rispettivo grado di rischio associato, nonchè il grado correlazione, facendo debito riferimento pertanto alle rispettive cause alla base: tecniche, funzionali, non funsionali, relate ai rispettivi materiali, ovvero anche inerenti i cosiddetti requisiti inversi, la cui finalità sia quella di definire le problematiche di sicurezza associate ad determinate operwzioni di sicurezza che non debbano essere compiute.
Sezione 8
Integrazione con Software Open Source e Modelli di LLM nella PA
Le presenti Linee Guida non fanno riferimento esplicito allo sviluppo e all’integrazione di software open-source per l’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione. Tuttavia, l’uso di soluzioni IA open-source rappresenta un elemento strategico per garantire trasparenza, verificabilità, sicurezza e sovranità digitale** all’interno della PA.
In linea con i principi del Codice dell’Amministrazione Digitale (CAD) e delle Linee Guida AgID sul riuso del software, si propone di incentivare l’utilizzo, l’integrazione e il riuso di soluzioni open-source per l’IA, con particolare riferimento a:
Integrazione con software libero già in uso nella PA: molte amministrazioni utilizzano LibreOffice come alternativa a soluzioni proprietarie per la gestione documentale. L’integrazione con modelli di IA open-source potrebbe migliorare l’accessibilità, la produttività e l’automazione dei processi.
Adozione di LLM open-source** per garantire **privacy e controllo dei dati: i modelli Mistral e Gemma possono essere installati e gestiti localmente, evitando di trasmettere informazioni a server esterni. Ciò garantisce un maggiore livello di protezione dei dati sensibili trattati dalla PA, oltre a ridurre il consumo di risorse rispetto a soluzioni proprietarie.
Efficienza delle risorse e scalabilità: l’adozione di modelli LLM leggeri e ottimizzati per l’esecuzione su hardware locale permette di abbattere i costi di infrastruttura e di minimizzare l’impatto energetico, in linea con gli obiettivi di sostenibilità della PA.
Caso d’uso concreto: LibreOffice + Mistral/Gemma in un ambiente PA
Ho realizzato su di un computer locale un installazione LibreOffice in un ambiente locale e integrandolo con i modelli Mistral e Gemma, entrambi open-source. Questa soluzione permette di:
Evitare la dipendenza da servizi cloud esterni, preservando la riservatezza dei dati trattati dalla PA.
Migliorare l’elaborazione automatica dei documenti, con funzionalità di sintesi, traduzione e assistenza alla scrittura direttamente integrate.
Ottimizzare le risorse hardware, eseguendo i modelli su infrastrutture locali senza la necessità di GPU avanzate.
Promuovere il riuso e la scalabilità all’interno della PA, rendendo più accessibile l’adozione dell’IA anche per enti con risorse limitate.
L’adozione di soluzioni IA open-source come questa consente alla PA di ridurre la dipendenza da fornitori esterni, aumentare la sicurezza e ottimizzare l’uso delle risorse, in un’ottica di innovazione sostenibile e conforme alle normative sulla protezione dei dati.
Ritengo che sia limitativo concentrare l’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione esclusivamente su soluzioni proprietarie come ChatGPT o Copilot in Office, senza dare adeguato risalto a soluzioni open-source. L’integrazione di modelli IA liberi e software open-source potrebbe offrire maggiore trasparenza, controllo sui dati, riduzione dei costi e indipendenza dai fornitori esterni, aspetti fondamentali per la sovranità digitale e l’efficienza della PA. Sarebbe auspicabile che le linee guida prevedano una valutazione equa tra opzioni proprietarie e alternative open-source, in modo da garantire un’adozione dell’IA più inclusiva, sostenibile e conforme ai principi del Codice dell’Amministrazione Digitale (CAD).