L’uso preparatorio dell’AI come limite agli eccessi regolativi. Per una valutazione “in concreto” dell’intelligenza artificiale applicata all’agire pubblico / Gianluca Gardini

Professore ordinario di Diritto amministrativo, Università di Ferrara

1. Il dibattito sulla regolazione sull’intelligenza artificiale

Il dibattito giuridico sull’intelligenza artificiale (di qui in avanti AI) tende a essere molto polarizzato, secondo una logica fortemente binaria (tutto o niente).

A dividere le opinioni è, in primo luogo, l’approccio regolativo dell’Unione europea, volto a tutelare i diritti individuali esposti agli effetti di questa nuova tecnologia, visto in contrapposizione al modello market driven, prescelto dagli Stati Uniti, che confida sulle dinamiche spontanee del mercato per realizzare il benessere economico e sociale[1].

È difficile negare che il Regolamento (UE) 2024/1689 sia un atto molto complesso e articolato (180 considerando, 113 articoli e 13 allegati, per 144 pagine del testo in italiano), che presenta difficoltà sia interpretative che applicative. A maggior ragione se si considera che, recentemente, al corpus normativo dell’AI Act si sono aggiunte le Linee guida sui sistemi vietati (137 pagine), la definizione di intelligenza artificiale (13 pagine) e numerosi provvedimenti attuativi.

Dietro questa complessità, alcuni commentatori leggono la volontà politica europea di continuare a investire sulle regole, piuttosto che sulle tecnologie, in particolare su quella che è considerata trainante per le economie mondiali: la tecnologia digitale. Così, con un certo sensazionalismo, si è affermato che «Gli Stati europei e l’Unione europea hanno sostituito le tre domande kantiane (“Che cosa posso sapere? Che cosa devo fare? Che cosa ho diritto di sperare?”) con un’altra domanda: “Che cosa posso regolare?”». Secondo questa ricostruzione, l’enfasi europea sulla regolazione sarebbe dovuta allo scarso investimento e alla debolezza in ambito tecnologico, fattori che, uniti al declino demografico, minano la crescita dell’Unione[2].

Per questo motivo, la dottrina liberista lancia da tempo pesanti strali contro la legge europea sull’intelligenza artificiale: le tesi più radicali vedono il Regolamento (UE) 2024/1689 (AI Act) come «una tipica barriera tecnica al commercio (una specialità in cui gli europei eccellono) per proteggere la propria industria digitale non competitiva e per negoziare migliori accordi bilaterali con Stati Uniti e Cina, (…) un tentativo di modellare lo sviluppo di una tecnologia che è completamente fuori dalla portata dell’UE», e che rivela «la paura dell’ignoto e l’idea presuntuosa di dominarlo»[3].

Nella prospettiva liberale, orientata al libero scambio e al libero mercato, l’impostazione dirigistica del regolamento sull’intelligenza artificiale è considerata un ostacolo alla competitività europea. Questa posizione è ben espressa (seppure in modo misurato e motivato) nel Rapporto Draghi, presentato nel settembre scorso, che evidenzia le ricadute negative dell’approccio normativo Ue alle nuove tecnologie[4]. L’Unione europea, si legge nel documento, ha più di 100 normative specifiche nel settore digitale, e oltre 270 autorità di regolamentazione, segno di un approccio eccessivamente cautelativo, che rischia di soffocare lo sviluppo tecnologico. Come esempio di frammentazione normativa, il Rapporto cita le frequenti sovrapposizioni tra GDPR e AI Act, considerate un freno per l’innovazione, soprattutto per le piccole e medie imprese. Nello specifico, il Rapporto individua tre ostacoli principali alla competitività dell’Unione legate all’uso massiccio della regolazione: 1) l’accumulo e i frequenti cambiamenti delle normative, che creano sovrapposizioni e incongruenze; 2) il meccanismo di trasposizione nazionale delle norme europee, attraverso il quale ogni Stato membro tende ad appesantire o indirizzare la normativa UE, contribuendo a una significativa frammentazione delle regole (il GDPR ne è un esempio lampante, al punto che la sua implementazione disomogenea avrebbe in parte compromesso gli obiettivi digitali dell’Unione); 3) l’impatto sproporzionato sulle PMI e sulle imprese di medie dimensioni rispetto alle grandi aziende[5].

In vari ambiti (economico, giuridico, sociale, politico) vengono espresse preoccupazioni per la overregulation dei sistemi di AI[6]. La semplificazione di cui ha bisogno l’Europa, si afferma, è innanzitutto normativa: l’ecosistema europeo per l’innovazione, allo stato attuale, risulta «fortemente limitato da una eccessiva frammentazione in diversi ambiti scientifici e tecnologici, aggravata da una ridotta collaborazione transfrontaliera tra sistemi giuridici che faticano ad uniformarsi e mantengono diversità istituzionali importanti»[7].

Sul fronte opposto, che difende l’esigenza di un intervento pubblico nel mercato, si fa notare come il dibattito sorto intorno al cd. Effetto Brussels[8] sia del tutto artificiale, dal momento che il Regolamento (UE) 2024/1689 rappresenterebbe in realtà «uno “scudo normativo”, che – contrariamente a quanto si sostiene – ha come fine principale quello di non rallentare lo sviluppo dell’AI in Europa, ed è pensato proprio per evitare che vengano imposti obblighi aggiuntivi ai fornitori della maggioranza dei sistemi di intelligenza artificiale che raggiungeranno il mercato». In quest’ottica, il ruolo del regolamento sarebbe quello di impedire che i sistemi di AI vengano assoggettati a restrizioni aggiuntive da parte degli Stati membri: «pertanto, in relazione alla vasta gamma di sistemi di AI esistenti e, soprattutto, che saranno sviluppati in futuro, è più importante ciò che l’AIA non dice rispetto a ciò che dice»[9].

Altri studi mettono in luce come la disciplina introdotta dall’AI Act possa portare a una riduzione delle garanzie che tradizionalmente accompagnano i diritti individuali, alla luce del fatto che alcuni usi dell’intelligenza artificiale possono minacciare i valori fondanti dell’Unione europea e mettere in discussione lo Stato di diritto (rule of law). Per rimediare a questi vuoti, si afferma, i legislatori nazionali hanno il compito di stabilire, nel rispetto della disciplina europea, «quando e per quali usi l’AI non rappresenta una minaccia per lo Stato di diritto e quando, invece, il suo impiego da parte delle amministrazioni rischia di compromettere in modo intollerabile i diritti di partecipazione e di difesa dei cittadini»[10]. Il che equivale a dire che la regolazione europea non rappresenta affatto un tetto regolatorio (o uno “scudo normativo”, che dir si voglia), ma un livello minimo che gli Stati hanno il dovere di rispettare e, eventualmente, innalzare.

Altri studi, infine, considerano la scelta di adattare la regolazione al grado di rischio come intrinsecamente equilibrata, «perché idonea a bilanciare l’esigenza di tutela dei diritti con l’esigenza di promuovere lo sviluppo dell’innovazione tecnologica»[11].

2. Una tecnologia sostitutiva o subalterna?

La seconda polarizzazione che affligge il dibattito giuridico sull’intelligenza artificiale riguarda l’impiego della tecnologia AI, secondo alcuni da considerare totalmente sostitutiva, secondo altri totalmente subalterna rispetto all’intervento umano.

I sostenitori della prima tesi prefigurano scenari distopici, in cui funzionari robotici prendono il posto degli esseri umani nell’assunzione di decisioni dotate di impatto diretto sui diritti individuali, con distorsioni inaccettabili dal punto di vista etico e giuridico[12]. L’accento sulla produttività e sulla riduzione dei costi, enfatizzate da una parte dell’industria per l’intelligenza artificiale, ha finito per far filtrare un’idea dell’automazione quale sostituzione, lasciando in ombra la sua funzione integrativa, che valorizza e non surroga il lavoro umano[13]. I sostenitori della seconda tesi lamentano invece l’approccio debole a una tecnologia che, se utilizzata in modo solo subalterno all’attività umana, non riuscirà a esprimere fino in fondo le proprie potenzialità. Nel timore di dare vita a una tecnologia antropofaga, si afferma in questa prospettiva, si finisce per perdere una occasione unica per migliorare il funzionamento di organizzazioni inefficienti come quelle pubbliche, che «vivono prigioniere del ritardo nell’adempimento delle loro funzioni – con grave danno per i cittadini – e della cronica mancanza del personale – in gran parte dedicato a compiti di routine – e sono sottoposte, oltretutto, a controlli molto inefficaci – nonostante le apparenze – sulle loro attività, a causa della mancanza di trasparenza»[14].

Questa contrapposizione di visioni finisce per estromettere dal discorso giuridico l’elemento temporale, indispensabile per portare a compimento tutte le transizioni tecnologiche (si pensi che per lo switch off dalla televisione analogica a quella digitale sono stati necessari quasi quindici anni), tanto per la progressiva eliminazione di difetti e inconvenienti legati ai nuovi strumenti, che per la metabolizzazione culturale delle innovazioni che questi comportano. Abbreviare i tempi di una transizione tecnologica è concettualmente sbagliato, oltre che improvvido: tra qualche anno, magari, l’intelligenza artificiale avrà dato prova di capacità di adattamento agli ambienti pubblici e alla normativa in materia di procedimento, ed elaborerà provvedimenti imparziali e adeguatamente motivati meglio di qualunque funzionario pubblico.

Il fatto che, in questa fase iniziale, si discuta accanitamente della legittimità di provvedimenti totalmente automatizzati, usando come parametro di riferimento norme pensate ad altri fini (in particolare, i principi del GDPR), mi pare fuorviante. Anzitutto, perché la normativa in tema di AI, tanto europea quanto nazionale, presuppone (e impone) la presenza di un “human in the loop”, cui spetta il compito di sovrintendere al funzionamento della macchina, e ciò esclude di per sé l’ipotesi della sostituzione robotica. Dal momento che la legge richiede l’interazione necessaria tra uomo e sistema di AI, l’eventualità di una decisione pubblica totalmente automatizzata risulta scongiurata alla radice e, oltretutto, contra jus. In secondo luogo, per quanto possa essere vero che i sistemi di AI fanno ampio uso di dati personali, questa non è una regola assoluta e ben possono immaginarsi dataset privi di informazioni personali o con dati personali debitamente pseudonimizzati, rispetto ai quali – a rigore – il GDPR non dovrebbe trovare applicazione.

3. Affrontare i problemi concreti per uscire dalle contrapposizioni teoriche

La polarizzazione delle posizioni teoriche non aiuta la comprensione dei problemi concreti posti dall’impiego della AI da parte delle amministrazioni pubbliche europee: allorché si focalizza sul metodo della regolazione, il confronto di idee non consente di distinguere tra contesti privati (imprese, studi professionali, operatori economici) e pubblici (pubbliche amministrazioni, istituzioni di governo, enti di ricerca), e solo indirettamente riesce a lambire gli effetti dell’introduzione di questa tecnologia sullo Stato di diritto, dal momento che la legge europea è incentrata sui prodotti (sistemi di AI), prima ancora che sui diritti individuali.

In sostanza, la contrapposizione sulla regolazione dell’AI non fa altro che riproporre sotto nuove spoglie la disputa tradizionale tra Stato e mercato, tra regolazione e libertà (di ricerca, di impresa, di espressione del pensiero) che da sempre accompagna l’introduzione di pratiche imprenditoriali innovative e l’impatto delle nuove tecnologie sulle dinamiche tradizionali del mercato. Si tratta di un dibattito che va avanti da quasi un secolo, senza aver raggiunto un adeguato approdo: a partire dal secondo Dopoguerra, il mondo è alla ricerca di «un’equilibrata combinazione tra la funzione di efficienza del mercato e il ruolo di indirizzo politico e di regolazione delle istituzioni rappresentative (…), tra la sfera della politica e quella dell’economia, escludendo nettamente la subordinazione della prima alla seconda ma anche interventi arbitrari e sproporzionati sulle dinamiche concorrenziali»[15].

Per uscire dalle secche di questa contrapposizione, occorre rimanere aderenti alla realtà delle cose. Il problema non è se ammettere o meno una disciplina dell’intelligenza artificiale – perché non vi è dubbio che l’uso di questa tecnologia vada orientato al rispetto dei diritti individuali e della legalità –, ma trovare un equilibrio tra legalità e innovazione, garanzia e efficienza. La sfida che l’Unione europea ha di fronte a sé non riguarda la sua capacità di frenare l’innovazione attraverso l’imposizione di regole, ma di trasformare il proprio modello normativo in un vantaggio competitivo, dimostrando che un’AI regolamentata può essere anche innovativa e sostenibile. La co-regolamentazione, ad esempio, potrebbe rappresentare una soluzione capace di armonizzare la necessità di regole chiare con le esigenze di sviluppo tecnologico: l’Unione europea sta attualmente lavorando a un Codice di Condotta per l’Intelligenza artificiale, che mira a creare una fase di adattamento prima dell’entrata in vigore dell’AI Act, garantendo un coinvolgimento dei diversi soggetti interessati[16].

Per quanto riguarda l’uso di sistemi di AI nelle decisioni pubbliche, invece, il dibattito appare condizionato da una innata diffidenza nei confronti delle innovazioni tecnologiche, una sorta di ansia da tecnologia che spinge a valutare i fatti secondo le categorie tradizionali del diritto pubblico, applicando cioè il binomio legalità/illegalità a strumenti conoscitivi che sono destinati a essere (e rimanere, per un tempo ancora indefinito) strumentali all’attività umana. La stessa ansia «porta ad esigere livelli di spiegazione persino superiori a quelli che siamo disposti ad accettare normalmente fuori dall’intervento delle macchine, come accade per le decisioni umane, che a volte pure sono difficili da comprendere»[17].

Occorre a mio avviso mettere da parte le questioni escatologiche, i dubbi esistenziali sull’impiego di una tecnologia che, nei fatti, è in grado di dare un grande impulso all’agire amministrativo, per dedicarsi ai problemi concreti che circondano l’introduzione dei sistemi di AI all’interno delle amministrazioni pubbliche. E, una volta individuati, sottoporli al vaglio delle leggi generali che disciplinano l’attività e l’organizzazione pubblica (l. 7 agosto 1990, n. 241; d.lgs. 30 marzo 2001, n. 165; d.lgs. 18 agosto 2000, n. 267; d.lgs. 2 luglio 2010, n. 104).

Ad oggi, non mi pare che nessun legislatore o amministrazione intenda sostituire la decisione umana dotata di impatto sui diritti individuali con algoritmi di autoapprendimento. Sono invece in uso, da diversi anni, forme serventi di amministrazione algoritmica, che utilizzano la tecnologia per offrire una base informativa/valutativa più ampia al decisore umano. Già oggi l’intelligenza artificiale viene utilizzata per attività preparatorie o strumentali (si pensi alle chatbot INPS o ai formulari di auto-riempimento dell’Agenzia delle entrate), compiti che non pongono particolari problemi, soprattutto se realizzati mediante algoritmi deterministici. Problemi via via maggiori, in termini di garanzie partecipative e di trasparenza, si pongono per l’automazione di atti dotati di rilevanza esterna, soprattutto se a carattere discrezionale (discrezionalità pura o tecnica), per i quali è richiesto – solitamente – l’impiego di algoritmi di autoapprendimento (machine learning o deep learning). È evidente che questo tipo di automazione esige garanzie specifiche, che solo l’avanzamento tecnologico (attraverso la X.A.I.) riuscirà a fornire, dato che l’opacità delle black box appare al momento insuperabile. Anche in questi casi, comunque, non si tratterebbe di provvedimenti assunti dalla macchina in sostituzione del decisore umano, ma di proposte decisionali assistite da correlazioni statistico/probabilistiche, che il funzionario è tenuto ad esporre al contraddittorio degli interessati prima della definitiva assunzione.

Il presente contributo, partendo da questa impostazione di fondo, prova a fornire qualche spunto di riflessione sull’impiego concreto di sistemi AI nello svolgimento dei procedimenti affidati alla responsabilità delle pubbliche amministrazioni.

4. “Automatico” non significa “autonomo”

La legislazione europea stabilisce «il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona» (art. 22, comma 1, GDPR). Questa norma vieta l’automazione del trattamento di dati personali, non delle decisioni (pubbliche) che abbiano un impatto su diritti individuali. Ne discende che, laddove il trattamento automatizzato non riguardasse dati personali, la disposizione in parola non potrebbe impedire l’assunzione di decisioni pubbliche lesive di posizioni soggettive private, ancorché adottate in via esclusiva da una macchina.

Peraltro, è la norma stessa a stabilire una serie di eccezioni al divieto generale sopra ricordato, affermando che i trattamenti interamente automatizzati sono comunque consentiti allorché nello Stato membro «siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato» (art. 22, comma 2, lett. b) e comma 4, GDPR).

In base a tale norma e alle deroghe che essa stessa incorpora, la previsione di procedure semi-automatizzate, nelle quali l’output algoritmico fornisce una base conoscitiva rilevante per una decisione pubblica formalmente spettante a un funzionario pubblico (uso ausiliario/strumentale), risulta in sé consentita o comunque non vietata a priori, essendo tale ipotesi rimessa alla scelta del legislatore nazionale (“misure adeguate”) e alla autonomia organizzativa delle amministrazioni. Del resto, nei sistemi improntati al principio di libertà, tutto ciò che non è vietato è, almeno prima facie, lecito: questa regola deve valere anche per l’uso ausiliario dell’AI nei vari snodi dell’attività e dell’organizzazione amministrativa, senza bisogno di individuare una norma specifica che autorizzi l’uso di supporti tecnologici. Salvo, naturalmente, che non si voglia negare anche l’uso di una calcolatrice, di una connessione internet o di una banca dati informatica nell’ambito del procedimento che porta all’assunzione di una decisione pubblica, in mancanza di una base giuridica abilitante.

L’uso strumentale dell’AI sembra trovare conferma anche nel Regolamento (UE) 2024/1689, il quale, nel disciplinare il funzionamento del mercato interno, impone che «i sistemi di IA ad alto rischio siano progettati e sviluppati in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso» (art. 14). Dall’obbligo di supervisione risultano esclusi i sistemi di AI non “ad alto rischio” e quelli destinati a eseguire un compito preparatorio per una valutazione pertinente a casi d’uso ad alto rischio (art. 6, comma 3, lett. d). Analogamente, il disegno di legge di iniziativa del Governo, presentato nel maggio 2024 in vista di quella che è stata definita la “via italiana” all’intelligenza artificiale, stabilisce che «L’utilizzo dell’intelligenza artificiale avviene in funzione strumentale e di supporto all’attività provvedimentale, nel rispetto dell’autonomia e del potere decisionale della persona che resta l’unica responsabile dei provvedimenti e dei procedimenti in cui sia stata utilizzata l’intelligenza artificiale» (art. 14, comma 2)[18].

Da questo insieme di regole, europee e domestiche, si ricava che l’interazione tra l’uomo e la macchina – almeno in questa fase di prima commercializzazione dell’AI nel mercato interno – esclude la possibilità che le decisioni (pubbliche), dotate di rilevanza esterna e impatto sui diritti dei terzi, si fondino su un trattamento di dati “esclusivamente automatizzato” e in assenza di supervisione umana. Mi pare dunque fuorviante, allo stato attuale delle conoscenze e della normativa, interrogarsi sulla legittimità di atti amministrativi (o, a fortiori, giudiziari) interamente elaborati dalla macchina in assenza di un contributo umano; ciò, anche alla luce delle regole interne sull’organizzazione pubblica, in base alle quali le decisioni dell’amministrazione dotate di impatto esterno devono essere assunte e sottoscritte da funzionari “umani”, che ne assumono piena responsabilità (v. art. 4, comma 2, d.lgs. n. 165/2001; art. 107, comma 2, d.lgs. n. 267/2000)[19]. «Le macchine e i sistemi di AI non decidono alcunché, perché per decidere bisogna essere titolati a farlo»[20], e nessuna norma, nazionale o sovranazionale, attribuisce ad essi questa titolarità.

Non vi è dubbio che, nel suo insieme, la legislazione europea voglia assicurare «un contributo umano capace di controllare, validare ovvero smentire la decisione automatica»[21], non essendo sufficiente a tal fine la semplice presenza di uno spettatore, che, passivamente, riversi l’output algoritmico in un atto a propria firma. «Anche già solo il fatto che l’operazione automatizzata effettuata svolga un ruolo decisivo nella determinazione provvedimentale e non sia in sé suscettibile di revisione, quanto alla correttezza intrinseca del “ragionamento” seguito, da parte del funzionario istruttore», induce a ritenere che il percorso decisionale sia sostanzialmente “rimesso” alla macchina[22].

Indubbiamente, i rischi di cattura del decisore umano da parte di questa nuova tecnologia, per quanto utilizzata in modo strumentale, sono effettivi e non vanno sottovalutati. Esiste, cioè, il pericolo reale che l’atto finale sia frutto di una automazione “sostanziale”, pur a fronte di una ratifica “formale” da parte del decisore umano.

Ma si tratta di un problema diverso rispetto a quello dell’atto totalmente automatizzato, che non si presta a essere risolto attraverso la sanzione di legittimità/illegittimità dell’atto finale o attraverso un divieto generalizzato, ma richiede soluzioni di tipo organizzativo (formazione dei dipendenti, reclutamento mirato, affiancamento di personale tecnico specializzato al responsabile del procedimento) e procedurali (sottoposizione di una proposta di atto elaborata dalla macchina al confronto/contraddittorio con i destinatari). Si tratta di un problema che, di sicuro, non può essere affrontato in modo generale e uniforme, ma caso per caso, valutando il tipo di algoritmo utilizzato, il grado di influenza che esso esercita sulla scelta finale, l’impatto sui diritti individuali, l’effettiva capacità/possibilità del funzionario di verificare l’output algoritmico[23]. Il dibattito che circonda il divieto di trattamenti esclusivamente automatizzati mi pare dunque ingannevole, essendo costruito intorno a presupposti che non sono del tutto reali o comunque non appaiono coerenti con la ratio del divieto stesso (art. 22, GDPR; art. 14, AIA).

A tale prima considerazione, di carattere teorico, occorre aggiungerne una seconda, di carattere fattuale. I soli atti decisori che risultano essere assunti in via esclusiva da una macchina, di fatto, sono quelli adottati da sistemi esperti (deterministici), che non possono definirsi “autonomi”. I modelli deterministici richiedono infatti regole predefinite per il proprio funzionamento, e si caratterizzano per essere “automatici”, ma non “autonomi”. L’autonomia è il criterio che consente di discriminare un sistema di AI e un software tradizionale: la definizione stessa di “sistema di intelligenza artificiale” fa riferimento un «sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione» (art. 3 AIA).

In considerazione della loro struttura, fondata su regole predefinite da parte di un programmatore, è perlomeno dubbio che i sistemi esperti, c.d. model based, ricadano all’interno della definizione di “intelligenza artificiale”. La capacità inferenziale, fondamentale per definire i sistemi di AI, manca del tutto ai sistemi deterministici, ai sistemi software tradizionali o alle applicazioni di programmazione più semplici, basati interamente su regole definite dalle persone fisiche per eseguire operazioni in modalità automatica[24]. La nozione di intelligenza artificiale si incentra «sulle principali caratteristiche dei sistemi di AI, che la distinguono dai tradizionali sistemi software o dagli approcci di programmazione più semplici, e non dovrebbe riguardare i sistemi basati sulle regole definite unicamente da persone fisiche per eseguire operazioni in modo automatico» (cons. 12, AIA).

Il dibattito sulla legittimità della decisione (pubblica) totalmente automatizzata, in parte, nasce da un problema definitorio[25], ossia dal fatto che la nozione di “atto automatizzato” è vaga, onnicomprensiva. Gli unici atti “totalmente automatizzati” riscontrabili nella prassi amministrativa, come si è evidenziato, sono quelli adottati mediante l’uso di sistemi di AI deterministici, i quali si collocano al di fuori del perimetro regolativo dell’AIA. Per fare un esempio, un sistema di allerta anticorruzione che analizza numerosi dati e rileva circostanze sensibili (come i rapporti personali tra chi riceve un sussidio o l’aggiudicazione di un appalto e chi firma la delibera o è intervenuto nella relativa procedura) non ha alcuna autonomia e non può essere qualificato come sistema di intelligenza artificiale, poiché applica solo regole previamente definite dal programmatore[26]. Non sembra corretto, in riferimento ad essi, parlare di atti (totalmente) generati da sistemi di intelligenza artificiale, o automatizzati, ma al massimo di atti automatici, prodotti sequenzialmente da sistemi deterministici, come tali esclusi dalla portata dell’AIA[27]. A tutt’altra conclusione si dovrà pervenire nel caso di atti discrezionali automatizzati, per i quali è solitamente richiesto l’ausilio di algoritmi di autoapprendimento (cd. machine learning), che richiedono la costante sorveglianza umana essendo considerati prodotti ad alto rischio (art. 14, AIA).

Volendo tirare le fila del ragionamento sin qui svolto si può affermare che, mentre l’AI Act si applica solo ai sistemi di AI qualificabili come autonomi, rispetto ai quali il legislatore europeo detta una serie di regole e cautele (soprattutto con riferimento ai sistemi ad alto rischio), il GDPR si applica sempre e comunque all’azione pubblica, sia discrezionale che vincolata, analogica e digitale, frutto di elaborazione da parte di sistemi autonomi o di sistemi deterministici. L’ampiezza dello spettro applicativo rende assai probabile che la disciplina sul trattamento dei dati personali rappresenterà, ancora a lungo, la base giuridica di riferimento per valutare la legalità dell’azione pubblica “automatizzata” in senso lato (come insegna il caso SCHUFA, di cui si dirà più avanti[28]).

Nondimeno, l’uso sussidiario e compensativo delle regole sul trattamento dei dati personali, dovuta all’assenza di norme specifiche sulla protezione dei diritti individuali di fronte ad atti amministrativi algoritmici, può facilmente condurre a distorsioni; e, come si cercherà di dimostrare, incontra un limite nell’uso endoprocedimentale e preparatorio dei sistemi di AI.

5. Profili formali e sostanziali delle decisioni automatizzate

Il Regolamento (UE) 2024/1689 trova fondamento principale nell’art. 114 TFUE ed è pertanto inevitabile che il fulcro tematico della (copiosa) disciplina che esso introduce sia rappresentato dai sistemi di AI e dalla loro commercializzazione all’interno del mercato europeo, anziché dai diritti delle persone. L’AI Act obbliga produttori, sviluppatori e utilizzatori al rispetto di regole commisurate al livello di rischio sistemico generato da queste nuove tecnologie, e solo di riflesso fissa standard di protezione per i destinatari di attività e servizi realizzati attraverso l’impiego di modelli di intelligenza artificiale. Inoltre, questa legge regola indistintamente l’uso dell’AI da parte di soggetti pubblici e privati, e manca pertanto della necessaria specificità che caratterizza la legislazione nazionale in tema di attività, organizzazione e servizi pubblici. Gli standard di sicurezza ivi previsti sono concepiti per prevenire rischi sistemici generali nella diffusione di applicazioni AI sul mercato europeo, non per garantire il rispetto di regole procedimentali da parte dell’autorità pubblica che fa uso di questa tecnologia.

Questa peculiare impostazione rende il Regolamento (UE) 2024/1689 insufficiente per la protezione dei diritti dei cittadini nel rapporto con l’autorità pubblica, se misurato con i parametri delle garanzie che, normalmente, circondano l’uso del potere pubblico. A questo aspetto dovranno provvedere i legislatori nazionali, cui spetta il compito di «stabilire, nel rispetto della disciplina europea, quando e per quali usi l’IA non rappresenta una minaccia per lo Stato di diritto e quando, invece, il suo impiego da parte delle amministrazioni rischia di compromettere in modo intollerabile i diritti di partecipazione e di difesa dei cittadini»[29]. Le leggi dei singoli Stati membri, in sostanza, potranno innalzare gli standard di protezione stabiliti dal legislatore europeo per l’uso dei sistemi di AI da parte delle pubbliche amministrazioni, un po’ come avviene internamente con le leggi regionali che innalzano i livelli essenziali delle prestazioni fissati a livello centrale a tutela dei diritti civili e sociali[30].

Dall’impostazione dell’AIA deriva anche una seconda conseguenza. Il focus sulla valutazione del rischio, di per sé, porta ad attenuare la regolazione dei sistemi di AI utilizzati in funzione meramente preparatoria rispetto all’assunzione di decisioni a alto rischio (art. 6, comma 3, lett. d, AIA). Il problema è intendersi sul significato del termine “preparatorio”, per come utilizzato dal legislatore europeo. Un sistema di AI applicato alla fase istruttoria, quindi preparatoria del procedimento legislativo, ad esempio, non potrà considerarsi ad “alto rischio” nella logica del AI Act. Questo tipo di utilizzazione non presenta infatti un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, ai sensi dell’art. 6 AI Act, perché non possiede un impatto individuale, diretto sulle persone, ma è destinato a «eseguire un compito preparatorio per una valutazione pertinente a un caso d’uso ad alto rischio» (lett. d). L’uso dell’AI servente all’attività legislativa, peraltro, potrebbe soddisfare anche altre condizioni tra quelle previste all’art. 6, comma 3 AIA, in quanto sia diretto ad «eseguire un compito procedurale limitato» (lett. a) o «rilevare schemi decisionali o deviazioni da schemi decisionali precedenti e non è finalizzato a sostituire o influenzare la valutazione umana precedentemente completata senza un’adeguata revisione umana» (lett. c). In altri termini, gli atti preparatori del procedimento legislativo e normativo in genere possono senz’altro rientrare tra le eccezioni tipizzate dal regolamento (UE) 2024/1689, quale attività in deroga alla classificazione di un sistema ad alto rischio (art. 6, comma 3, AIA). Il problema è capire se lo stesso ragionamento può estendersi agli atti preparatori del procedimento amministrativo (c.d. endoprocedimentali) che, a differenza di quello legislativo, è per sua natura destinato a produrre decisioni dotate di impatto diretto sui diritti degli amministrati,

Il concetto di “compito preparatorio”, inutile sottolinearlo, è ambiguo. Si può utilizzare l’espressione in senso ampio, riferita alle attività istruttorie e strumentali (valutazioni tecniche, pareri, expertise di vario genere) presenti all’interno di qualsiasi procedimento amministrativo, che sono utili per una valutazione qualificata di fatti e l’assunzione di dati rilevanti per la decisione da assumere. Oppure, la si può utilizzare in senso stretto, per attività propedeutiche a una successiva e solo eventuale attività decisoria, come le attività di prima informazione (chatbot), attività di verifica, ispezione, controllo di categorie di soggetti o imprese, attività di programmazione e indirizzo.

Ad avviso di chi scrive, la seconda accezione (in senso stretto) è riduttiva, perché circoscrive la deroga di cui all’art. 6, comma 3, lett d) AIA a procedimenti speciali, da cui solo eventualmente scaturisce un’attività decisoria (è il caso di un’attività di controllo che non fa emergere alcuna irregolarità o comportamento illecito), mentre le restanti deroghe contemplate dall’art. 6, comma 3 (lett. a, b e c) sembrano far riferimento ad attività genericamente endoprocedimentali.

Inoltre, quando l’AI supporta attività definite di enforcement, o, nella terminologia italiana, di attuazione in via amministrativa delle regole, svolge una funzione “doppiamente” preparatoria: l’uso dei sistemi di AI, in questi casi, serve ad assumere la decisione di avviare o meno l’attività di controllo/vigilanza rispetto ad un soggetto anziché ad un altro, perché ritenuto a rischio di comportamenti illeciti in base ad una correlazione statistico-probabilistica dei dati disponibili. Questa attività di controllo e verifica, a sua volta, potrà condurre o meno ad una successiva decisione diretta a reprimere, sanzionare, riportare a conformità un comportamento non rispettoso delle regole settoriali. I sistemi di AI, in questi casi, sono utilizzati come strumenti istruttori utili ad avviare attività propedeutiche ad altre attività, solo eventuali, che a loro volta non conducono a conseguenze né certe né definitive.

Non si intende dire, con ciò, che le attività di enforcement siano neutre o prive di rischi (non “ad alto rischio”, ai sensi dell’AIA, non vuole dire che il sistema non presenta alcun rischio), ma è evidente che, in questi casi, la relazione tra l’uso del sistema di AI e la lesione di diritti individuali si fa più tenue: circoscrivere a questa casistica le deroghe collegate a “compiti preparatori” (art. 6, comma 3, lett d) risulterebbe eccessivamente restrittivo, essendo ovvio che, in queste fattispecie, l’impiego dell’AI non produce pericoli immediati e diretti per le persone.

Del resto, non vi possono essere dubbi sul fatto che l’AI possa supportare l’amministrazione nei controlli di sicurezza pubblica, fiscali, in quelli di sicurezza alimentare e di vigilanza sul lavoro, nella vigilanza sui mercati finanziari, nei controlli antitrust[31]. Così come non vi sono dubbi che questa tecnologia possa essere utilizzata per gestire chatbot (software che simulano una conversazione), per estrarre conoscenza dai dati finalizzata ad orientare le politiche pubbliche (ambientali, mobilità urbana, pubblica sicurezza, c.d. data driven policies), per simulare eventi pericolosi o calamità. Si tratta di applicazioni prive di impatto diretto sui diritti individuali[32], che presentano rischi limitati e rientrano nel generale principio di adeguatezza conoscitiva e adattamento ai bisogni, oltre che alla tecnologia disponibile, a cui deve ispirarsi l’azione pubblica[33]. Prevedere una deroga esplicita per questo tipo di attività risulterebbe quasi pleonastico, e finirebbe per conferire a questa disposizione una portata applicativa molto limitata.

Per queste ragioni, sembra più corretto interpretare l’espressione “compito preparatorio” in senso ampio, e riferire la deroga di cui all’art. 6, comma 3, lett. d) anche ad attività endoprocedimentali, o, più in generale, non provvedimentali, prive comunque di efficacia esterna e di impatto diretto sui diritti dei terzi. Non vi sono grandi differenze tra una consulenza o una valutazione tecnica formulata da un esperto “umano” ed un output algoritmico che sfrutta l’elaborazione di grandi volumi di dati. Dal punto di vista giuridico, gli ouput algoritmici possono essere equiparati alle perizie svolta da economisti, geologi o giuristi o alle valutazioni tecniche effettuate da esperti della materia, con l’unica differenza che le seconde sono il prodotto della conoscenza umana, mentre i primi vengono prodotti da una macchina che stabilisce correlazioni tra masse di dati che sarebbero impossibili da vagliare per un singolo essere umano. Entrambe si configurano come attività istruttorie, preparatorie, di cui il decisore pubblico può avvalersi (così come può avvalersi di informazioni ottenute grazie ad una query fatta ad un motore di ricerca generalista, di un software per l’archiviazione di precedenti giurisprudenziali o di una semplice calcolatrice) senza che ciò incida sulla legittimità dell’atto finale.

I rischi collegati a queste attività endoprocedimentali non aumentano in ragione della natura analogica, digitale o algoritmica: anche il consulente, la banca dati digitale e il motore di ricerca possono fornire informazioni sbagliate. L’unica differenza risiede nel fatto che il parere del consulente, l’analisi di una banca dati e le informazioni ottenute dal motore di ricerca sono mezzi pacificamente ammessi nella prassi procedimentale (quando, cioè, il parere o la valutazione tecnica non sono espressamente richiesti per legge), mentre l’output generato dalla macchina solleva molta diffidenza, per i noti problemi di cattura del decisore e la conseguente difficoltà ad individuare un soggetto che possa considerarsi pienamente responsabile della decisione assunta.

La questione riguarda dunque la provenienza, non l’ammissibilità o la legittimità di informazioni ottenute ab externo per migliorare la decisione finale. Risulterebbe quindi incomprensibile vietare l’impiego di sistemi di AI nella fase istruttoria di un procedimento, e, al contempo, ammettere il ricorso a pareri di esperti o l’uso informale di informazioni ricavate da ricerche online. Senza trascurare che eccessive limitazioni all’impiego di sistemi di IA nella fase istruttoria possono portare a fenomeni di utilizzazione clandestina, non regolamentata, di questi strumenti: come si vedrà, è già molto diffusa, negli ambienti pubblici e privati, la cd. Shadow AI (AI ombra), termine che definisce l’impiego non autorizzato di sistemi di AI da parte dei dipendenti.

6. L’uso preparatorio dell’AI come limite agli eccessi regolativi

L’uso delle tecnologie, affermano all’unisono dottrina e giurisprudenza, non deve rappresentare un arretramento nel riconoscimento delle prerogative e dei diritti legati alla partecipazione e conoscibilità nel procedimento amministrativo[34].

Per garantire i diritti individuali, tuttavia, non basta applicare le disposizioni vigenti, concepite per l’agire analogico della p.a. (l. n. 241/1990), ma occorre elaborare regole speciali, pensate per disciplinare il diverso rapporto tra autorità e libertà che viene a crearsi quando l’amministrazione pubblica fa uso di sistemi di AI nel decidere. Come sottolinea il giudice amministrativo italiano, sullo sfondo della l. n. 241 del 1990 spicca la insostituibile presenza di un funzionario “umano” e di relazioni “tra persone”[35]: ciò equivale a dire che la legge sul procedimento non è adatta a fornire regole per l’iter di assunzione di decisioni pubbliche che sfruttano l’ausilio di macchine, di sistemi artificiali.

Per questa ragione, come si è già detto, è molto probabile che i principi sul trattamento dei dati personali (GDPR) continueranno, anche dopo l’entrata in vigore del Regolamento (UE) 2024/1689, a rappresentare il pilastro portante dello statuto giuridico del cittadino dinanzi all’uso pubblico di sistemi di AI, consentendo indirettamente al procedimento amministrativo di mantenere centralità nelle relazioni tra autorità e privati[36].

L’AI Act serve a prevenire rischi sistemici generali nella diffusione di applicazioni AI sul mercato europeo, non per tutelare i diritti degli individui che entrano in rapporto con l’amministrazione algoritmica; la legge sul procedimento amministrativo, «concepita in un’epoca nella quale l’amministrazione non era investita dalla rivoluzione tecnologica» (Cons. Stato, sez. VI, 13 dicembre 2019, n. 8472), non può applicarsi in blocco, in modo indiscriminato alle c.d. tecno-decisioni assunte dall’amministrazione pubblica grazie a sistemi di AI. Al contrario, il trattamento di dati personali, sia che avvenga con strumenti analogici, sistemi esperti o con algoritmi di autoapprendimento da parte dell’amministrazione, sia che riguardi atti vincolati o discrezionali, richiede comunque il rispetto delle regole fissate a livello europeo e nazionale.

I richiami alla disciplina sul trattamento dei dati personali, per questo, sono frequenti nelle pronunce del Consiglio di Stato dedicate alla c.d. legalità algoritmica[37]. Lo stesso Conseil Constitutionnel francese ha fatto rinvio al GDPR nel pronunciarsi sulla legittimità di una norma che consentiva alla pubblica amministrazione di ricorrere (seppure in via eccezionale) a decisioni basate su un trattamento automatico di dati personali, e dotate di effetti giuridici diretti sugli individui. Nel caso di specie, il giudice costituzionale francese ha escluso profili di incostituzionalità di questa legge a condizione che l’uso di sistemi di AI si limiti a specifiche tipologie di decisioni, che siano previste condizioni legittimanti precise, e che siano assicurate al destinatario specifiche garanzie di ottenere una spiegazione, in modalità intellegibili e dettagliate, sul funzionamento del processo algoritmico, in ossequio al c.d. diritto alla spiegazione ex art. 22 GDPR[38].

Tuttavia, l’impiego preparatorio dell’AI sembra sottratto all’ambito applicativo del GDPR. L’art. 22, comma 1 del regolamento UE dispone infatti un divieto generale, rivolto ai titolari del trattamento, di sottoporre l’interessato (quindi una persona fisica identificata o identificabile, secondo la definizione dell’art. 4) a una decisione basata unicamente su un trattamento automatizzato, che produca effetti giuridici nei suoi confronti o che incida in modo analogo significativamente sulla sua persona. Affinché questo divieto trovi applicazione, tuttavia, è necessario che ricorrano tre condizioni cumulative: 1) l’esistenza di una “decisione basata unicamente su un trattamento automatizzato”; 2) che a tale decisione siano associati “effetti giuridici nei confronti dell’interessato”; 3) ovvero che tale decisione “incida significativamente sulla sua persona”.

La nozione di “decisione” non è definita nel GDPR, ma nel considerando 71 vengono menzionati, quali esempi di decisioni automatizzate, «il rifiuto automatico di una domanda di credito online e le pratiche di assunzione elettronica senza interventi umani». Ossia atti interamente automatizzati, assunti in autonomia da un software o da sistema di AI. L’output elaborato dal sistema di intelligenza artificiale nella fase istruttoria del procedimento, viceversa, è assimilabile ad una proposta, a una valutazione tecnica, e non a una decisione in senso proprio (nel senso di atto dotato di effetti esterni). Non pare dunque potersi condividere l’interpretazione estensiva che, sin qui, ha ricevuto l’art. 22 GDPR da parte della giurisprudenza europea, che finisce per applicare il divieto ivi stabilito a decisioni che non sono prodotte autonomamente dalla macchina, ma grazie alla macchina[39]. Questa lettura sottopone ad un ingiustificato divieto anche l’uso preparatorio dell’AI (supra, par. 5): solo perché la base valutativa da cui muove il decisore umano è fornita da una tecnologia nuova e ancora da perfezionare, anziché da un perito o da sistemi più tradizionali di raccolta informazioni (nel caso specifico si trattava di previsioni sulla solvibilità di un soggetto fornite da una agenzia commerciale, SCHUFA appunto, sulla base di un algoritmo di autoapprendimento, ad un potenziale contraente, che valuta e decide se entrare o meno in affari con quel soggetto), si ritiene vietata, e quindi illegittima dal punto di vista formale, la decisione finale, a prescindere dal fatto che sia più o meno corretta dal punto di vista sostanziale.

Nella fattispecie, il sistema di AI si è limitato a generare un output che è poi stato sottoposto al vaglio dell’istituto di credito, e non ha assunto una decisione vera e propria. «La valutazione dell’algoritmo si configura come un elemento da prendere in considerazione, accanto ad altri elementi, e comunque alla luce degli obiettivi da perseguire, delle norme applicabili e dei valori da realizzare»[40]. Nel caso di specie, il funzionario di banca avrebbe potuto (e dovuto) estendere il suo esame alle condizioni specifiche del richiedente il prestito, per valutare se predisporre un piano di garanzie ritagliato sulle sue particolari condizioni economiche e personali, tale da assicurare ragionevolmente il rientro del prestito alla banca.

Non è solo la disciplina sul trattamento dei dati personali ad incontrare un limite applicativo nell’uso preparatorio (o endoprocedimentale che dir si voglia) dell’AI, ma la teoria stessa dell’atto amministrativo algoritmico, largamente invocata da dottrina e giurisprudenza: l’uso preparatorio dell’intelligenza artificiale, infatti, non è suscettibile di autonoma impugnazione, poiché non genera atti con il carattere dell’imperatività, dell’unilateralità e direttamente lesivi dei terzi (ossia provvedimenti), ma solo decisioni amministrative lato sensu. Gli output prodotti dagli algoritmi (deterministici e machine learning) sono in realtà atti (secondo alcuni, fatti)[41] di natura preparatoria, strumentali e ausiliari rispetto all’adozione del provvedimento finale, riservata al funzionario pubblico che assume interamente la responsabilità della decisione così formata (di nuovo, si fa rinvio all’art. 4, comma 2, d.lgs. n. 165/2001). Sono i dati, semmai, ad avere natura di “fatti”, e come tali devono essere apprezzati e valutati previamente dal responsabile del procedimento, con l’ausilio dei data scientists: la macchina fornisce previsioni e correlazioni, ma da sola non sa apprezzare un fatto, né classificarlo. La classificazione del fatto, quasi sempre, richiede un apprezzamento e una valutazione soggettiva, che solo l’essere umano può compiere, traducendo il dato fattuale in informazioni di addestramento per la macchina (si pensi agli indicatori di povertà per i sussidi pubblici; a beni-spia che spingono a compiere accertamenti fiscali; agli esiti di interventi che possono far insorgere responsabilità medico-sanitarie; etc.). Gli algoritmi usano i cosiddetti proxy, i sostituti più vicini all’obiettivo finale: in altre parole, rilevano altri elementi che di solito coincidono con l’obiettivo che stanno cercando di prevedere e che sono facili da rilevare (ad esempio, l’abbondanza di citazioni per un articolo o recensioni favorevoli per un ristorante, come proxy di qualità; il reddito, il lavoro e il patrimonio del richiedente, nel caso di richieste di prestito). Gli indicatori di prossimità all’obiettivo prestabilito (c.d. predittori) vengono classificati con etichette, che attribuiscono ad essi punteggi e fissano soglie minime di rilevanza, in modo da riflettere accuratamente la probabilità di conseguire l’obiettivo, evitando inutili costi e disagi: mediante questa tecnica, ad esempio, un sistema automatizzato di controllo sull’evasione fiscale bilancia l’esigenza di individuare quanti più contribuenti inadempienti e quella di evitare controlli inutili.

Spetta in ogni caso all’amministrazione, mediante l’operato di personale qualificato (nella figura del responsabile del procedimento), apprezzare i fatti, classificarli, e valutare il quadro normativo relativo ad una fattispecie oggetto di decisione. Successivamente, il responsabile del procedimento, avvalendosi del supporto di tecnici, affiderà alla macchina il compito di stabilire correlazioni tra grandi quantità di dati rilevanti per assumere una decisione; valuterà le approssimazioni e corrispondenze fornite dalla macchina sottoponendole al contraddittorio con gli interessati; eventualmente chiederà al sistema di AI di elaborare la decisione in senso formale e la trasmetterà quindi al dirigente/funzionario competente, che, in base agli esiti del confronto, effettuerà la scelta finale tra ordini di interessi rilevanti.

La decisione ultima, in altre parole, resta sotto la piena responsabilità dell’essere umano, come prevede l’art. 4, comma 2, d.lgs. n. 165/2001. Si pensi, per fare un’analogia, alla situazione in cui un soggetto consulta le previsioni metereologiche su internet per decidere se andare o meno allo stadio, o in gita, nel fine settimana: le informazioni così ottenute rappresentano una base fondamentale per operare una scelta consapevole sul da farsi, ma nessuno metterebbe in dubbio che la decisione finale resti affidata alla volontà e alla responsabilità dell’interessato.

Ne consegue che l’AI, più che sull’atto finale, incide sul procedimento attraverso cui l’amministrazione arriva alla decisione, avente natura provvedimentale o meno. È in questa fase che sembrano annidarsi i profili di maggiore delicatezza in termini di legalità: la tecno-decisione risulta viziata (ad esempio, sotto il profilo dell’eccesso di potere) non in sé, ma perché adottata all’esito di un procedimento amministrativo talvolta poco trasparente, poiché non se ne comprendono i meccanismi intrinseci; talvolta discriminatorio, poiché basato su dati rilevanti sbagliati, etichettati in modo non corretto, che danno luogo ad effetti non prevedibili, irrazionali e finanche “ingiusti”; talvolta “esclusivo”, perché appare incerto il grado di supervisione umana sul procedimento[42].

Non solo. Se l’algoritmo è visto come mero strumento preparatorio per le decisioni pubbliche, e quindi come mezzo endoprocedimentale, perde di enfasi anche il dibattito sul “fondamento normativo” dell’impiego di questa tecnologia[43]: è pur vero che il principio di legalità richiede una base normativa per ogni attività amministrativa, ma è altrettanto vero che nessuna norma “abilitante” viene richiesta dall’ordinamento per l’impiego di strumenti ausiliari, funzionali a migliorare la qualità delle decisioni pubbliche. Così come non occorre l’individuazione di una norma attributiva di potere perché il funzionario pubblico, prima di assumere una decisione dotata di impatto esterno, consulti un motore di ricerca, un rapporto Istat o una relazione del Censis, o chieda un parere all’ufficio legale dell’amministrazione di appartenenza, allo stesso modo non pare necessario andare alla ricerca di una norma abilitante per l’impiego di un sistema di AI che fornisce correlazioni statistiche o previsioni probabilistiche per migliorare la qualità della decisione da assumere. L’obiettivo ultimo, almeno allo stato attuale delle conoscenze, è quello di integrare la tecnologia AI all’interno del procedimento amministrativo, in modo tale da garantire un supporto istruttorio e valutativo al decisore umano, non quello di sostituire decisioni pubbliche che incidono su diritti individuali con un output algoritmico.

L’obiezione più facile a questa impostazione è che il decisore umano, normalmente privo di conoscenze tecniche adeguate, tende a farsi “catturare” dalla elaborazione dei dati fornita dal sistema di AI, divenendo mero nuncius di una soluzione sostanzialmente adottata dalla macchina. Tuttavia, il rischio di cattura del funzionario può essere ragionevolmente contenuto attraverso la sottoposizione della pre-decisione elaborata dalla macchina al contraddittorio con i diretti destinatari, che ne mettono alla prova la tenuta, verificandone la coerenza, la ragionevolezza, la comprensibilità. Il contradditorio e la partecipazione procedimentale degli interessati servono a correggere preventivamente, ex ante, i difetti funzionali della tecno-decisione, a colmare i vuoti di comprensione riguardanti l’output algoritmico, contribuendo a una deflazione del contenzioso successivo. L’amministrazione deve sempre dare conto agli interessati delle risultanze istruttorie frutto dell’elaborazione di AI, prima di assumere la decisione finale: nel caso si orienti verso il rigetto dell’istanza, questa informazione potrebbe entrare già ora nel “preavviso” ex art. 10-bis l. n. 241/90, mentre in tutti gli altri casi andrebbe prevista una specifica disposizione da inserire nella legge sul procedimento.

7. Per una valutazione “in concreto” dell’intelligenza artificiale applicata all’agire pubblico: la sandbox normativa SAVIA

Non esiste letteratura o sito online che offra un elenco esaustivo dei progetti di intelligenza artificiale per il settore pubblico sviluppati a livello mondiale. Sul punto, si fa notare, «c’è ancora una lacuna legata all’identificazione e alla caratterizzazione degli attori principali, delle strutture di governance e delle politiche correlate» all’uso della AI nel settore pubblico[44]. La maggior parte delle ricerche, tuttavia, sottolinea che, ovunque nel mondo, l’AI non viene considerata una delle tante innovazioni legata alle ITC, ma rappresenta qualcosa di distinto e più significativo per la velocità, l’estensione e la natura del cambiamento che l’AI potrebbe apportare al settore pubblico[45].

In Europa, la maggior parte dei casi di utilizzazione di sistemi AI da parte di amministrazioni pubbliche si registra a livello nazionale, mentre sono molto più rare le esperienze a livello locale e regionale[46]. La resistenza degli enti territoriali all’impiego dell’AI è legata ad una molteplicità di cause (incapacità di sviluppare sistemi propri, assenza di personale in genere e di personale qualificato, vincoli normativi di carattere nazionale), e ciò rappresenta un forte limite alla diffusione di questa nuova modalità operativa nell’intero settore pubblico: lo sfruttamento dell’AI da parte delle autorità locali e regionali (c.d. LRA, o autorità subnazionali) – come livello più vicino ai cittadini – è essenziale per promuovere la diffusione di questa tecnologia.

Come noto, le autonomie territoriali rappresentano un fondamentale banco di prova per riforme e innovazioni giuridiche che, dopo una prima fase di sperimentazione, vengono successivamente introdotte su scala nazionale (si pensi all’accesso documentale, all’autonomia dirigenziale, alla separazione politica-amministrazione, etc.). Per questo motivo, le autonomie territoriali potrebbero rappresentare la “sandbox normativa” ideale per lo sviluppo di sperimentazioni regolative sulle decisioni algoritmiche. Al tempo stesso, l’AI potrebbe apportare numerosi benefici al funzionamento di queste amministrazioni, migliorandone l’organizzazione interna, i processi decisionali, le forme di interazione con la cittadinanza.

Il settore dove più comunemente vengono impiegate le tecnologie AI, a livello territoriale, è quello dei “servizi pubblici generali” (circa un quarto dei casi, per lo più chatbot sui siti web), seguito da ordine pubblico e sicurezza, affari economici, salute e protezione sociale. Di recente, una rapida crescita dei casi di impiego si è registrata nel settore ambientale, al centro delle politiche di riforma in molti paesi. Molte esperienze di impiego dell’AI a livello locale riguardano iniziative come città intelligenti, gemelli digitali e progetti per la sostenibilità[47]. Si scopre così che le città più grandi e più ricche hanno maggiori probabilità di introdurre misure “intelligenti”: nel 2021, il 90 per cento delle città europee con una popolazione superiore a 500 mila abitanti ha fatto registrare iniziative per città intelligenti di qualche tipo, rispetto al 43 per cento delle città con 100-200 mila residenti. Va però precisato che non tutte le iniziative volte a realizzare città intelligenti coinvolgono necessariamente le tecnologie AI[48].

Secondo le indagini più recenti, i Paesi che evidenziano più frequenti casi di utilizzo a livello locale dell’AI sono Spagna e Danimarca, seguiti da Belgio e Svezia. Viceversa, i Paesi che fanno ampio utilizzo dell’AI nel settore pubblico a livello nazionale mostrano pochi casi di implementazione di questa tecnologia a livello locale (ad esempio, Germania, Paesi Bassi e Portogallo). In generale, i settori in cui l’AI è maggiormente utilizzata a livello locale, seguendo l’ordine indicato nei report internazionali, sono: 1) servizi a favore della pubblica amministrazione; 2) servizi pubblici municipali; 3) servizi a favore dei cittadini (in particolare, mobilità e trasporti)[49].

Troppo spesso, però, l’analisi giuridica sull’applicazione dei sistemi di AI all’agire pubblico si arresta ad un piano astratto, dogmatico. Si avverte l’esigenza di saggiare il funzionamento concreto di questi strumenti, comprenderne le reali implicazioni operative, sperimentarne le potenzialità e i limiti applicativi, prima di formulare valutazioni sul loro impiego sotto il profilo della legittimità, efficacia, opportunità[50].

In quest’ottica, è utile riferire qui l’esperienza per lo sviluppo e l’implementazione di una sandbox normativa, realizzata da CINECA e dalla Assemblea Legislativa della Regione Emilia-Romagna, che va sotto il nome di “progetto SAVIA”[51]. Il progetto è stato realizzato sfruttando le risorse computazionali del supercomputer LEONARDO, ospitato dal CINECA, ha preso il via nel maggio 2023 e attualmente si trova ancora in fase di realizzazione. SAVIA ha l’obiettivo di creare un applicativo in grado di rispondere a domande sulle leggi della Regione e sui relativi atti di attuazione adottati a livello sia regionale che locale, nonché sulle relazioni valutative (“ex ante” ed “ex-post”) riguardanti l’impatto di tali leggi.

La finalità principale di SAVIA è quella di migliorare la trasparenza dei processi legislativi e amministrativi della Regione Emilia-Romagna e del sistema di enti locali che insiste sul territorio regionale. L’idea da cui muove il progetto è che numerosi repository di dati pubblici (legislazione statale e regionale, nonché atti della p.a.), le tante informazioni pubblicate nei siti “amministrazione trasparente”, le banche date online di dottrina giuridica, nonché un cospicuo patrimonio di dati giurisprudenziali digitalizzati, possono costituire una valida base informativa per l’addestramento di strumenti di AI funzionali ai compiti sopra descritti. Il chatbot di SAVIA si configura come strumento meramente ricognitivo di documenti ufficiali pubblici, che non incide su processi decisionali, facilmente interrogabile e capace di restituire all’utente risposte puntuali e complete relative al corpus normativo regionale e agli effetti che questo ha prodotto sul territorio.

Al momento, il modello SAVIA è alimentato da alcune banche dati regionali, che vengono a integrarsi all’interno del dataset a disposizione dell’applicativo. In particolare, sono state integrate in SAVIA la banca dati “Demetra” (leggi regionali, regolamenti regionali, regolamenti interni, delibere assembleari; ST Fattibilità, AIR, lavori preparatori, relazioni alle clausole valutative) e la banca dati “Consultazione atti amministrativi” (contenente delibere di Giunta regionale, delibere dell’Ufficio di Presidenza dell’Assemblea legislativa, determine dirigenziali regionali). In prospettiva, in base all’accordo con diversi enti locali della Regione ER (ParER -Polo archivistico della RER), dovrebbero entrare a far parte della base di dati SAVIA anche atti di Comuni, Province, Città metropolitane, Unioni e altri enti del territorio. E, auspicabilmente, anche le banche dati concernenti la legislazione nazionale e le principali decisioni giurisprudenziali.

Il progetto muove dalla considerazione che i sistemi di AI per l’elaborazione del linguaggio naturale (Natural Language Processing), pur con alcune cautele, possono essere efficacemente utilizzati a supporto del legislatore in varie fasi del procedimento legislativo: per soddisfare le necessità informative nella fase di progettazione e istruzione della legge in formazione; per raggruppare gli emendamenti e ordinarli nel corso dell’approvazione di testi di legge da parte delle assemblee; per valutare preventivamente l’impatto delle norme sul sistema economico (AIR e costi della regolazione); per verificare l’impatto delle norme sul quadro ordinamentale esistente (abrogazioni e modifiche); per garantire maggiore coerenza alle fonti normative, attraverso la generazione di parole chiave e riassunti (summarizzazione) delle legge vigenti; fino a arrivare alla creazione automatizzata di norme da parte di software di intelligenza generativa.

Per un verso, SAVIA può considerarsi un modello LLM applicato alla fase istruttoria, preparatoria, valutativa del procedimento legislativo, e come tale non ad “alto rischio”. Ciò, anzitutto, perché questo tipo di utilizzazione dell’AI non rientra tra quelle classificate dall’All. 3 come “ad alto rischio”; inoltre, perché esso non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, ai sensi dell’art. 6 AIA, dal momento che non influenza materialmente il risultato del processo decisionale. Al contempo, SAVIA è progettato per a) eseguire un compito procedurale limitato; b) migliorare il risultato di un’attività umana precedentemente completata; c) rilevare schemi decisionali o deviazioni da schemi decisionali precedenti e non è finalizzato a sostituire o influenzare la valutazione umana precedentemente completata senza un’adeguata revisione umana; d) eseguire un compito preparatorio per una valutazione pertinente a un caso d’uso ad alto rischio (art. 6, comma 3 AIA). In altri termini, l’applicativo SAVIA rientra tra le eccezioni tipizzate dall’AIA come attività in deroga alla classificazione di un sistema ad alto rischio.

Per altro verso, le “regole algoritmiche” indicate dalla giustizia amministrativa (in particolare dal Consiglio di Stato) per le decisioni che scaturiscono all’esito di un procedimento amministrativo che sfrutta la tecnologia AI risultano difficilmente applicabili, per estensione, al procedimento legislativo. L’attività legislativa è infatti molto diversa da quella amministrativa: mentre la decisione amministrativa ha un impatto diretto sulle persone e può generare danni concreti alla sfera soggettiva degli individui, in genere (e fatta salva la criticabile tendenza delle assemblee ad adottare leggi-provvedimento) il procedimento legislativo ha carattere generale e astratto, e pertanto impatta solo indirettamente sui diritti degli individui. Occorrono atti di attuazione, norme regolamentari, provvedimenti puntuali, affinché le previsioni generali e astratte contenute nelle leggi producano effetti concreti e lesivi sui diritti individuali[52]. Per questo, l’attività legislativa, così come quella di programmazione e pianificazione, ai sensi della l. n. 241/1990 non esige la presenza delle garanzie tipiche del procedimento amministrativo, anche laddove sia assistita da sistemi di AI: in particolare, non richiede gli obblighi di motivazione e partecipazione che devono assistere le decisioni pubbliche puntuali e concrete (cfr. artt. 3 e 13).

Esiste tuttavia un nucleo di principi comuni a tutte le attività giuridiche basate sulle tecnologie digitali da rispettare sempre, anche in caso di attività legislativa e normativa: ad esempio la trasparenza nell’uso dell’AI; l’integrità informativa (riferita a dati e documenti); la responsabilità umana (accountability); la formazione di competenze (consapevolezza); la partecipazione pubblica (va assicurato il più ampio contributo dei soggetti interessati); l’interesse pubblico; la sicurezza dei sistemi di AI; la prevenzione delle interferenze sul funzionamento algoritmico.

Anche con riferimento a questi principi trasversali, però, emergono le differenze tra l’attività normativa e quella provvedimentale. La trasparenza delle decisioni assunte attraverso l’uso di AI generativa o fondazionale, ad esempio, assume contorni molto diversi nel caso in cui riguardi atti normativi/legislativi, ovvero atti puntuali: questo perché l’uso di modelli machine learning in ambiti in cui la trasparenza è fondamentale, come nel caso di provvedimenti a carattere individuale, risulta molto delicato allo stato attuale delle conoscenze (per la nota questione delle c.d. black box)[53]. Al contrario, è possibile e auspicabile l’impiego di questi modelli nella formazione di atti a carattere generale e astratto (ossia norme e leggi), dove l’ampliamento della base conoscitiva assicurata dall’AI garantisce una migliore qualità formale e sostanziale del prodotto finale. Ciò, naturalmente, finché sono gli esseri umani a provvedere alla scelta dei dati (qualità), degli algoritmi e all’addestramento del sistema di AI; diverso è il caso in cui è la macchina a elaborare dati da lei stessa generati, non verificati né validati[54].

Senza dubbio, i benefici più evidenti dell’AI applicata al procedimento legislativo riguardano la conoscenza della realtà oggetto di regolazione, che può essere potenziata attraverso ampie consultazioni, raggruppate e razionalizzate grazie all’uso dei sistemi intelligenti: le tecnologie di elaborazione del linguaggio naturale (LLM) possono infatti migliorare il modo in cui il raggruppamento delle opinioni viene attualmente condotto nei procedimenti legislativi. A questo fine, le consultazioni preliminari dei gruppi di interesse risultano fondamentali per raccogliere elementi informativi destinati a guidare la successiva elaborazione delle norme. Si prendano, ad esempio, le consultazioni preliminari all’adozione di un testo normativo: quando si analizzano i risultati ottenuti nelle consultazioni, è essenziale che il regolatore raggruppi in modo appropriato le opinioni degli stakeholder, dal momento che un raggruppamento (clustering) errato può alterare la rappresentatività delle diverse posizioni, facendone apparire alcune come prevalenti quando non lo sono o potrebbero non esserlo. Gli strumenti computazionali aiutano a ridurre l’errato raggruppamento delle opinioni degli stakeholder e, di conseguenza, consentono una rappresentazione più fedele delle diverse posizioni espresse nelle consultazioni[55]. Di recente, la Inter-Parliamentary Union, un’organizzazione con la missione di promuovere la democrazia per tutti, ha pubblicato nel 2024 un interessante documento sull’uso dell’intelligenza artificiale nei Parlamenti, nel quale vengono passate in rassegna le varie applicazioni possibili di questa tecnologia, alcune delle quali già in uso in diversi paesi, anche in via di sviluppo, per migliorare l’attività delle assemblee deliberative[56].

Una distinzione può risultare utile a comprendere le potenzialità dell’AI applicata al processo di rule making. Nell’ambito del procedimento legislativo, sia nazionale che regionale, gli applicativi di AI possono essere utilizzati come supporto all’attività “interna”, in particolare per favorire il brainstorming, l’analisi/verifica della normativa esistente, il controllo della sintassi. Inoltre, si può immaginare l’applicazione di sistemi di IA all’“esterno”, per valutare l’impatto di nuove leggi/regole sull’ordinamento esistente (impact assessment) e favorire l’impiego di strumenti di better regulation (consultation, stock review)[57], per la gestione delle modifiche legislative (abrogazioni, integrazioni etc.), per analisi di fattibilità dei testi legislativi a livello nazionale e regionale (clausole valutative).

La sperimentazione realizzata dall’Assemblea regionale e CINECA si è limitata, almeno sin qui, ad un uso interno. Prendendo a riferimento il manuale di drafting legislativo elaborato dalla Conferenza dei Presidenti delle Assemblee legislative delle Regioni e Province autonome[58], un gruppo di lavoro ha cercato di verificare se tali regole risultino effettivamente applicate nella legislazione regionale vigente. SAVIA fornisce già oggi gli strumenti per verificare, tramite l’impiego di un sistema AI, il rispetto delle regole sul drafting normativo da parte delle leggi della Regione E-R: in questa fase, l’applicativo è stato sperimentato su alcune leggi-campione già in vigore, ma in prospettiva potrà essere utilizzato anche per l’elaborazione di nuovi progetti di legge.

La sperimentazione è stata svolta nell’ottica di migliorare la qualità legislativa, concetto che ricomprende sia l’aspetto formale (testo) che sostanziale (effetti) delle leggi. Il primo passo, come si diceva, è stato verificare il rispetto delle regole di drafting da parte di alcune leggi settoriali (partecipazione, editoria), mentre quello successivo riguarderà l’applicazione del sistema SAVIA all’esterno, attraverso la verifica della “qualità sostanziale” della legislazione regionale, intesa come effetti prodotti dalle leggi sulla realtà territoriale. In futuro, infatti, SAVIA dovrebbe servire ad incrociare le previsioni contenute nelle leggi con i provvedimenti di attuazione adottati a livello regionale e locale, estraendo da questa elaborazione informazioni su oggetti specifici (ad esempio con riferimento alla legge sulla partecipazione, si potranno verificare i finanziamenti effettivamente erogati alle associazioni del terzo settore), in modo da poter “misurare” gli effetti realmente prodotti da una legge regionale sulla vita della comunità residente. In altre parole, questa specifica applicazione dell’AI dovrebbe risultare utile a valutare l’effettività delle norme nella realtà (law in action), oltre che a migliorare la loro formulazione testuale (law in the books). Naturalmente, per ottenere questo risultato occorre disporre di un dataset verificato, aggiornato, facilmente comprensibile, al fine di evitare che il sistema incorra in errori legati alla qualità e alla interpretazione dei dati.

Nel perseguimento di questi obiettivi, gli esperti (un gruppo formato da informatici e data scientist del CINECA, che hanno lavorato in squadra con i giuristi della Regione ER) hanno seguito un approccio multi-step. Anzitutto, va precisato che SAVIA non sviluppa un modello “proprio” di AI, ma utilizza modelli open source pre-allenati, rispetto ai quali la legge (almeno sin qui) non impone “certificazioni” necessarie per l’utilizzo da parte di una pubblica amministrazione. Gli esperti sono quindi partiti da un LLM open source e lo hanno adattato al linguaggio giuridico attraverso un adattamento di dominio non supervisionato; quindi, il modello è stato perfezionato attraverso un fine tuning con domande e risposte (Q&A) su un set di dati preparato a tale scopo da esperti di dominio; infine, hanno implementato un modello di recupero di dati (retrieval) per arricchire le risposte del sistema con informazioni tratte dal corpus giuridico nel suo insieme (dal testo di un articolo di dottrina, o di una legge, ad es.). L’addestramento dei LLM su dataset accurati e aggiornati, supervisionati da esperti legali dello specifico settore giuridico di utilizzo, è fondamentale: in quest’ottica, la tecnica denominata Retrieval-Augmented Generation (RAG) mira a «combinare le abilità linguistiche tradizionali dei LLM (consentite dal loro essere “large”) con il supporto di archivi “di qualità” selezionati per lo specifico contesto e guidati dagli esperti del settore (magistrati, avvocati, funzionari del processo), in modo tale che il LLM, prima di generare le risposte con le proprie capacità linguistiche, attinga le informazioni da tali fonti affidabili e validate»[59].

I risultati mostrano che gli LLM adattati al dominio specifico (in particolare i natural language processing) sono in grado di rispondere a domande puntuali e possono rappresentare uno strumento utile per supportare i processi decisionali in campi specializzati come quello della elaborazione delle norme, in cui si ha necessità di recuperare informazioni esatte, concise e facili da comprendere, attingendo da database di grandi dimensioni e non strutturati. In questa fase, il funzionamento di SAVIA è ancora molto semplice, e risulta forse più utile per i cittadini che non per i consiglieri, anche se in futuro si prevede un efficace impiego anche da parte di questi ultimi.

8. In sintesi

L’analisi sin qui svolta può essere sintetizzata attraverso pochi punti rilevanti.

In primo luogo, un’eccessiva cautela e diffidenza (che, in alcuni casi, può giungere fino al divieto) nell’impiego di sistemi di IA per l’assunzione di decisioni (pubbliche) può comportare la rinuncia ad una tecnologia estremamente utile per le pubbliche amministrazioni[60]. L’ausilio dei sistemi di intelligenza artificiale è essenziale per risolvere le carenze strutturali di cui soffrono le amministrazioni, che non devono commettere l’errore di privarsi di questa tecnologia perché preoccupate dai potenziali inconvenienti legati al suo impiego.

Ostacolare l’uso dell’AI da parte dei lavoratori, pubblici e privati, attraverso l’introduzione di un fitto reticolo di norme appare per un verso inutile, perché resistere ai cambiamenti tecnologici è come cercare di fermare la marea montante con una diga di sabbia; per altro verso pericoloso, perché tale atteggiamento può condurre a fenomeni di utilizzazione clandestina, non regolamentata, di questi strumenti. Divieti generalizzati (riguardanti, ad esempio, i sistemi machine learning, o gli atti a carattere discrezionale) ed eccessive limitazioni all’impiego di sistemi di IA possono condurre a fenomeni di utilizzazione clandestina, non regolamentata, di questi strumenti. È molto diffusa, in ambienti pubblici e privati, la c.d. Shadow AI (AI ombra), ossia l’impiego non autorizzato di sistemi di AI da parte dei dipendenti, che in modo autonomo e spontaneo, spesso per migliorare l’efficienza del loro lavoro, si servono di questa tecnologia come ausilio conoscitivo e decisionale senza passare attraverso l’approvazione dell’ente di appartenenza[61]. Questo comportamento può forse portare benefici immediati per i singoli, ma genera sicuri rischi e disfunzioni per l’apparato: l’uso di AI ombra può esporre l’organizzazione a notevoli rischi per la sicurezza, poiché opera al di fuori della supervisione ufficiale da parte dei tecnici e data scientists della struttura, cosicché risulta difficile monitorare e gestire l’uso di questi strumenti. Si tratta di una prassi da contrastare, che può produrre esiti non conformi agli standard normativi, violazioni dei dati sensibili e altre illegittimità[62].

In secondo luogo, è inevitabile ipotizzare un periodo di transizione digitale, durante il quale l’intelligenza artificiale non potrà che essere utilizzata in forma ausiliaria rispetto alle decisioni finali, che continueranno ad essere adottate da funzionari pubblici, sotto la loro piena responsabilità. Questa valutazione trova sostegno nel disegno di legge recante “Disposizioni e delega al Governo in materia di intelligenza artificiale”, ove è stabilito a chiare lettere che «L’utilizzo dell’intelligenza artificiale avviene in funzione strumentale e di supporto all’attività provvedimentale, nel rispetto dell’autonomia e del potere decisionale della persona che resta l’unica responsabile dei provvedimenti e dei procedimenti in cui sia stata utilizzata l’intelligenza artificiale» (art. 14, comma 2). Qualora poi si accettasse di considerare, come qui proposto, l’uso istruttorio e endoprocedimentale dell’AI come “preparatorio” rispetto alle decisioni pubbliche, un simile impiego della tecnologia risulterebbe sostanzialmente escluso dalla portata delle regole europee, dal momento che i sistemi di AI destinati a eseguire un compito preparatorio sono formalmente sottratti alla classificazione d’uso “ad alto rischio” (art. 6, comma 3, lett. d, AIA).

Nel complesso, la qualificazione dei sistemi di AI come ausiliari e preparatori toglie rilevanza al dibattito sulla decisione pubblica integralmente automatizzata, robotica, da cui il decisore umano verrebbe completamente estromesso. Al contempo, questo approccio mostra l’utilità di ragionare in termini di procedimento anziché di provvedimento algoritmico (nel senso di decisione integralmente automatizzata), considerando l’output prodotto dai sistemi di AI come una proposta decisionale da sottoporre al contraddittorio preventivo degli interessati, che può consentire l’emersione di eventuali incongruenze, discriminazioni, lacune nel funzionamento del sistema. L’uso di sistemi di intelligenza artificiale all’interno delle pubbliche amministrazioni (e, più in generale, nella società contemporanea) deve ispirarsi al criterio della complementarietà, ed essere indirizzato a preservare e potenziare le capacità umane, non a sostituirle[63].

In terzo luogo, le pubbliche amministrazioni devono puntare sulla gradualità e sulla sperimentalità nell’impiego di questa tecnologia. Per quanto riguarda il primo aspetto, se l’uso dell’intelligenza artificiale per attività preparatorie o istruttorie (chatbot, formulari di auto-riempimento) non pone particolari problemi giuridici, l’integrale automazione di atti dotati di rilevanza esterna, soprattutto se aventi contenuto discrezionale ed elaborati mediante algoritmi di autoapprendimento, richiede molte cautele. Solo l’evoluzione tecnologica (attraverso la X.A.I.) potrà garantire adeguata trasparenza, comprensibilità e sindacabilità per queste decisioni, ovviando al problema – allo stato delle conoscenze, insormontabile – delle cd. black box. Per quanto concerne il secondo aspetto, legato alla sperimentalità, occorre guardare con interesse allo sviluppo di regulatory sandbox, soprattutto a livello locale e territoriale, da cui può derivare una migliore conoscenza preventiva dei modelli algoritmici, un loro uso controllato e ritagliato sulle esigenze specifiche dell’amministrazione, oltre che una protezione più avanzata dei terzi[64].

Note

^[1] Sul tema, si veda l’attenta analisi di A. Bradford, Digital Empires. The Global Battle to Regulate Technology, Oxford, Oxford Univ. Press., 2023; e, più recentemente, di F. Donati, La protezione dei diritti fondamentali nel regolamento sull’intelligenza artificiale, in Rivista AIC, 1, 2025, p. 5. Sul punto, la posizione degli Stati Uniti è divenuta via via più radicale: all’AI Action Summit, svoltosi a Parigi dal 10 all’11 febbraio 2025, sotto la presidenza francese ed indiana, gli Stati Uniti si sono rifiutati di sottoscrivere la dichiarazione sui principi firmata da 61 Paesi, affermando di non volere regole sull’AI, neppure osservando l’approccio co-regolatorio che avevano sviluppato negli ultimi due anni.

^[2] Le affermazioni sono di A. Aresu, Geopolitica dell’intelligenza artificiale, Milano, Feltrinelli, 2024, p. 441

^[3] Z. Zencovich, Artificial Intelligence, natural stupidity and other legal idiocies, in Medialaws, 1, 2024.

^[4] The future of European competitiveness: Report by Mario Draghi. In-depth analysis and recommendations, disponibile alla pagina https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead.

^[5] In sostanza, il Rapporto Draghi valuta negativamente l’assenza di strumenti adeguati di valutazione di questi costi indiretti nella legislazione UE, ritenendo che l’Europa debba trovare un equilibrio tra regolamentazione e innovazione, senza soffocare le piccole realtà imprenditoriali che sono il cuore pulsante dell’economia continentale.

^[6] Si fa notare, in proposito, che «(i) costi della compliance saranno sopportati dalle grandi società statunitensi, perché comunque il mercato europeo è di grande interesse. Ma nel frattempo gli stessi costi graveranno anche sulle imprese e le organizzazioni europee, rendendo più difficile la loro competizione». G. Finocchiaro, Semplificare le regole non significa abolirle (come negli USA), Il Sole 24 Ore, 25 marzo 2025. In questo senso, va registrata positivamente la recente iniziativa lanciata dalla Commissione Europea (InvestAI), per mobilitare 200 miliardi di euro in investimenti nell’intelligenza artificiale e, contestualmente, investire sulle gigafactory di Ai per una grande partnership pubblico-privata. Per sostenere un’intelligenza artificiale sviluppata in Europa, la Commissione ha attivato programmi di finanziamento strategico come Horizon Europe e Digital Europe. Si tratta di iniziative pensate per mobilitare capitali pubblici e privati a favore di progetti AI, stimolando la creazione di ecosistemi tecnologici capaci di competere a livello globale.

^[7] U. Nizza, Rinnovarsi o scomparire: la strada per il futuro dell’Europa secondo Mario Draghi, in questa Rivista, 3, 2024, p. 761.

^[8] A. Bradford, The Brussels Effect: How the European Union Rules the World, Oxford, Oxford University Press, 2020.

^[9] O. Mir, The AI Act from the Perspective of Administrative Law: Much Ado About Nothing? (trad.mia), in European Journal of Risk Regulation, (16), 1, 2024, p. 6.

^[10] B. Marchetti, Intelligenza artificiale, poteri pubblici e rule of law, in Liber Amicorum per Guido Greco, Torino, Giappichelli, 2024, p. 529 ss.

^[11] F. Donati, La protezione dei diritti fondamentali nel regolamento sull’intelligenza artificiale, cit.

^[12] Da ultimo, C. Benetazzo, IA, giustizia e PA: la sfida etica e antropologica, in Federalismi.it, 8, 2025, che richiama le note profezie di Harari, secondo cui gli algoritmi «Osservano dove andate, cosa comprate, chi incontrate. Presto saranno in grado di controllare tutti i vostri passi, ogni vostro respiro, tutti i battiti del vostro cuore» (Y.N. Harari, Homo deus. Breve storia del futuro, tr. it. di Marco Piani, Bompiani, Milano 2017, p. 449 ss.).

^[13] D. Acemoglu, S. Johnson, Potere e progresso, Milano, Il Saggiatore, 2023.

^[14] A. Huergo Lora, De la digitalización a la inteligencia artificial: evolución o revolución?, in Actas del 18 Congreso AEPDA, 2024, p. 34 (trad. mia).

^[15] E. Bruti Liberati, Il futuro dell’Unione Europea tra competitività economica e sostenibilità sociale e politica, in www.diariodidirittopubblico.it, aprile 2025.

^[16] L’elaborazione di un Codice di condotta per l’Intelligenza artificiale è curata dall’Artificial Intelligence Office (AI Office), la nuova entità istituita dalla Commissione europea per sostenere e agevolare l’applicazione dell’AI Act.

^[17] A. Santosuosso, G. Sartor, Decidere con l’IA. Intelligenze artificiali e naturali nel diritto, Bologna, il Mulino, 2024, p. 142.

^[18] A.S. n. 1146 recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, approvato il 20 marzo 2025 e trasmesso alla Camera dei Deputati.

^[19] Ai sensi dell’art. 4, comma 2, TUPI «Ai dirigenti spetta l’adozione degli atti e provvedimenti amministrativi, compresi tutti gli atti che impegnano l’amministrazione verso l’esterno (…)»; ai sensi dell’art. 107, comma 2, TUEL «Spettano ai dirigenti tutti i compiti, compresa l’adozione degli atti e provvedimenti amministrativi che impegnano l’amministrazione verso l’esterno (…)».

^[20] A. Santosuosso, G. Sartor, Decidere con l’IA, cit. p. 143.

^[21] Cons. Stato, sez. VI, 13 dicembre 2019, n. 8472.

^[22] E. Carloni, I principi della legalità algoritmica. Le decisioni automatizzate di fronte al giudice amministrativo, in Dir. amm., 2, 2020, p. 277.

^[23] Un approccio case-by-case sembra essere suggerito anche da B. Marchetti, L. Torchia, AI and public administration, in F. Decarolis, B. Marchetti, L. Torchia (eds.), The EU Digital Regulation and its Impact on Member States, Cham, Springer, 2025, in corso di pubbl., seppure in un quadro di maggiore prudenza, rispetto a quanto qui proposto, nell’uso di sistemi di AI per attività pubbliche di decision-making.

^[24] «This is the autonomy that defines AI systems and is part of the definition (and, therefore, a necessary element for a system to be truly AI and subject to its regulation). They are autonomous systems in the sense that the results do not depend on the starting data and rules introduced by an operator (rules whose origin may be in a norm or in a human decision of the person who has the power granted by the norm), but derive from a mathematical rule created from the analysis of the data used to train (create) the system». Cfr. A. Huergo Lora, Subject Matter, scope and Definitions of the AIA, in A. Huergo Lora (ed.), G.M. Díaz González (coord.), The UE Regulation on Artificial Intelligence: A Commentary, Milano, Wolters Kluwer, 2025, p. 6.

^[25] Riprendendo qui la tesi di E. Carloni, Dalla legalità algoritmica alla legalità (dell’amministrazione) artificiale. Premesse ad uno studio, in Riv. it. inf. dir., 2, 2024, p. 455.

^[26] Come segnala il Consiglio di Stato, l’algoritmo tradizionale è cosa diversa dall’intelligenza artificiale, dato che, in questo secondo caso, «l’algoritmo contempla meccanismi di machine learning e crea un sistema che non si limita solo ad applicare le regole software e i parametri preimpostati (come fa invece l’algoritmo “tradizionale”) ma, al contrario, elabora costantemente nuovi criteri di inferenza tra dati e assume decisioni efficienti sulla base di tali elaborazioni, secondo un processo di apprendimento automatico». Cons. Stato, 25 novembre 2021, n.7891.

^[27] I sistemi deterministici vengono utilizzati solitamente per l’elaborazione di atti a carattere vincolato ed il loro funzionamento non si differenzia da quello un comune software: l’algoritmo è comprensibile, produce un risultato che è riverificabile, ripetibile, riconducibile ai criteri predeterminati che ne guidano il funzionamento. Intorno a questo tipo di atti è stata costruita la cd. legalità algoritmica, fondata su principi di elaborazione giurisprudenziale, attinenti alla imputabilità dell’atto all’amministrazione, alla non discriminazione, alla non esclusività, alla trasparenza come conoscibilità del carattere automatizzato della decisione e come comprensibilità della logica utilizzata.

^[28] Cort. giust., 7 dicembre 2023, C-634/21, SCHUFA.

^[29] B. Marchetti, Intelligenza artificiale, poteri pubblici e rule of law, cit., 529 ss.

^[30] Non tutti sono d’accordo su questo punto. Ad es. O. Mir (The AI Act from the Perspective of Administrative Law, cit. p. 6), in riferimento ai sistemi di AI non classificati “ad alto rischio”, afferma che “(t)he most important consequence of subjecting these systems, which do not merit a high risk rating, to the harmonised regulation of the AIA is precisely that they cannot be subject to additional restrictions by Member States. Member States may not subject their development to obligations restricting their free movement throughout the EU».

^[31] Il d.lgs 12 febbraio 2024, n. 13, ha introdotto la possibilità per le Agenzie delle entrate di utilizzare sistemi di intelligenza artificiale per rilevare con maggiore precisione il “rischio fiscale”. Un algoritmo opererà un vaglio automatico di grandi quantità di dati alla ricerca di eventuali discrepanze nella dichiarazione dei redditi e delle spese. Per l’individuazione del rischio fiscale viene messa in campo l’analisi probabilistica, mediante modelli e tecniche di analisi che, «sfruttando soluzioni di intelligenza artificiale ovvero di statistica inferenziale, consentono di isolare rischi fiscali, anche non noti a priori, che, una volta individuati, possono essere utilizzati per l’elaborazione di autonomi criteri selettivi, ovvero permettono di attribuire una determinata probabilità di accadimento a un rischio fiscale noto» (art. 2, comma 1, lett f d.lgs. n. 13/2024). Utilizzando una metafora, con l’introduzione di questa tecnica è come se il fisco passasse dalla pesca a strascico alla pesca subacquea con fucile di precisione.

^[32] Anche se la dottrina più garantista segnala come, in futuro, l’uso di chatbot pubbliche potrebbe favorire condizionamenti opachi e sottili, ponendo il problema della compatibilità di questi sistemi con i principi dello Stato di diritto. A titolo di esempio viene riportato il “progetto Goio”, un servizio di assistenza virtuale sotto forma di chatbot finalizzato a consentire ai turisti di scoprire l’Isola e le sue offerte, che spinge l’utente a preferire alcune tra le varie scelte selezionabili, per produrre determinati esiti predefiniti dal programmatore. Cfr. https://www.irpa.eu/e-se-una-chatbot-pubblica-fosse-progettata-per-condizionare-gli-utenti-considerazioni-a-partire-dal-caso-goio/.

^[33] Il principio di adattabilità (noto anche come principio di mutabilità, nel sistema francese), riferito tradizionalmente al servizio pubblico, assume particolare rilevanza per quanto riguarda l’“algoritmizzazione amministrativa”. Questo principio implica la continua trasformazione della gestione attraverso l’integrazione di progressi tecnici (come algoritmi e sistemi AI), sempre in linea con le esigenze degli utenti, e presuppone una trasformazione graduale dell’amministrazione affinché possa essere accettata dagli utenti.

^[34] Cfr. TAR Roma, sez. III-bis, 20 luglio 2016, n. 8312; in termini anche Cons. Stato, sez. VI, 7 novembre 2017, n. 5136; TAR Roma, sez. III-bis, 8 agosto 2018, n. 8902; sez. III-bis, 10 settembre 2018, n. 9224.

^[35] Cfr. Tar Lazio, sez. III bis, 10-13 settembre 2019, n. 10964. In tema, v. E. Carloni, I principi della legalità algoritmica, cit.

^[36] Così M. Bassini, O. Pollicino, Intelligenza artificiale e protezione dei dati personali, in Astrid Rassegna, 2, 2022.

^[37] Cfr., in particolare, Cons. Stato, sez. VI, 13 dicembre 2019, n. 8472. In dottrina, sul punto, v. A. Simoncini, L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, in BioLaw Journal - Rivista di BioDiritto, 1, 2019, p. 63 ss.; S. Vernile, Verso la decisione amministrativa algoritmica, in Riv. dir. media, 2, 2020, p. 137.

^[38] Conseil constitutionnel, sent. n. 2018-765 DC.

^[39] Cfr. Cort. giust., C-634/21, SCHUFA, cit. Prima di questa vicenda, non si conoscevano precedenti giudiziari da cui attingere per definire il perimetro di applicazione dell’art. 22 GDPR e, prima ancora, dell’art. 15 della Direttiva del 1995. In questo senso il caso SCHUFA, in materia di scoring creditizio, rappresenta un precedente molto rilevante, che – a parere di chi scrive – lascia molto insoddisfatto l’interprete in una prospettiva di graduale applicazione dell’intelligenza artificiale alle decisioni pubbliche. L’attore, nel caso di specie, si era visto rifiutare un prestito da un istituto di credito, e lamentava di essere stato valutato negativamente dall’agenzia di credito tedesca, SCHUFA Holding, in termini di affidabilità creditizia (questa la decisione interamente automatizzata). SCHUFA sosteneva, al contrario, di essersi limitata a trasmettere informazioni all’istituto di credito, a cui spettava il compito di prendere le decisioni se concedere o meno il credito, e rifiutava per questo di fornire informazioni all’interessato sui dati personali registrati e di cancellarne alcuni ritenuti errati. Dopo questa sentenza, tutta l’attività di credit scoring, non solo di natura bancaria, potrà basarsi sull’uso di sistemi di AI solo al ricorrere di una delle tre ipotesi di deroga al divieto di cui all’art. 22 GDPR.

^[40] Così A. Santosuosso, G. Sartor, Decidere con l’IA, cit., p. 118.

^[41] Alcuni studiosi considerano “fatti”, e non atti preparatori, le elaborazioni fornite dai sistemi di intelligenza artificiale, giungendo comunque a conclusioni non molto diverse circa la loro natura strumentale rispetto alla decisione finale. «Ove l’output algoritmico venisse considerato un mero fatto, esso sarebbe comunque determinante per le valutazioni istruttorie e se ne dovrebbe dare conto nella motivazione del provvedimento amministrativo. Per assumere la decisione l’amministrazione deve valutare il fatto: occorre distinguere il fatto com’è, o come esiste, e il fatto per quello che vale. Giudizio di esistenza è quello per l’accertamento del fatto; giudizio di valore è quello per la valutazione giuridica del fatto. Quest’ultimo giudizio è quello che particolarmente rileva in questa sede, poiché la conoscenza del fatto (output algoritmico secondo l’ipotesi seguita) non è che un mezzo per orientare la determinazione conclusiva (ex facto oritur ius)». Cfr. S. Foà, Intelligenza artificiale e cultura della trasparenza amministrativa. Dalle “scatole nere” alla “casa di vetro”? in Dir. amm., 3, 2023, p. 515 ss.

^[42] Questa impostazione sembra trovare conferma nella rubrica dell’art. 86 AI Act, che prevede il «Diritto alla spiegazione dei singoli processi decisionali», non delle risultanze algoritmiche in sé. A tal fine, la norma citata attribuisce a «Qualsiasi persona interessata oggetto di una decisione adottata dal deployer sulla base dell’output di un sistema di IA ad alto rischio […] il diritto di ottenere dal deployer spiegazioni chiare e significative sul ruolo del sistema di IA nella procedura decisionale e sui principali elementi della decisione adottata» (corsivi miei).

^[43] Come viene opportunamente sottolineato, «Se (…) si ritiene che l’IA e gli algoritmi mediante i quali opera siano un mezzo a sostegno dell’attività amministrativa, utilizzato in fase istruttoria e inidoneo a esprimere la decisione, non occorre nemmeno una fonte regolamentare che ne disciplini il ricorso, riducendosi il relativo apporto a una scelta di tipo organizzativo o di indirizzo rispetto all’attività degli uffici dell’amministrazione, ovviamente sorretta e accompagnata dall’adozione delle misure tecniche necessarie a garantirne sicurezza e affidabilità». Cfr. S. Foà, Intelligenza artificiale e cultura della trasparenza amministrativa. Dalle “scatole nere” alla “casa di vetro”? cit. pag. 515 ss. Tra i tanti Autori che hanno approfondito questo aspetto, si ricordano S. Civitarese Matteucci, «Umano troppo umano». Decisioni amministrative automatizzate e principio di legalità, in Dir. pubbl., 2019, 1, p. 12 ss.; R. Cavallo Perin, Ragionando come se la digitalizzazione fosse data, in Dir. amm., 2, 2020, p. 305 ss.

^[44] J.I. Criado, R. Sandoval-Almazán, J.R. Gil-Garcia, Artificial intelligence and public administration: Understanding actors, governance and policy from micro, meso, and macro perspectives, in Public Policy Administration, 40, 2024.

^[45] FF. Selten, B. Klievink, Organizing public sector AI adoption: Navigating between separation and integration, in Government Information Quarterly, (41), 1, 2024.

^[46] European Committee of the Regions, AI and General adoption by local and regional administrations, European Union, 2024.

^[47] European Commission, Joint Research Centre, AI Watch, Road to the adoption of artificial intelligence by the public sector: A handbook for policymakers, public administrations and relevant stakeholders (JRC129100). Luxembourg, 2022, Publications Office of the European Union, p. 13.

^[48] J. Pellegrin, L. Colnot, L. Delponte, Artificial intelligence and urban development, Research for the REGI Committee - Brussels: European Parliament, Policy Department for Structural and Cohesion Policies, 2021, p. 25.

^[49] European Commission, Directorate General for Digital Service, Public Sector Tech Watch, Mapping innovation in the EU public services: A collective effort in exploring the applications of artificial intelligence and blockchain in the public sector, Publications Office of the European Union, 2024.

^[50] Per un utile approccio di questo tipo, cfr. E. Chiti, B. Marchetti, N. Rangone, L’impiego di sistemi di intelligenza artificiale nelle pubbliche amministrazioni italiane: prove generali, in BioLaw Journal, 2, 2022, p. 490 ss.

^[51] «SAVIA è già, nei fatti, un primo rudimento di sandbox regolamentare “regolatoria” a livello locale, nel quale prodotti e servizi sono leggi regionali e relative attuazioni. Non nei termini di una AIRS, ossia di una sandbox finalizzata alla verifica della compliance di soluzioni basate sull’intelligenza artificiale, quanto uno strumento di valutazione e simulazione della qualità delle leggi, e volendo delle politiche regionali che utilizza, a tale scopo, strumenti basati sull’intelligenza artificiale». Cfr. L. Monti, Il progetto SAVIA e le Local Regulatory AI Sandbox, in questa Rivista, 2, 2025, p. 455.

^[52] Quanto qui affermato rappresenta, in realtà, una standardizzazione, espressione di una modellistica generale che non è priva di eccezioni. Possono infatti immaginarsi casi in cui le leggi e gli atti normativi in genere sono dotati di effetti diretti e immediati sulla sfera individuale: si consideri, per esempio, una semplificazione normativa che abroghi norme vigenti che hanno introdotto “affirmative actions” a tutela di diritti individuali, comportando una lesione diretta del diritto alla non discriminazione. Per una rassegna di ipotesi di questo tipo, si v. L. Megale, N. Rangone, Risks Without Rights? The EU AI Act’s Approach to AI in Law and Rule-Making, in European Journal of Risk Regulation, 2025, p. 13.

^[53] Con riferimento agli algoritmi di autoapprendimento (soprattutto se deep learning) vengono evidenziati i rischi di utilizzare questa tecnologia in ogni ambito dell’attività amministrativa, «in quanto il grado di incertezza ineliminabile che la contraddistingue è incompatibile e perfino intollerabile rispetto ai diritti fondamentali con i quali il potere amministrativo può confrontarsi». V., da ultimo, A. Tronci, Le nuove frontiere della trasparenza nell’amministrazione algoritmica, in Federalismi.it, 9, 2025, p. 167.

^[54] Il riferimento è ai cd. dati sintetici, ossia dati generati autonomamente dal sistema, letteralmente inventati, che non sono raccolti dalla realtà né sono il risultato di inferenze (predizioni) che mirano a generare dati presumibilmente reali a partire da dati reali. Questi dati possono essere usati per addestrare sistemi informatici da impiegare poi in contesti reali, e il ricorso ad essi risponde a esigenze diverse, come la scarsità di dati disponibili, il bilanciamento dei dataset, abbattimento dei costi di creazione dei dataset, esigenze sociali e giuridiche (ad es. privacy). Sul punto, cfr. A. Santosuosso, G. Sartor, Decidere con l’IA, cit., p. 87 ss.

^[55] Un recente studio ha esaminato 830 risposte a tre proposte legislative (Artificial Intelligence Act, Digital Markets Act, Digital Services Act) e, utilizzando sia un approccio lessicale che semantico, ha dimostrato la ricorrenza di errori di raggruppamento delle consultazioni da parte del legislatore europeo. La ricerca evidenzia inoltre l’opportunità di individuare una metodologia uniforme per tutte le consultazioni, in cui gli strumenti tecnologici siano impiegati in modo coerente e replicabile piuttosto che occasionalmente. Cfr. F. Di Porto, P. Fantozzi, M. Naldi, N. Rangone, Mining EU consultations through AI, in Artif. Intell. Law., 2024.

^[56] Inter-Parliamentary Union, Using generative AI in parliaments, 2024. In argomento, v. A. Santosuosso, G. Sartor, Decidere con l’IA, cit., pp. 92-93.

^[57] In argomento, v. N. Rangone, Artificial Intelligence Challenging Core State Functions. A Focus on Law-making and Rule-making, in Revista de derecho publico: Teoria y metodo, 8, 2023, p. 99.

^[58] Regole e suggerimenti per la redazione dei testi normativi per le Regioni, marzo 2024.

^[59] G. Lo Sapio, L’intelligenza artificiale generativa nella giustizia amministrativa, L’intelligenza artificiale generativa nella giustizia amministrativa: scenari, rischi e opportunità, Relazione al Congresso nazionale dei magistrati amministrativi italiani, Roma, 18 e 19 ottobre 2024, p. 14.

^[60] «AI can be considered a new tool in building an effective administrative law, by performing time-consuming tasks, increasing access to knowledge base, allowing fine-tuning interventions, both in enforcement controls and in identifying people who is eligible for support. AI is also a technological support capable of amplifying the effectiveness». Cfr. N. Rangone, Artificial Intelligence Challenging Core State Functions, cit., p. 99.

^[61] A. Innocenti, Shadow AI: cos’è e come gestire l’AI Ombra, l’Intelligenza Artificiale non ufficiale nelle aziende, in Rivista AI, 20 ottobre 2024, accessibile al sito https://www.rivista.ai/2024/10/20/shadow-ai-cose-e-come-gestire-lai-ombra-lintelligenza-artificiale-non-ufficiale-nelle-aziende.

^[62] G. Lo Sapio, L’intelligenza artificiale generativa, cit., p. 21.

^[63] F. Pasquale, New Laws of Robotics: Defending Human Expertise in the Age of AI, Harvard, The Belknap Press of Harvard Univ. Press, 2020.

^[64] Una sandbox normativa a livello locale sull’intelligenza artificiale è stata sviluppata dal Cantone di Zurigo, la Innovation Sandbox for Artificial Intelligence. Questa sandbox innovativa fornisce supporto per la compliance regolamentare in materia di intelligenza artificiale e fornitura di dati per la realizzazione di servizi basati sull’uso di modelli di intelligenza artificiale. Cfr. https://www.zh.ch/en/wirtschaft-arbeit/wirtschaftsstandort/innovation-sandbox.html.