La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.
Questo argomento accoglie i commenti relativi al capitolo 4. Modello di adozione dell’IA.
I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).
Per agevolare la comprensione, suggerirei di iniziare ogni paragrafo con una breve sintesi esecutiva, che ne anticipi i contenuti principali e le azioni raccomandate. Questo approccio renderebbe la sezione più accessibile e consentirebbe ai lettori di cogliere immediatamente i punti salienti.
Un’altra criticità risiede nell’eccessiva astrattezza del modello di adozione proposto. Per superare questa difficoltà, raccomanderei di integrare quanto prima casi d’uso pratici e concreti, che illustrino come le PA possono effettivamente applicare le varie fasi del modello. L’attuale Allegato F non è sufficiente; sarebbe auspicabile creare un vero e proprio “catalogo di esempi” consultabile, che offra spunti operativi e guidi l’azione.
Inoltre, non è del tutto chiaro se il modello sia pensato per PA di grandi o piccole dimensioni, con un elevato o basso grado di maturità tecnologica. Per questo, suggerirei di differenziare il modello, creando percorsi semplificati per le PA con risorse limitate e percorsi più completi per le PA più strutturate. Questa distinzione renderebbe il modello più flessibile e adattabile alle diverse realtà del panorama italiano.
Un ulteriore miglioramento potrebbe consistere nel fornire strumenti operativi concreti. Il documento descrive cosa fare, ma non indica come farlo praticamente. Per colmare questa lacuna, suggerirei di integrare template, checklist, esempi di documenti e strumenti di autovalutazione, che supportino l’implementazione pratica del modello.
Alcune fasi, come la valutazione d’impatto e la gestione del rischio, sembrano sovrapporsi, creando confusione. Per risolvere questo problema, raccomanderei di razionalizzare le fasi, definendo chiaramente quando e come ciascuna attività deve essere svolta, al fine di evitare ridondanze. Una “flowchart” chiara e sintetica potrebbe aiutare a visualizzare meglio il flusso delle attività.
In particolare, la sottosezione relativa alla strategia per l’IA (4.1) è troppo generica. Suggerirei di includere un template o una checklist per aiutare le PA a definire una strategia realistica e misurabile, con obiettivi specifici e ben definiti. Allo stesso modo, l’analisi del contesto (4.2) è troppo teorica. Potrebbe essere utile creare un questionario o un tool di autovalutazione online che guidi le PA nell’analisi del proprio contesto, generando poi un report personalizzato.
Infine, gli allegati sembrano un po’ disorganici. Mancano riferimenti espliciti agli allegati direttamente nel testo della sezione, spiegando a quale fase del modello si riferiscono e come possono essere utilizzati. Pertanto, suggerirei di creare una “guida all’uso degli allegati” e di integrare i riferimenti in modo più chiaro.
Per concludere, propongo una struttura alternativa per la sezione: un’introduzione sintetica al modello, che ne illustri obiettivi, vantaggi e applicabilità; una descrizione dei percorsi di adozione (semplificato vs. completo), con una flowchart chiara; una trattazione dettagliata delle fasi, con checklist, esempi, template e link agli allegati rilevanti; infine, un’appendice con tutti i template e gli strumenti.
Paragrafo 4.3, Punto 1 (Miglioramento dell’efficienza operativa), proposta di inserire un punto f) “Miglioramento della gestione dei progetti: le PA possono utilizzare l’IA a supporto del project management per gestire i progetti con maggiore efficacia ed efficienza, anche automatizzando attività ripetitive, analizzando grandi moli di dati, proponendo analisi predittive e ottimizzazioni delle risorse, e migliorando i processi di supporto alla decisione”.
7.2. Obblighi di informativa:
Si suggerisce di espandere il paragrafo con una maggiore profondità di trattazione rispetto ai criteri e i parametri su cui si basano le decisioni automatizzate prese dal sistema di IA. In particolare, si suggerisce di dettagliare modalità con cui una PA garantisce ai cittadini l’aderenza al requisito di trasparenza delle decisioni prese dal modello. Inoltre nel documento si fa un solo riferimento alla DPIA, senza approfondire o dare rimandi utili al lettore per comprendere se la DPIA sia necessaria. Si suggerisce di approfondire con un sottocapitolo o un rimando a documentazione ufficiale che guidi la PA negli scenari in cui si prevedono decisioni basate su trattamento automatizzato che possono avere effetti giuridici o impattare significativamente l’interessato (è necessario ottenere un consenso esplicito o guidare in un’alternativa)
In Sanità, gli applicativi di IA possono essere sanitari o non. Quelli sanitari, autonomi o a supporto delle apparecchiature mediche, sono generalmente dispositivi medici. Per gli aspetti normativi (marchio CE) sono seguiti dai Servizi di Ingegneria Clinica, mentre della loro accettazione, del loro monitoraggio e controllo e della formazione degli operatori sanitari (personale dirigente e del comparto), già se ne occupano i Servizi di Fisica Sanitaria. L’IA è da tempo gestita e monitorata dai fisici medici, in particolare quando è presente nei sistemi di imaging, di diagnostica, di terapia e rivolti al supporto/protezione dei lavoratori, dei pazienti e della popolazione. I Servizi di Fisica Sanitaria sono inoltre coinvolti nella ricerca e sviluppo dei sistemi IA, collaborando con le aziende del settore, gli Enti di Ricerca. Non a caso, il premio Nobel per l’IA è stato assegnato a alla Fisica.
L’AIFM (Associazione Italiana di Fisica Medica) non considera pertanto efficace, per la complessità e la varietà dei sistemi IA presenti nel campo della salute e del benessere, che il coordinamento dell’IA sia assegnata al solo RTD [come indicato al Paragrafo 4.1, terzo capoverso, Pag. 23 o nel Paragrafo 4.6, secondo capoverso, Pag. 28], ma ritiene utile la creazione di una specifica figura di coordinamento dell’AI, il Responsabile dell’Intelligenza Artificiale (RIA), a cui assegnare un proprio ufficio (UIA). Il RIA collaborerà quindi con l’RTD, l’UTD e l’RPD.
Come per il Codice Etico, sarebbe utile anche un modello/schema per la definizione della Strategia da adottare da parte delle PA, quale ulteriore allegato.
delegare tutto ai ‘poveri’ RTD che nelle piccole e medie realtà, il più delle volte non possono contare su di un vero e proprio ufficio dedicato, né su percorsi formativi garantiti ed adeguati, potrebbe significare non riuscire a traguardare l’obiettivo.
L’RTD comincia ad avere davvero troppi compiti estremamente trasversali che rischiano di trasformarlo in un vero capro espiatorio senza di fatto condurre agli obiettivi prefissati. E’ necessario che le Linee Guida facciano lo sforzo di calarsi nelle realtà effettive della gran parte delle pubbliche amministrazioni, definendo puntualmente obiettivi circostanziati semplici ed effettivamente raggiungibili, senza cadere nell’astratto, responsabilizzando tutte le figure dirigenziali/apicali che in una PA sono chiamate alla governance di processi istituzionali e che non possono non partecipare con un ruolo attivo a tali traguardi.
Par. 4.2 " Le PA POSSONO definire strategia e modello in collaborazione con altre amministrazioni o adottando strategie e modelli definiti da enti sovraordinati o della stessa tipologia." - Mi permetto di osservare che sarebbe opportuno rafforzare, se non addirittura obbligare, il ruolo delle Amministrazioni sovraordinate ad es. le Regioni nella definizione di strategie di adozione della IA condivise per tutti gli Enti Locali di riferimento, per evitare le consuete derive, costruire le fondamenta per servizi sicuri ed efficaci con esperienze che accomunino realtà che condividono già elementi infrastrutturali, creando anche primi nuclei sperimentali tra gli enti aderenti, a vantaggio anche del monitoraggio e la governance dei progetti.
Nell’ambito delle norme tecniche, riteniamo opportuno inserire un passaggio che preveda lo sviluppo di standard tecnici specifici per la pubblicazione machine-readable delle leggi e regolamenti, in linea con i principi dell’AI Act e delle strategie di open data dell’UE.
4.1 STRATEGIA PER L’IA
All’ultimo paragrafo, dovrebbe essere specificato il necessario ruolo di supervisione del corretto utilizzo dell’AI da parte di ogni responsabile dei servizi (IDEM PUNTO 5.2)
Inoltre, l’occasione dà modo di rilevare ancora una volta (da parte di chi scrive) che l’assenza di requisiti di qualsiasi tipo per svolgere il ruolo di DPO rappresenta un problema grave, poiché compromette la qualità delle valutazioni da compiersi a cura dello stesso DPO sulle strategie e sulle implementazioni di AI, nonché compromette la qualità del necessario supporto in materia di “protezione dei dati personali, diritto d’autore ed eventuali ulteriori normative di settore” (pag.32) e di predisposizione di “adeguata, esaustiva ed accessibile informativa agli interessati”, esplicitando “come i sistemi AI influenzano le decisioni e quali siano le conseguenze per i fruitori di servizi pubblici, rendendo note le finalità, i criteri e i metodi utilizzati dai sistemi” (pag.39). Tale assenza di qualsiasi requisito contrasta, altresì, con la previsione dell’introduzione nel Codice Etico della garanzia di “elevati standard di competenza professionale e pratica etica” (pag.37). Il vulnus relativo alla mancanza di requisiti attestanti competenza da parte del DPO, già sottolineato in relazione al punto 4.1, è anche più evidente laddove si consideri che le presenti Linee Guida prevedono al punto 8.3 la figura del “giurista informatico”, quando le competenze di tale figura dovrebbero far parte integrante e sostanziale di quelle di un DPO.
4.3 OBIETTIVI E AMBITI PRIORITARI DI APPLICAZIONE
Al punto 1.d “Miglioramento del supporto giuridico”, per l’elaborazione di pareri legali a livello interno delle PA è necessario garantire che l’utilizzo di AI sia riservato esclusivamente al personale dell’Ufficio Legale. L’utilizzo di AI, infatti, deve costituire soltanto un supporto all’elaborazione di pareri legali e non deve diventare un sostituto improprio del ragionamento giuridico, con il rischio di errori interpretativi, applicazioni distorte delle norme e conseguenze legali potenzialmente molto gravi.
4.5 CASI D’USO
Qui, come altrove nel documento (per esempio pagg.38, 74, 95), è consigliabile sostituire l’espressione “periodicamente” con un’indicazione più specifica (“almeno una volta l’anno”, “almeno una volta a semestre”, etc, a seconda del risultato desiderato).
4.5.3 INDICATORI DI PRESTAZIONE e ALLEGATO 1
È consigliabile prevedere la diversificazione della definizione dei KPI a seconda che la PA sia fornitore o deployer.
4.6. GOVERNANCE
È consigliabile esplicitare se per “organi direttivi” si intenda il vertice amministrativo o il vertice politico.
Si suggerisce di prevedere l’obbligatorietà della definizione delle procedure di governance dell’AI, al pari del resto della documentazione prevista.
4.10 RISORSE, COMPETENZE, COMUNICAZIONE
Si segnala, rispetto al penultimo paragrafo, la necessità di diversificare gli obblighi di documentazione e conservazione tra fornitori e semplici deployer.
Se si vuole mantenere la suddivisione tra condotte che le PA “dovrebbero” o “possono” porre in essere, sarebbe più utile una struttura in forma tabellare o un raggruppamento per categorie. La lettura è così poco chiara.
Le indicazioni fornite appaiono, inoltre, largamente generiche e rischiano di non contribuire a spiegare alle pubbliche amministrazioni come attuare quanto indicato. Sarebbe utile un paragrafo dedicato all’uso dell’open source, con vantaggi e rischi.
[4.2] Interessante la raccomandazione di definire una strategia comune per l’IA (es. comuni o università). Sarebbe però opportuno fornire maggiori indicazioni che guidino le PA. Ad esempio, si potrebbe raccomandare alle PA di favorire l’uso di dataset pubblici, sia per la fase di addestramento che per la raccolta “dinamica” delle informazioni. L’IA dovrebbe essere in grado di operare con dati legittimamente formati e raccolti, provenienti principalmente da altri enti regolatori e piattaforme pubbliche (ad esempio, database pubblici esistenti, portali e risorse online che forniscono accesso alla normativa vigente, nonché articoli scientifici, sebbene questi ultimi con le necessarie precauzioni). La qualità dei dati deve essere intesa anche in termini di “contestualizzazione”: i dati di addestramento devono essere raccolti tenendo conto dell’uso che il sistema ne farà e delle possibili interpretazioni che ne deriveranno nel contesto normativo di riferimento. Con riferimento alla raccomandazione di “valutare esperienze e sperimentazioni già effettuate da altre PA” occorrerebbe ricordare la possibilità di avvalersi del riuso previsto dal CAD (art. 69).
[4.4] Come già menzionato per altre parti del testo, un generico richiamo per le PA a tenere in considerazione le norme tecniche appare superfluo e poco utile nell’ambito di uno strumento come le linee guida, che dovrebbe favorire in termini operativi l’attività di compliance da parte delle PA e la pianificazione strategica interna degli usi.
[4.5.2] Anche con riferimento a tale paragrafo, elencare i requisiti per le PA rimandando ai capitoli del Regolamento appare poco utile, là dove le PA avrebbero più che altro bisogno di una guida alla compliance.
(Punto 4 Linee Guida)
L’adozione strutturata dell’Intelligenza Artificiale nella Pubblica Amministrazione richiede un approccio basato su processi chiari, strategie condivise e una governance efficace. Federmanager, rappresentando dirigenti con esperienza diretta nell’implementazione dell’IA nel settore privato, ritiene fondamentale applicare le migliori pratiche industriali per garantire un’adozione efficiente e sostenibile dell’IA nella PA.
Le Linee Guida adottano il modello Plan-Do-Check-Act (PDCA), allineato allo standard ISO/IEC 42001:2023, per garantire un miglioramento continuo nell’uso dell’IA. Federmanager evidenzia come il settore industriale abbia già maturato esperienza nell’applicazione di modelli simili, con benefici concreti in termini di efficacia operativa, mitigazione dei rischi e innovazione tecnologica.
Ruolo dei dirigenti industriali
I dirigenti industriali possono contribuire al Modello di Adozione dell’IA attraverso:
Per rendere efficace il Modello di Adozione dell’IA nella PA, Federmanager propone:
Federmanager ritiene che l’adozione dell’IA nella PA debba avvenire in modo strategico e strutturato, seguendo modelli di successo già adottati nel settore industriale. Il coinvolgimento dei dirigenti industriali nei processi di governance, formazione e sperimentazione permetterebbe di ridurre i rischi e massimizzare i benefici derivanti dall’integrazione delle tecnologie IA nei servizi pubblici.
4. Modello di adozione dell’IA - paragrafo 4.1
Nel testo vengono citati alcuni ambiti di utilizzo generali di applicazione ad alto livello, trovo un po’ fuorviante la scelta di dover scendere in un dettaglio da caso d’uso (e non da ambito) nei punti .d Miglioramento del supporto giuridico ed e. Miglioramento delle procedure di acquisto.
Parlerei piuttosto di “Ottimizzazione dei processi amministrativi”
Aggiungerei un’altro ambito invece, chiamato
4. Valorizzazione e gestione della conoscenza
per focalizzare tutti quegli ambiti per cui rendere accessibile e ricercabile il patrimonio informativo di una PA (quindi principalmente casi d’uso di NLP applicata a documenti non strutturati)
Una possibile descrizione
Le PA utilizzano l’IA per estrarre concetti e informazioni rilevanti da testi non strutturati, migliorando l’accessibilità, l’arricchimento e la fruibilità del patrimonio informativo. Questo consente di trasformare grandi volumi di dati in conoscenza strategica e operativa.
Paragrafo 4.4
Si suggerisce in luogo di:
“Pur considerando le specificità normative richieste per i sistemi di IA ad alto rischio, le norme tecniche sviluppate in ambito ISO costituiscono attualmente un valido riferimento per aspetti rilevanti dell’IA.”
Considerare la seguente affermazione:
“Pur considerando le specificità di norme tecniche armonizzate richieste dalla Commissione Europea per i sistemi di IA ad alto rischio, le norme tecniche sviluppate in ambito ISO e ISO/IEC costituiscono attualmente un valido riferimento per aspetti rilevanti dell’IA, pur dovendo tener conto in futuro di adeguamenti costituiti dalle nuove norme EN armonizzate che saranno pubblicate”.
Inoltre al paragrafo 4.1 “Strategia per l’IA” riteniamo opportuno prevedere che la responsabilità di garantire che la normativa e i documenti normativi siano resi disponibili in formato machine-readable, in conformità con i principi dell’open data e dell’interoperabilità digitale, sia affidata ai Responsabili per la Transizione Digitale (RTD), che dovranno coordinarsi con le autorità centrali e locali per sviluppare strumenti e standard adeguati."
Il Centro Studi di Informatica Giuridica di Ivrea e Torino apprezza molto il riferimento ai profili di accessibilità (punto 4.3 e punto 9.2), ma auspica che venga inserito, nell’ottica di inclusione e di valorizzazione delle linee guida, un paragrafo specificamente dedicato all’argomento con un riferimento più dettagliato agli standard tecnici specifici, come le Web Content Accessibility Guidelines (WCAG), per garantire un’applicazione più efficace dei principi di inclusione. Inoltre, si suggerisce di
Riguardo alle Linee guida in consultazione, poiché il linguaggio utilizzato è tecnico e giuridico, nell’ottica inclusiva e al fine di valorizzare e divulgare il Vostro lavoro, si consiglia di fornire spiegazioni semplificate di concetti complessi in modo da incentivare la comprensione per un pubblico più ampio, anche in funzione della sensibilizzazione e formazione del personale delle amministrazioni interessate e in ottica legal design.
Il Centro Studi di Informatica Giuridica di Ivrea e Torino riguardo al modello di adozione dell’IA, tenuto conto anche di quanto affermato a pg. 66 delle linee guida ove si legge: “Su specifici aspetti di protezione dei dati personali trattati nel contesto dei modelli di IA, si è recentemente espresso altresì lo European Data Protection Board con il parere n. 28 del 17 dicembre 2024, utile strumento di indirizzo per la PA in merito alla natura dei modelli di IA in relazione alla definizione di dato personale, alle circostanze in cui i modelli di intelligenza artificiale potrebbero essere considerati anonimi e alla relativa dimostrazione, all’adeguatezza dell’interesse legittimo come base giuridica per il trattamento dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di IA e al possibile impatto di un trattamento illecito di dati personali nello sviluppo di un modello di IA sulla liceità del successivo trattamento o funzionamento del modello di IA53.”, segnala che sarebbe opportuno puntualizzare nel documento la necessità di coinvolgere il DPO nella fase di progettazione e valutazione dei rischi, prevedendo un ruolo consultivo continuo non solo limitato alla DPIA, prevedendo espressamente l’obbligo di adottare una specifica policy sull’argomento e di implementare un’adeguata reportistica che consenta di verificare l’adempimento di tali obblighi in un’ottica di accountability.
Paragrafo 4.3, punto 1, lettera e) dopo “ottimizzare le procedure di procurement” aggiungere “nelle fasi di programmazione , progettazione, affidamento ed esecuzione”. Miglioramento delle procedure di acquisto: le PA adottano l’IA per ottimizzare le procedure di procurement nelle fasi di programmazione , progettazione, affidamento ed esecuzione, migliorando sia l’efficienza che la trasparenza del processo di acquisto.
PROCUREMENT (CAP.4)
Nelle more della pubblicazione della bozza di specifiche linee guida sul procurement (che sarà fondamentale per garantire un processo di approvvigionamento strutturato e conforme agli obblighi normativi, in particolare all’AI Act) si forniscono alcuni punti di riflessione. Principalmente che via sia una distinzione tra fornitori di infrastrutture di IA, fornitore di applicazione di IA e Fornitori di modelli di IA
Fornitori di Infrastrutture di IA:
Comprendono le piattaforme e le risorse computazionali necessarie per l’esecuzione e lo sviluppo di sistemi IA. Nel caso di infrastrutture Cloud le modalità di acquisto seguiranno le stesse previste per i servizi: public cloud IaaS e PaaS
Fornitori di Applicazioni di IA
Si tratta di software e soluzioni basate su IA che risolvono specifici problemi o automatizzano processi che potrebbero essere acquistate attraverso Accordi Quadro (AQ) dedicati, similmente agli attuali AQ Consip SaaS PRINCO, BI, CRM e Gestione Documentale. Tuttavia, data la maturità ancora eterogenea del mercato, potrebbero essere necessari strumenti contrattuali differenti, che prevedano una maggiore flessibilità per adeguarsi all’evoluzione delle soluzioni IA e clausole specifiche per il rispetto degli obblighi posti dall’AI Act.
Fornitori di Modelli di IA
Questa categoria include due tipologie principali:
• Modelli GPAI (General Purpose AI systems): modelli di IA di ampia applicabilità, usati come base per diversi scopi.
• Modelli specializzati per casi d’uso o domini specifici, ad esempio in sanità, educazione e trasporti. Questi possono essere a loro volta Pre-trained addestrati su grandi set di dati generici o fine tuned adattati a specifiche esigenze della PA.
In particolare, l’acquisto di Modelli per Casi d’uso specifici sono quelli in cui la IA può offrire il massimo beneficio in termini di miglioramento dell’efficienza operativa per l’erogazione dei servizi della PA. Inoltre, tali modelli specializzati sono anche quelli maggiormente interessanti per il panorama delle aziende Italiane, in quanto i principali Modelli GPAI sono posseduti da aziende non UE, oltre ad essere spesso troppo complessi e costosi da realizzare
Quindi, le future linee guida AgID sul Procurement IA dovranno fornire un quadro chiaro e differenziato per l’acquisto di infrastrutture, applicazioni e modelli di IA, tenendo conto della maturità del mercato e delle normative in evoluzione, e. in particolare dell’IA-Act.