Le politiche di Regno Unito e Stati Uniti nel campo dell’intelligenza artificiale: soft e self regulation e pubblica amministrazione / Gloria Pettinari

 PhD in Diritto amministrativo, Assegnista di ricerca presso l’Università degli Studi di Perugia

Introduzione: regolazione di principio e normazione tecnica, un quadro comparato

L’intelligenza artificiale (IA) costituisce oggi un banco di prova cruciale per la capacità degli ordinamenti giuridici di governare l’innovazione tecnologica[1], di cui si colgono le opportunità “potenziative” e i rischi per il settore pubblico[2], nel quadro delle garanzie di tutela dei diritti fondamentali e dei principi dello Stato di diritto[3].

Nei processi decisionali pubblici, l’introduzione dei sistemi di IA solleva molteplici questioni: da un lato, il potenziamento dell’azione amministrativa; dall’altro, la necessità di prevenire i rischi e i fenomeni di opacità decisionale. Per tale ragione il Regolamento UE 2024/1689 e la Raccomandazione OCSE del 2019 insistono sulla centralità del controllo da parte dell’umano agente e sulla supervisione significativa dei sistemi automatizzati[4].

La delega funzionale alle macchine, allo stato, è uno dei rischi principali su cui riflettere, un tema da affrontare definendo un quadro chiaro di responsabilità giuridiche (ad es. per la produzione, utilizzazione e sorveglianza), per evitare l’erosione del controllo umano, la disintermediazione dell’agente pubblico rispetto alle procedure di propria competenza. Infatti, «nel campo dell’IA si sta passando dalla stagione dell’automazione algoritmica a quella dell’autonomia dell’IA», ci ricorda Pollicino: si passa dagli utilizzi standardizzati a impieghi che implicano un’interazione dinamica, orientata alla generazione di contenuti non del tutto prevedibili, elaborati secondo modelli predittivi caratterizzati da variabilità (come nel caso dell’IA generativa, ad esempio ChatGPT)[5]. Ed è proprio questo – ciò che qui rileva maggiormente – a conferire agli output un potenziale di influenza sull’utenza, anche in ragione della complessità del ragionamento algoritmico e della mancanza di un controllo pieno sui contenuti generati[6].

Il quadro dei rischi messi a fuoco dall’OCSE ripreso nei principali strumenti regolativi comprende: bias algoritmici, discriminazioni automatizzate, perdita di supervisione umana e impossibilità per il cittadino di comprendere, contestare o correggere l’esito della decisione automatizzata[7]. In dottrina si pone l’accento sul rischio che l’IA riduca l’agente pubblico a “operatore terminale”[8]. Come evidenzia Sgueo, l’introduzione dell’IA nei procedimenti amministrativi solleva il rischio che il funzionario pubblico e il procedimento vengano progressivamente ridotti ad una funzione sintetica limitata a ruoli di mera validazione degli output algoritmici. A presidio di tale rischio, la trasparenza gioca un ruolo essenziale, fungendo da garanzia di legittimità procedurale[9], e così i canoni e lo “statuto” del procedimento amministrativo[10], avvalorando necessariamente la motivazione e il contraddittorio nei procedimenti in cui si utilizzano strumenti di automatizzazione[11].

Per queste ed altre ragioni connesse alla tutela dei principi costituzionali di eguaglianza ed equilibrio dei poteri[12] si pone il tema di come intervenire nella regolazione di strumenti tanto innovativi[13].

La trasparenza, sia interna che esterna, nella sua versione di accountability non si limita a garantire la consapevolezza dell’utilizzo degli strumenti di IA, ma costituisce una condizione essenziale per la governabilità del meccanismo decisionale stesso, a garanzia della “giustezza” dell’azione amministrativa, della prevedibilità, della legalità e della non discriminazione. Essa implica una responsabilità pubblica piena in capo al deployer, entità che usano e si approvvigionano sotto la propria autorità di sistemi di IA (secondo la definizione dell’AI Act europeo), intese come utilizzatrici funzionalmente responsabili dell’adozione del sistema[14]. Questa responsabilità, nell’ambito europeo, secondo quanto previsto dall’art. 29 del Regolamento UE 2024/1689, non si esaurisce nella dichiarazione di utilizzo, ma si estende all’obbligo di adottare misure organizzative e procedurali idonee a comprendere, presidiare e motivare l’output che proviene dal sistema. In tal senso, nel quadro europeo l’adozione di sistemi di IA nella pubblica amministrazione impone la centralità della motivazione, intesa esso stessa come forma di controllo e come strumento di trasparenza, tracciabilità per la difendibilità dell’azione, nel rispetto dei destinatari e dei principi del giusto procedimento[15]. Ciò dovrebbe far tendere ad un’accountability effettiva.

L’IA e la sfida regolatoria si collocano, dunque, al crocevia tra diritto, tecnica e gestione del rischio, in un contesto in cui l’equilibrio si gioca sul fronte della legittimità, a fronte di una regolazione di principi, adattativa e talvolta incerta, accomunata nei vari ordinamenti dal tentativo di orientare gli utilizzi verso un sistema presidiato dalle autorità pubbliche e anche verso finalità pubbliche e al pubblico servizio[16]. Quali siano queste finalità e con quali strategie regolatorie arrivarci pare siano gli elementi di differenziazione che emergono nei vari contesti analizzati in questo studio.

La regolazione europea dell’intelligenza artificiale (che tratteremo soprattutto qui in introduzione), prevista, come noto, nel Regolamento UE 2024/1689, si fonda su un approccio risk-based[17], che prevede obblighi graduati a seconda del livello di rischio del sistema[18]. Tale disciplina mira a garantire meccanismi di equità algoritmica, tracciabilità e giustiziabilità, stabilendo principi guida e diritti da tutelare, agendo in sinergia con altri strumenti di tutela come il Regolamento generale sulla protezione dei dati (GDPR)[19].

Da un lato, si tratta di un atto normativo vincolante, hard law; e dall’altro, esso rinvia in modo strutturale alla normazione tecnica per la definizione degli standard armonizzati e riconosce un ruolo importante ai codici di condotta – artt. 53 e 95 –, talora sviluppati attraverso meccanismi di co-regolazione tra autorità pubbliche e operatori privati[20]. Gli standard armonizzati sono redatti da organismi tecnici di rappresentanza prevalentemente privata – artt. 40-44. Il Comitato Europeo di Normazione (CEN), il Comitato Europeo di Normazione Elettrotecnica (CENELEC) e l’International Organization for Standardization (ISO) sono organismi privati di normazione tecnica, composti da rappresentanze nazionali la cui struttura è prevalentemente formata da stakeholder privati, con possibilità di partecipazione pubblica, in particolare da parte di autorità tecniche di settore[21]. Gli standard armonizzati elaborati, pur restando formalmente volontari, assumono una funzione tecnico-normativa di rilievo giuridico: una volta approvati dalla Commissione europea, il loro riferimento ufficiale è pubblicato nella Gazzetta ufficiale dell’Unione europea, e producono effetti diretti sulla conformità normativa, condizionando direttamente la compliance regolatoria dei sistemi di intelligenza artificiale, ai sensi del Regolamento UE 2024/1689[22].

Il sistema europeo è presidiato da un’articolazione multilivello di soggetti istituzionali[23], tra cui le autorità nazionali designate (art. 59), l’Ufficio per l’intelligenza artificiale della Commissione europea, AI Office, e le autorità di protezione dei dati. Insieme compongono un quadro di governance regolatoria integrata, fondato su un rilevante sforzo di cooperazione amministrativa (verticale e orizzontale). Ne risulta un modello in cui la produzione della norma di principio è affidata all’autorità pubblica e, in parte, nazionale, e la definizione dei principi operativi spetta a una dimensione terza tecnico-normativa, in cui il ruolo degli stakeholder privati risulta significativo, attraverso i processi di standardizzazione tecnica.

La fase dell’attuazione è condivisa tra soggetti pubblici e privati (a tutti i livelli: livello europeo, nazionale e transnazionale)[24], tra fornitori, utilizzatori, organismi notificanti, ecc., e, infine, la valutazione e l’audit risultano decentrati e distribuiti tra soggetti pubblici e privati. La funzione di controllo e garanzia tende invece a restare incentrata sull’autorità pubblica, che opera come perno del sistema, assumendo la responsabilità del coordinamento e della vigilanza complessiva sull’adempimento degli obblighi regolatori[25]. Quello che ne deriva è una struttura in mano pubblica, ma con ibridazioni sul versante tecnico-operativo[26]: nel complesso una transizione da cui il diritto viene plasmato all’interno di una relazione reciproca di influenza con i provider o i fornitori di mercato dell’algoritmo (per un percorso di Government as a platform, dove rilevano sia le infrastrutture che i processi, quanto il loro design, all’interno di una relazione circolare tra fornitori di sistemi e utenti pubblici[27]).

In ottica comparata, il Regno Unito e gli Stati Uniti hanno seguito un modello regolativo differente da quello europeo, ma non antitetico[28]. Entrambi hanno optato per un approccio fondato sull’adattabilità e sulla flessibilità normativa, ispirato ai principi della soft regulation, incentrato su strumenti volontari, standard tecnici (come quelli elaborati da ISO) e codici di condotta[29]. La regolazione è decentrata verso autorità settoriali nel Regno Unito e verso i livelli statali o federali negli Stati Uniti, seguendo un modello di regolazione di secondo livello privo di un corpus unitario (questo, come vedremo soprattutto in ambito statunitense).

In questo contesto, sia il Regno Unito[30] che gli Stati Uniti[31] hanno finora rinunciato ad adottare un “AI Bill” generale, preferendo un sistema basato su meccanismi di autoregolazione e responsive regulation[32], che favorisce l’adattamento e l’innovazione, compresa la sperimentazione, a fronte di obblighi giuridici minimi. I due modelli convergono sull’approccio “accelerazionista”, come sottoscritto nel Memorandum of Understanding between the Government of the United States of America and the Government of the United Kingdom of Great Britain and Northern Ireland regarding the Technology Prosperity Deal, siglato il 18 settembre 2025[33].

Al centro di tale visione vi è l’idea che trasparenza, tracciabilità e capacità amministrativa nell’utilizzo degli strumenti di intelligenza artificiale costituiscano la chiave per una gestione ottimale del rischio, come in parte in ambito europeo, ma affidata essa stessa all’autoregolazione e al mercato, in una relazione di fiducia negli attori tecnologici.

Nonostante le differenze sistemiche, i tre quadri regolatori – europeo, statunitense e britannico – convergono sulla centralità della cooperazione pubblico-privata nella definizione degli standard tecnico-operativi di gestione dell’IA. In tutti i contesti analizzati, il ruolo degli organismi di normazione e degli standard ISO è centrale e comporta, di fatto, un grado significativo di esternalizzazione della funzione regolativa.
Si dimostra che gli ordinamenti si muovono lungo un approccio adattativo e reattivo, nel quale la definizione delle condotte ritenute “buone” o conformi è in larga misura rimessa agli sviluppatori e agli attori tecnologici, che operano come co- regolatori nella sfera tecnica.
Questa dinamica evidenzia l’urgenza di rivalutare la funzione regolatoria come funzione pubblica orientata necessariamente alla protezione dei diritti fondamentali, in una tensione permanente tra agilità dell’innovazione e presidio giuridico del rischio. Emerge la centralità del rischio come categoria di governo, inteso non solo come oggetto della regolazione, ma come funzione strutturale a cui è rimesso il decision-making, sempre più nella sua dimensione pubblico- privato.

L’approccio che possiamo definire “accelerazionista” mira infatti a governare la velocità dell’innovazione tecnologica, integrando la gestione del rischio nei processi decisionali senza imporre vincoli rigidi, e soprattutto senza ostacolare lo sviluppo di strumenti tecnologici e del potere economico che ne deriva per gli attori tecnologici[34]. Anche il regolamento europeo non è del tutto estraneo a questo paradigma.
Pare che la convergenza si faccia sulla promozione di una regolazione interattiva, collaborativa e adattativa, orientata a minimizzare le barriere amministrative e ad accompagnare l’evoluzione dei sistemi, più che a precostituire regole cogenti.
In questa prospettiva, la gestione del rischio si configura come una funzione pubblica autonoma, in linea con la teoria dell’«agile government» elaborata da Fischer e Neumann[35], secondo cui le amministrazioni devono sviluppare capacità adattive multilivello – istituzionali, organizzative e operative[36] – per rispondere in modo flessibile a contesti tecnologici mutevoli.

D’ogni modo, il ricorso sistematico a strumenti non vincolanti solleva interrogativi sulla legittimazione democratica della regolazione e sul ruolo del potere pubblico garante dell’interesse generale. Come osserva Hoffmann-Riem[37], la sostituzione della norma con la procedura e della legge con lo standard tecnico può generare deficit sostanziali di tutela, di accountability e di trasparenza, compromettendo la tracciabilità delle decisioni e la possibilità di un effettivo controllo pubblico di tutto il ciclo della politica[38].

In questi termini, il testo analizza il quadro della regolazione dell’IA in ambito pubblico nel Regno Unito e negli Stati Uniti, tenendo sullo sfondo la disciplina europea, assunta quale elemento utile alla comparazione e per apprezzarne i modelli di riferimento[39].

L’articolo dedica i primi tre paragrafi alla descrizione del modello di regolazione e di gestione nel Regno Unito, due agli Stati Uniti, con uno sguardo alle principali iniziative in ambito federale, e un paragrafo conclusivo che apre anche ulteriori domande, affidate in primo luogo alla riflessione dello studioso.

La disciplina nel Regno Unito

Nel solco delle premesse appena illustrate, il confronto tra i modelli di soft regulation assume particolare rilievo nel caso del Regno Unito, dove la disciplina sull’intelligenza artificiale si configura come un esperimento di governance adattiva e multilivello, fondato sull’interazione fra autorità settoriali, standard tecnici e responsabilità condivisa.

Rispetto all’approccio dell’Unione europea, ispirato a un modello di regolazione generale, per alcuni ancorato al principio di precauzione[40] (art. 191, par. 2, TFUE)[41] o meglio parlare di proporzionalità[42], come riporta il testo del Regolamento europeo[43], il Regno Unito adotta un modello incrementale e flessibile privo di una disciplina generale. Non mancano norme di settore e tecniche di settore, incentrate su un equilibrio tra fiducia del pubblico per i sistemi di IA e il mercato ove si sviluppa[44] e l’accountability degli strumenti tecnologici, con regole di valutazione e compliance di secondo rango, basato su standard da rispettare ex ante ed ex post, che tengano direttamente conto della tutela dei diritti[45]. Il modello britannico, tuttavia[46], non è agli antipodi rispetto al modello europeo, perché attribuisce valore giuridico centrale ai diritti di protezione dei dati personali e ai principi di trasparenza, spiegabilità e contestabilità, rendendoli operativi attraverso standard, linee guida e previsioni amministrative differenziate in base al rischio, il cui controllo rimane in mano pubblica. Il rispetto dei diritti fondamentali costituisce comunque il vertice di un sistema di norme secondarie strutturate per settori e gestite da autorità indipendenti, sotto il coordinamento del Department for Science, Innovation and Technology (DSIT)[47].

In questa architettura, la centralizzazione strategica convive con una pluralità di approcci settoriali per garantire, a detta delle autorità governative, un approccio pro-innovation, nel quale la gestione del rischio è intesa come elemento abilitante, più che contenitivo, dello sviluppo tecnologico. Questo si apprende dall’analisi del National AI Strategy del 2021[48], fino all’AI Opportunities Action Plan del 2025, dai quali si evince come il Regno Unito stia progressivamente consolidando un sistema di regole e pratiche amministrative di tipo “incrementale”, in cui la sperimentazione regolatoria (sandboxes[49]) e la co-produzione delle politiche pubbliche costituiscono strumenti di governo del rischio che si vanno sommando e formalizzando nel tempo, al fine di costruire quel sistema di procedure su cui si fonda la “fiducia” accordata al settore[50]. Infatti, nell’ultimo quinquennio il Regno Unito si è consolidato come uno dei principali poli mondiali per lo sviluppo dell’IA[51], dispone del terzo più grande settore nazionale dell’IA, collocandosi dopo gli Stati Uniti e la Cina per valore economico[52]. Inoltre, secondo stime economiche citate dal Governo, entro il 2035 l’IA potrebbe contribuire con diversi punti di percentuale al PIL del Regno Unito[53].

L’approccio britannico, come sottolineato dal Department for Science, Innovation and Technology (DSIT), si fonda sull’idea che la regolazione dell’IA debba evolversi come funzione adattiva, proporzionata e multi-attore, capace di bilanciare competitività economica, tutela dei diritti e fiducia pubblica. Tale impostazione muove dalla prospettiva che l’IA possa svolgere una funzione abilitante della modernizzazione amministrativa, in grado di portare benefici ai processi decisionali pubblici, all’erogazione dei servizi e al mercato interno, da incentivare attraverso una regolazione “di qualità”, sostenuta dalla semplificazione amministrativa, che si è avvicendata, in una prima stagione, da e verso una regolazione minima.

L’introduzione degli strumenti di IA nei procedimenti pubblici, per essere legittima, deve ispirarsi ai principi di responsabilità, equità, legalità per garantire il due process e «earn and sustain public trust», quindi preservare la «democratic legitimacy» dell’amministrazione algoritmica[54]. Anche in tale contesto, trasparenza, spiegabilità[55] e contestabilità[56] sono presidi posti a garanzia del cittadino e del corretto esercizio del potere[57]. Nel 2023 la creazione del DSIT e l’adozione di un principles-based framework hanno dato forma a questa visione riponendo ai regolatori di settore[58] – tra cui Information Commissioner’s Office (ICO), Financial Conduct Authority, Medicines and Healthcare Products Regulatory Agency[59], Ofcom e Competition and Markets Authority[60] – il compito di declinare e interpretare in via operativa i cinque principi guida indicati come riferimento per la governance dell’IA in tutti i settori economici e pubblici:

1. Safety, security and robustness, volto a garantire che i sistemi di IA siano sicuri e affidabili lungo tutto il ciclo di vita;
2. Appropriate transparency and explainability, che impone la tracciabilità dei processi decisionali e la comprensibilità degli output algoritmici, soprattutto in ambito pubblico[61];
3. Fairness, intesa come prevenzione dei bias e rispetto dei principi di uguaglianza sostanziale e non discriminazione;
4. Accountability and governance, che attribuisce responsabilità chiare ai soggetti pubblici e privati coinvolti nella progettazione, nell’adozione e nella supervisione dei sistemi di IA;
5. Contestability and redress, ossia il diritto dell’utente di contestare decisioni automatizzate e di ottenere rimedi efficaci[62].

Da questi[63] strumenti di indirizzo e cooperazione interistituzionale si giunge alle specificità settoriali con strumenti di secondo livello rimessi alle varie autorità di riferimento[64].

Questa articolazione decentrata pare essere una delle strategie prescelte dal Regno Unito. Infatti, le autorità indipendenti sono tenute a riferire periodicamente sulle misure adottate per darvi attuazione – con uno sforzo di coerenza complessiva del sistema[65]. Il metodo si ispira ed esprime la logica di una soft regulation coordinata e integrata attraverso la regolazione di settore. In tale prospettiva, un ruolo rilevante è svolto dai codici di condotta e dalle policy interne delle pubbliche amministrazioni, che costituiscono strumenti operativi per tradurre i principi generali in prassi etico-amministrative concrete[66]. Il Data Ethics Framework del 2020, predisposto dal Government Digital Service e dal Central Digital and Data Office, stabilisce i principi di base per l’uso etico dei dati e dell’IA da parte degli uffici pubblici con obblighi vincolanti per i funzionari, destinato a essere recepito e implementato da ciascuna amministrazione, adattandolo al proprio contesto funzionale[67]. Esso prevede e promuove che ogni progetto di utilizzazione dell’IA sia valutato in base a tre criteri fondamentali: la proporzionalità rispetto allo scopo pubblico, la trasparenza nei confronti dei cittadini e la capacità di garantire una supervisione umana significativa in tutte le fasi del processo decisionale; prevedendo la redazione di AI use case registers[68], e un Data Protection Impact Assessment, quindi attraverso audit tecnici e anche specifici piani di formazione per i pubblici dipendenti incaricati della progettazione, implementazione e monitoraggio dei sistemi di IA[69].

A questo si affiancano gli obiettivi dell’AI Playbook for the UK Government del febbraio 2025, del Dipartimento per la scienza, l’innovazione e la tecnologia (DSIT), destinati a supportare le amministrazioni centrali e locali nella progettazione, nell’acquisizione e nell’uso dell’IA. Il Playbook contiene dieci principi di buona amministrazione algoritmica, tra cui lawfulness, accountability, intesa anche come public justification delle scelte compiute e dei rischi assunti; human oversight, bias mitigation and algorithms; transparency. A essi si accompagna un AI assurance framework che prevede strumenti di controllo e audit interno. Prevede che ogni strumento di IA sia sottoposto a una valutazione preventiva, indicandone le finalità, e a un monitoraggio ex post dei risultati, secondo la logica della continuous assurance.

Queste disposizioni sono confluite nelle linee guida Government Algorithmic Transparency Recording Standard, volto a diffondere formati uniformi di pubblicazione dei dati sui sistemi algoritmici utilizzati nel settore pubblico, sviluppati dal Centre for Data Ethics and Innovation nel 2022, che chiarisce alle amministrazioni come registrare e divulgare informazioni relative agli strumenti di IA utilizzati, come riferirsi ai dati impiegati, ai criteri decisionali e ai meccanismi di supervisione umana di ciascun sistema di IA, secondo un formato standardizzato.

L’insieme di questi strumenti delinea sì un modello di regolazione di soft law, maaltamente “proceduralizzata”, in cui la norma autoritativa è in qualche modo sostituita dalle procedure, dalla cui pubblicità se ne ricava uno strumento di garanzia per il cittadino che comprende e contesta eventualmente gli esiti dei processi decisionali automatizzati[70].

Merita attenzione l’Information Commissioner’s Office che è l’autorità indipendente responsabile della tutela dei dati personali e della trasparenza amministrativa nel Regno Unito, ai sensi del Freedom of Information Act 2000 e del Data Protection Act 2018. In tale veste, vigila sulla liceità del trattamento dei dati e sull’impiego delle decisioni automatizzate, fornendo orientamenti operativi[71]. Tra questi, la Guidance on AI and Data Protection del 2023 stabilisce di condurre una valutazione d’impatto sul trattamento dei dati, il c.d. Data Protection Impact Assessment per ogni trattamento algoritmico potenzialmente lesivo dei diritti e delle libertà fondamentali, nonché il dovere di garantire una supervisione umana significativa a presidio degli standard di tutela – meaningful human involvement – nei processi decisionali automatizzati, riprendendo e facendo riferimento all’art. 22 del UK GDPR.

La Guidance on Explaining Decisions Made with AI individua sei elementi su cui e con cui dimostrare l’utilizzo legittimo: rationale, responsibility, data, fairness, safety and performance, impact, e si è articolata su tre livelli di trasparenza: tecnica, organizzativa e comunicativa che le amministrazioni pubbliche devono attuare per motivarne l’uso, rendere comprensibili e contestabili le decisioni algoritmiche[72].

L’Office for AI confluito nel Department for Science, Innovation and Technology ha il compito di coordinare le politiche pubbliche in materia. In tale direzione, l’AI Opportunities Action Plan ha istituito la Central Function on AI Regulation, oggi riconosciuta e disciplinata dalla recente Data (Use and Access) Act 2025[73].Essa è incaricata di coordinare l’attuazione dei principi generali di regolazione dell’IA nei diversi settori pubblici, secondo un approccio che diventa trasversale; di raccogliere dati sull’adozione dei sistemi algoritmici; di assicurare la coerenza tra le autorità regolatorie settoriali; di redigere e trasmettere annualmente al Parlamento un AI Regulation Progress Report, ora previsto dalla legge[74]. Accanto a questo coordinamento verticale, il Regno Unito promuove forme di cooperazione tecnico-istituzionale orizzontale attraverso il Digital Regulation Cooperation Forum, che riunisce amministrazioni e operatori di settore. Il Forum opera come regulatory sandbox inter-agenzia, fornendo supporto tecnico all’utilizzo conforme dell’IA, e come hub di apprendimento condiviso, impegnato nella definizione di standard comuni in materia di valutazione del rischio, assicurazione dei dati e mitigazione dei bias. Questa struttura, oggi coordinata dal Central Function on AI Regulation, istituita presso il DSIT, funge da luogo di confronto che interagisce e influenza il regolatore, secondo un approccio di co-regolazione, in cui gli standard assumono ruolo di garanzia per la gestione del rischio. Quindi in linea con l’OECD Framework for the Classification of AI Systems, il modello britannico privilegia un’impostazione risk-based[75], in cui la valutazione del rischio guida la proporzionalità delle risposte ovvero l’applicazione degli strumenti sulla base dei principi generali, stabiliti anche per mezzo di questi standard tecnici, evitando un approccio omologante “one size fits all”, ma piuttosto secondo le caratteristiche tecniche dei sistemi e dei dati utilizzati, per cui si considera: impatto sociale e responsabilità pubbliche.

An AI assurance ecosystem in the UK

Il Regno Unito si orienta progressivamente verso l’istituzione di un sistema di presidio del rischio, di quasi licensing domestico, per i modelli di IA ad alto impatto, sulla base degli standard nazionali di sicurezza definiti secondo la procedura sopradetta. L’evoluzione del quadro regolatorio sull’intelligenza artificiale si caratterizza per una progressiva istituzionalizzazione delle pratiche di AI Assurance, intese come meccanismi tecnico-organizzativi volti a misurare e valutare l’affidabilità dei sistemi, secondo l’AI Opportunities Action Plan 2025, che stabilisce un “AI model licensing” volto a garantire che i modelli generativi o predittivi ad alto rischio, sviluppati dai fornitori e usati dagli enti, siano soggetti a requisiti minimi di sicurezza e controllo.
La finalità è di assicurare coerenza e trasparenza nell’intero ciclo di vita dei sistemi di IA. Non più soltanto valutazioni ex ante di rischio, ma meccanismi di attestazione e sorveglianza continua, rilasciati da autorità indipendenti o da enti accreditati secondo criteri normativi, secondo la formula: «Building government-backed high-quality assurance tools that assess whether AI systems perform as claimed and work as intended»[76].

L’assurance, in questa prospettiva, costituisce la condizione operativa per una regolazione “legittimata” dell’innovazione algoritmica, lo strumento per conciliare la libertà d’innovazione con la tutela dell’interesse generale[77]. L’AI Assurance Ecosystem basato sulle certificazioni tecniche mira ad assicurare che i public datasets siano sottoposti a rigorose norme e tecniche di affidabilità.

Avere dei data set pubblici con dati pubblici omogenei garantisce che l’interoperabilità dia i suoi frutti per l’alimentazione dei sistemi di IA. Il buon utilizzo degli strumenti di IA, a loro volta costruiti secondo standard comuni e accessibili per l’addestramento e il testing di modelli, funziona da fattore conformante a criteri di sicurezza, spiegabilità, equità e robustezza, assicurando protezioni adeguate nel trattamento di dati personali e d’interesse pubblico. In questa prospettiva, gli istituti tecnici “AI Safety Institute” e il “UK AI Standards Hub”, operanti in un contesto tecnico e pubblico-privato, svolgono un ruolo strategico nello sviluppo delle infrastrutture normative per l’Assurance, fondate su standard internazionali (ISO) che promuovono – incoraggiando, ad esempio, all’adozione di standard tecnici come: ISO/IEC 42001 (AI Management Systems), ISO/IEC 23894 (AI Risk Management), e ISO/IEC TR 24027 (Bias in AI).

A ciò si aggiunga come fattore di omogeneità la promozione di pratiche di procurement pubblico che vincolano le amministrazioni a criteri verificabili nella selezione dei sistemi di IA, con riferimento agli standard sopra richiamati[78].

Quando nacque il Government Digital Service (GDS), istituito nel 2011 presso il Cabinet Office, con il mandato di accorpare su GOV.UK l’erogazione unificata dei servizi digitali, la digitalizzazione del settore pubblico britannico era dominata da pochi grandi fornitori privati, legati all’amministrazione da maxi-contratti di outsourcing di lunga durata, che affidavano loro la gestione quasi integrale dei sistemi informativi. Da qui il problema del lock-in contrattuale: la combinazione di investimenti effettuati per l’implementazione dei sistemi, le clausole penali per recesso e le clausole di rinnovo, unita all’uso di soluzioni proprietarie e di standard tecnici ancora chiusi e di nicchia, rendeva tecnicamente arduo cambiare fornitore o riconfigurare i servizi; la debolezza delle competenze interne accentuava ulteriormente questa dipendenza. Il GDS interviene su questo assetto, frammentando la domanda pubblica in contratti più piccoli e modulari tramite il Digital Services Framework, creando con il Digital Marketplace una piattaforma unica di e-procurement che apre il mercato anche alle PMI e, soprattutto, introducendo meccanismi di spend control che subordinano le principali spese digitali all’approvazione centrale, al rispetto di standard comuni e al riuso di componenti condivise. In tal modo, lo Stato recupera capacità di scelta e di indirizzo, rende il mercato più contendibile e utilizza il procurement digitale come leva di politica pubblica: è su questa architettura – più integrata, standardizzata e meno prigioniera dei grandi system integrators – che si innestano oggi le politiche e le sperimentazioni in materia di IA nel settore pubblico, a partire dagli strumenti di IA generativa sviluppati o coordinati dal GDS[79].

Si concretizza così un sistema di valutazione ex-ante ed ex-post con regole di impact assessment e di algorithmic transparency, rese pubbliche attraverso Algorithmic Transparency Recording Standard per la documentazione e la pubblicazione dei sistemi di IA utilizzati nel settore pubblico.

Se il potere pubblico, quindi, non detiene completamente la competenza diretta nella redazione di tali standard, ne può validare il contenuto e allo stesso tempo influenzarli mediante la funzione di indirizzo, che a sua volta trova legittimità tecnica attraverso forme di co-regolazione, che si sostanziano anche nella partecipazione istituzionale ai comitati ISO/IEC. Come osservato in dottrina, si tratta di un sistema circolare; ciò pone tuttavia interrogativi sulla responsabilità democratica dei criteri adottati e sulla trasparenza del processo tecnico-decisionale, specialmente nei settori ad alto impatto sociale come il welfare, la giustizia predittiva o l’assistenza sanitaria[80].

Uno sguardo alle pratiche nel Regno Unito

L’attuazione dei principi guida per l’intelligenza artificiale nel settore pubblico britannico, a partire dall’AI Playbook for the UK Government, ha già trovato riscontro in esperienze applicative significative. Tra i casi più emblematici, tanto per l’ambito di intervento quanto per il portato regolatorio e amministrativo, si segnalano il progetto sperimentale gov.uk chat avviato nel 2024 dal Government Digital Service[81], sviluppato come interfaccia conversazionale basata su IA generativa, integrata nella piattaforma governativa per agevolare l’accesso ai servizi pubblici e destinata inizialmente a utenti business e poi estesa ad altri segmenti della cittadinanza per la ricerca di informazioni[82]. Si tratta di un’interfaccia conversazionale basata su IA generativa, integrata nella piattaforma GOV.UK. All’interno della piattaforma unificata, il sistema mira a facilitare l’accesso alle informazioni e ai servizi pubblici mediante risposte automatizzate personalizzate, riducendo il carico sui contact centre e sperimentando nuove modalità di interazione amministrativa “by default” digitale. Sin dalla fase pilota, il progetto è stato accompagnato da un approccio coerente con il Playbook, che impone trasparenza sui dati utilizzati, tracciabilità dei passaggi decisionali, sorveglianza umana continuativa e valutazioni ex ante ed ex post del bias algoritmico. È solo in questa prospettiva di forte tracciabilità procedurale che l’IA si configura come strumento di “amministrazione aumentata”[83], potenziando la funzione pubblica senza sostituirsi all’agente[84].

Questo è plastico sul versante sanitario, per cui è utile ricondursi allo studio Artificial Intelligence (AI) implementation within the NHS: The South West London AI Working Group experience che documenta l’adozione del software Annalise Enterprise CXR per il triage automatizzato nella diagnosi precoce del tumore ai polmoni[85]. Questa esperienza, realizzata da una rete di cinque ospedali del sud-ovest di Londra, ha dimostrato l’efficacia del sistema in termini di tempestività diagnostica[86], ma allo stesso tempo mette in luce diverse criticità,dovute principalmente allascarsa disponibilità di dati pubblici condivisi e alla difficoltà di valutare l’effetto da parte delle strutture sull’impatto su tempi di refertazione, impatto organizzativo e compatibilità con i diritti dei pazienti per le limitatezze e le inadeguatezze ancora diffuse all’interno delle amministrazioni. Tali lacune informano la riflessione secondo cui, anche laddove la tecnologia risulti performante, l’effettività della correttezza e delle garanzie dipende dalla qualità dei dati; quindi, dei processi e procedure e in parallelo dalla formazione del personale (data per consolidata la presenza di strumenti informatici adeguati)[87], presupponendo la disponibilità di infrastrutture informatiche adeguate. Il modello decisionale costruito dagli autori mette in luce una vera e propria «paucity of input data along the course of the diagnostic pathway», cioè la mancanza di dati strutturati e interoperabili lungo l’intero percorso diagnostico (dal rinvio in primary care, alla radiografia, fino all’avvio del trattamento), che impedisce di collegare in modo robusto il contributo dell’IA agli esiti clinici e organizzativi. In modo convergente, la valutazione dello Scottish Healthcare Technologies Group sulla sperimentazione di Annalise Enterprise CXR (strumento per la radiografia) mostra che, pur registrandosi una riduzione statisticamente significativa dei tempi tra referto radiografico e una tendenza favorevole su tempo complessivo nel rilevare la quota di tumori trattabili, tali miglioramenti non sono statisticamente significativi per il momento. Sul versante dei diritti dei pazienti, questi vuoti informativi si riflettono in un’incertezza strutturale sulla proporzionalità e sull’equità dell’impiego di tali sistemi, il che richiama il rischio che algoritmi addestrati su basi dati non rappresentative producano bias e disuguaglianze, e non accuratezza dei dati.

Un altro caso riguarda l’iniziativa dell’ICO Data Protection Sandbox con cui si è consentito al Ministero della Giustizia di sperimentare applicazioni predittive nel trattamento dei dati giudiziari, mostrando ancora rischi elevati di discrimination e la difficoltà di correggere i dataset o modelli algoritmici. Si fa notare in letteratura come solo un’équipe multidisciplinare, con la partecipazione degli sviluppatori, sia efficace per il miglioramento dei sistemi[88].

Le amministrazioni locali rappresentano un laboratorio vivo di sperimentazione. Ricerche recenti descrivono l’evoluzione verso una «algorithmic bureaucracy», in cui agenti autonomi (chatbot, middleware) e strumenti predittivi (sui minori o per l’edilizia) si integrano nei flussi decisionali. Anche l’efficacia sembra molto variabile nel territorio, laddove esistono, come in parte già detto, cattive performance, si pensi al caso rilevato dall’audit indipendente condotto dal Minderoo Centre for Technology and Democracy ha mostrato come le sperimentazioni di riconoscimento facciale in tempo reale condotte dalle forze di polizia (South Wales, Metropolitan Police) abbiano sistematicamente violato gli standard minimi etici e giuridici per assenza di criteri per la selezione dei soggetti, mancata valutazione dell’impatto sui diritti fondamentali, deficit di trasparenza e supervisione. La sentenza Bridges v. Chief Constable of South Wales Police ha dichiarato illegittimo l’uso del riconoscimento facciale in assenza di garanzie ex ante[89].

Il rapporto del Committee of Public Accounts e secondo l’Use of artificial intelligence in government del National Audit Office mette in evidenza l’elevato numero di progetti pilota in corso, il 70% degli 87 enti di governo centrale e delle relative agenzie nel 2023 risultava impegnato in progetti pilota o in attività di pianificazione dell’uso dell’IA, a fronte però di un numero ancora limitato di casi d’uso dispiegati e di un’adozione sistemica tuttora parziale. A livello locale, il quadro è altrettanto dinamico: la Local Government Association ha sviluppato un AI use case bank che censisce numerosi casi d’uso dell’IA da parte dei councils – tra cui, ad esempio, strumenti predittivi per la prevenzione dell’homelessness nel Kent, soluzioni di IA generativa per la semplificazione delle valutazioni in adult social care a Kingston, applicazioni a supporto delle decisioni di mobilità nel Lancashire – mentre il London Borough of Barnet ha registrato, nel portale nazionale di trasparenza algoritmica, l’uso del chatbot «Ami» per l’accesso ai servizi comunali, secondo lo standard di Algorithmic Transparency Recording[90]. Questo insieme di esperienze conferma l’esistenza di un laboratorio diffuso di sperimentazione, ma anche la persistenza di una forte frammentazione, di standard solo parzialmente condivisi e di difficoltà nel consolidare, a partire da tali progetti, una governance unitaria dell’IA nel settore pubblico. L’adozione sistemica dell’IA è segnata dalla frammentazione dei percorsi, dalla scarsità di dati interoperabili e dall’assenza di un’infrastruttura coerente, e infine dalla condivisione delle buone pratiche[91]. Una recente indagine condotta dall’Alan Turing Institute su 938 professionisti del settore pubblico britannico (NHS, scuole, università, servizi sociali e forze di emergenza) mostra che circa il 22% del campione utilizza sistemi di IA generativa nel proprio lavoro, con picchi di 36,4% nel comparto universitario e 30,5% nelle scuole. Nondimeno, solo il 32% dei rispondenti dichiara che nel proprio ente esistono indicazioni chiare sull’uso di tali strumenti, a conferma di una governance ancora frammentaria e di una diffusione prevalentemente “dal basso” delle pratiche d’impiego[92]. La recente istituzione dell’AI Knowledge Hub e il potenziamento dell’Incubator for AI mirano comunque a lavorare in questo senso per colmare le lacune rilevate, rafforzando il coordinamento centrale[93]. Si punta a costruire capacità diffuse di valutazione del rischio e di audit, a promuovere registri uniformi dei sistemi IA utilizzati dalle amministrazioni e a facilitare la circolazione delle esperienze tra centro e periferia.

Le scelte degli Stati Uniti: tra soft e self- regulation

Il caso dell’OBBBA rappresenta un punto di partenza per comprendere le tensioni tra deregolazione e coordinamento federale negli Stati Uniti. Nell’estate del 2025 AI moratorium è l’etichetta con cui è stata presentata, la proposta presidenziale denominata One Big Beautiful Bill Act (OBBBA)[94], volta a introdurre una moratoria decennale su nuove leggi di regolazione dell’intelligenza artificiale, estesa anche agli Stati federati. Questa iniziativa avrebbe voluto imporre una moratoria decennale sulle leggi di regolazione dell’intelligenza artificiale, vincolando non solo il Congresso, ma anche gli Stati federati, attraverso il divieto di regolazione che limitasse l’utilizzo e lo sviluppo dell’IA, con ricadute sulla sfera di competenze e di autonomia da parte degli Stati federati[95]. Il Senato con voti 99 a 1[96] ha bocciato l’emendamento. La proposta era sostenuta da alcune grandi imprese tecnologiche e associazioni d’impresa con l’argomento di evitare un mosaico di regole statali e di assicurare un quadro uniforme favorevole all’innovazione[97], che ha incontrato un’ampia resistenza bipartisan a livello federale e statale (procuratori generali di 40 Stati, organizzazioni civiche e parte dell’accademia[98]). Oltre ad aver denunciato l’eccessiva concentrazione di potere a livello federale e l’erosione dell’autonomia degli Stati, il Congresso, pare aver respinto l’assunto di fondo, in quanto in assenza di un quadro normativo federale, di una cornice giuridica unanime a favore della tutela dei diritti dei cittadini, si è creato un vuoto che tendono a colmare i singoli Stati o le Corti di giustizia. La norma approvata, epurata della moratoria[99], mantiene nel testo, nella parte che riguarda l’IA, le disposizioni di investimenti e di promozione della ricerca sull’intelligenza artificiale. Tra le iniziative finanziate, nel quadro della strategia federale sull’intelligenza artificiale, rientra il programma Transformational AI Models del Dipartimento dell’Energia, finalizzato a mobilitare l’intera rete dei laboratori nazionali statunitensi per la strutturazione, la condivisione e l’utilizzo di modelli e dati scientifici ad alta complessità.

L’investimento pubblico punta a potenziare le capacità di calcolo ad alte prestazioni (High Performance Computing) e a creare un’infrastruttura sicura per l’adozione di modelli di IA in ambiti di interesse generale, come la sicurezza, l’energia e la ricerca scientifica. Questo programma si inserisce in una più ampia strategia delineata dall’amministrazione statunitense, che identifica l’infrastruttura computazionale e la governance del dato come leve centrali per il consolidamento dell’ecosistema nazionale dell’IA, promuovendo a tali fini sinergie pubblico-privato. All’interno del più recente piano di azione americano si ribadisce il quadro di investimenti a supporto del mercato, del comparto industriale dell’IA, e in parte anche a favore del settore pubblico, poiché le infrastrutture di sicurezza sono anche ad uso pubblico e così strumenti per l’efficiente gestione dei dati pubblici[100].

Nel periodo 2023-2025 la strategia federale statunitense per l’IA ha orientato la spesa pubblica su tre direttrici[101]:

1. infrastrutture abilitanti per garantire sicurezza e competitività[102];
2. capacità nell’amministrazione, tramite linee Office of Management and Budget su governance, registri degli strumenti e gestione del rischio dei sistemi IA in uso alle agenzie,
3. accesso pubblico a compute e big data per ricerca e interesse generale – nonché sugli accordi del partenariato transatlantico con il Regno Unito sullo scambio di risorse computazionali e dataset scientifici, il Memorandum USA-UK, 18 settembre 2025, già citato in introduzione.

A partire dell’Obama Preparing for the Future of Artificial Intelligence del 2016, passando per l’American AI Initiative del 2019 del primo governo Trump, l’Executive Order (EO) 13859 e il piano di azione del 2020, all’Executive Order 14110 firmato da Biden nel 2023[103], fino all’Executive Order 14179 «Removing Barriers to American Leadership in Artificial Intelligence» del 2025 di Trump, l’obiettivo costante è stato quello di consolidare la leadership tecnologica e geopolitica degli Stati Uniti, investendo sul comparto, evitando un approccio “limitante”, anzi rafforzando la relazione pubblico-privato come strumento di sviluppo competitivo[104].

L’Executive Order 14110 di Biden[105] ha rafforzato il ruolo amministrativo[106] delle agenzie federali nella governance dell’intelligenza artificiale[107], e ha introdotto norme di valutazione del rischio, “inventari di uso” per una valutazione degli impatti basate sulla non discriminazione, al fine di mitigare gli effetti sistemici delle tecnologie automatizzate[108]. Una regolazione prevalentemente volontaria, ma che vede il coinvolgimento del potere pubblico nella formulazione dei fini dell’IA e soprattutto che voleva plasmare gli usi pubblici, limitando i rischi[109]. L’attuale approccio va in direzione opposta, cercando di mitigare il ruolo delle agenzie federali nella loro veste regolatrice, a favore della funzione autonoma di regolazione del mercato. Qui si innesta un punto cruciale: rispetto all’impianto Biden, incentrato sulla regia amministrativa delle agenzie, l’indirizzo dell’amministrazione Trump restringe la latitudine regolatoria delle autorità indipendenti, accentrando le scelte sull’esecutivo con un approccio di deregulation. Tuttavia, con l’alternanza politica, la strategia federale muta direzione ma mantiene un nucleo costante: il primato della competitività e la cooperazione pubblico-privato.

Infatti, durante il governo Biden l’Office of Management and Budget (OMB) ha emanato atti che definivano requisiti procedurali[110], in linea con gli standard individuati dal National Institute of Standards and Technology (NIST), tra cui: tracciabilità delle decisioni automatizzate, supervisione umana significativa e coinvolgimento del pubblico[111]. Il primo Executive Order di Trump, invece, volendo ridisegnare l’approccio in senso meno prudenziale[112], mira a rimuovere barriere normative, accelerare l’adozione dell’IA in settori strategici e sostenere l’infrastrutturazione, attenuando i riferimenti alla dimensione etica e di tutela dei diritti civili[113]. Rimane tuttavia in vigore, almeno in parte, la strategia di coordinamento amministrativo ereditata[114]. L’attuale disciplina amministrativa relativa al National AI Initiative Act del 2020 (15 U.S. Code 9401 ss.), affida infatti il coordinamento delle politiche al National Institute of Standards and Technology (NIST) e al National AI Initiative Office, incardinato presso l’Office of Science and Technology Policy della Casa Bianca, e dunque sotto la guida dell’Esecutivo. L’indirizzo si sposta, tuttavia, dall’enforcement regolatorio esercitato dalle agenzie al coordinamento centrale, fondato su standard tecnici e strumenti di procurement come leve di disciplina, con una conseguente riduzione dello spazio d’intervento ex ante delle autorità indipendenti, precedentemente garantito.

Il NIST e l’Office of Science and Technology Policy individuano linee di indirizzo per la ricerca, la collaborazione pubblico-privato e l’adozione di standard tecnici condivisi. La regolazione amministrativa non ha introdotto obblighi cogenti, ma ha previsto meccanismi di coordinamento, incentivazione e standardizzazione tecnica in collaborazione con enti federali e attori privati[115]. L’azione del NIST si colloca nel quadro dell’adozione di standard di normazione tecnica, in gran parte basati sugli standard ISO, a cui le agenzie federali fanno riferimento[116]. Il sistema di standardizzazione tecnica rappresenta quindi la vera infrastruttura regolatoria. Attraverso il NIST e l’ANSI, gli standard ISO diventano strumenti di governance sostanziale, soprattutto in assenza di una legge federale generale. Gli Stati Uniti, infatti, partecipano ai lavori di normazione tecnica globale attraverso l’American National Standards Institute (ANSI), che rappresenta il Paese presso l’ISO/IEC JTC 1/SC 42, il sottocomitato internazionale dedicato all’intelligenza artificiale. Il NIST non possiede diritto di voto diretto, e gli standard come criteri di gestione per l’IA entrano nel sistema giuridico attraverso norme settoriali, divenendo riferimenti contrattuali nelle gare di appalto per la selezione delle forniture, costituendo così, come altrove, strumenti tecnici chiave per la gestione dei sistemi di IA[117].

Se da un lato emerge una continuità sistemica nella governance statunitense dell’intelligenza artificiale — visibile nella centralità riconosciuta agli standard tecnici internazionali come strumenti di gestione del rischio e di compliance procedurale, pur in assenza di un impianto legislativo federale vincolante — dall’altro si evidenzia una marcata discontinuità, rappresentata dalla rinnovata centralizzazione presso gli organi governativi, in luogo dello spazio precedentemente riconosciuto alle agenzie autonome.
Come rilevato nel report del Roosevelt Institute, l’attuale orientamento normativo si caratterizza per una torsione produttivista, che ha comportato un indebolimento del ruolo delle agenzie indipendenti nella definizione dei limiti all’adozione dell’intelligenza artificiale[118].

Un’eccezione importante a questa tendenza pare essere rappresentata dal Take It Down Act del maggio 2025, prima legge federale ad affrontare l’impatto dell’IA generativa in materia di limiti ai contenuti di impatto sulla reputazione e diritti digitali[119], un esempio di regolazione settoriale, che mira a tutelare diritti fondamentali in uno specifico ambito[120]. L’enforcement è affidato alla Federal Trade Commission, che può intervenire anche in via amministrativa, e comunque sono previste sanzioni penali nei casi di diffusione o minaccia di diffusione.

L’episodio sull’OBBA, descritto in apertura di questo paragrafo, ha anche alimentato il dibattito sulla necessità di una futura legge federale organica in materia[121], ma pochi giorni dopo la firma l’amministrazione Trump ha pubblicato l’American AI Action Plan del 22 luglio 2025[122], documento strategico che ribadisce un approccio pro-innovazione, all’interno di un approccio fortemente deregolatorio[123], il che a volersi porre in contrapposizione alla strategia etico-precauzionale[124].

Come sottolineano Chiti e Marchetti, in uno dei primi scritti di comparazione tra UE e USA, la strategia americana nasce in chiave geopolitica e pro-competitiva, incentrata su investimenti strategici e sulla promozione della ricerca, secondo un approccio «hands-off»[125] che lascia ampi margini alla self- regulation del mercato[126], contrapposto all’approccio più interventista da parte pubblica nell’ambito europeo[127]. Si tratta di un sistema che potremmo considerare ibrido tra la soft regulation degli strumenti delle agenzie e del NIST per la gestione del rischio che si affianca a pratiche di Responsible AI che si vanno diffondendo tra le organizzazioni amministrative (linee, toolkit, casi d’uso) e l’autoregolazione ovvero la self-regulation di mercato e amministrazioni periferiche[128]. Ne deriva un depotenziamento funzionale delle autorità indipendenti: meno spazio a regole cogenti di agenzia, più indirizzo politico-esecutivo e standard tecnico-contrattuali come strumenti di governo dell’IA[129].

Le pratiche negli Stati federali

L’analisi empirica delle pratiche amministrative federali consente di valutare il grado di effettività e differenziazione delle strategie sopra descritte. Secondo la GAO, la Government Accountability Office, le applicazioni di IA generativa nelle agenzie federali sono passate da 32 (2023) a 282 (2024). La GAO rileva che il 61% ricade in attività mission-enabling (supporto operativo e analitico interno), il 15% nei servizi all’utenza e il 9% in ambito sanitario[130].

Gli strumenti più diffusi includono, verso l’esterno, le chatbot di assistenza e motori di screening per l’accesso a benefici. All’interno, assistenti virtuali per il personale, ovvero sistemi di trascrizione e sintesi di incontri e audizioni, applicazioni per la sintesi normativa e strumenti di supporto decisionale nei procedimenti complessi. Tra le tecnologie impiegate: modelli predittivi per la gestione del rischio operativo, analisi di grandi moli di dati amministrativi/contabili e motori di retrieval-augmented per la selezione di documenti e percorsi procedimentali[131]. Tali strumenti sono forniti da grandi imprese informatiche accreditate come contractor federali attraverso i portali di approvvigionamento pubblico[132] (es. GSA Advantage, FedRamp Authorized Providers) e sono coordinati nell’ambito di progetti interagenziali promossi dall’AI and Technology Office del Department of Energy, tra cui si segnala la piattaforma pubblica AI.gov[133]. Tuttavia, come evidenziato dal rapporto della Government Accountability Office molte agenzie non hanno ancora implementato le misure organizzative previste per i sistemi IA, né sviluppato meccanismi stabili di audit indipendente per la valutazione e il monitoraggio del rischio. Il coordinamento dovrebbe inserirsi in un circuito istituzionale che coinvolge l’Office of Management and Budget (OMB) (linee per l’uso e la governance dell’IA), la General Services Administration (GSA) (contratti e marketplaces) e il Council of the Chief AI Officers (CAIO). Dal fatto che molte agenzie non abbiano ancora implementato le misure organizzative e i meccanismi di audit indipendente per la valutazione/monitoraggio del rischio[134], ne deriva una ancora più marcata dipendenza funzionale da fornitori e dalle loro procedure, con indebolimento delle garanzie procedimentali orientate ai cittadini[135].

Un esempio recente è la chatbot “MyCity” del Comune di New York, progettata per assistere le imprese nella navigazione delle regolazioni: indagini giornalistiche hanno documentato risposte fuorvianti, fino a incoraggiare condotte contrarie a norme locali, con evidente rischio per l’affidamento dell’utente[136]. Lo strumento nasce per assistere titolari di imprese nell’interazione con i servizi in materia di regolamentazioni, ma un’indagine ha rilevato che il sistema ha fornito risposte errate, talvolta incoraggiando condotte che violano le leggi locali[137].

Tra i casi più discussi in tema di impiego di sistemi algoritmici nella pubblica amministrazione statunitense si colloca l’utilizzo del software COMPAS (Correctional Offender Management Profiling for Alternative Sanctions), sviluppato da Northpointe Inc. (oggi Equivant), nel sistema giudiziario penale di diversi Stati USA. Il programma è concepito per assistere i giudici nella valutazione del rischio di recidiva degli imputati attraverso un punteggio predittivo basato su variabili socio- demografiche e comportamentali.

L’uso di COMPAS è stato oggetto di inchiesta giornalistica condotta da ProPublica già nel 2016, la quale ha documentato un bias sistemico di natura razziale: secondo l’analisi su un campione di migliaia di casi nella contea di Broward (Florida), il sistema tendeva a sovrastimare il rischio per imputati afroamericani “falsi positivi”, generando significative distorsioni nei giudizi prognostici e potenzialmente nelle pene comminate[138]. Il tema è stato affrontato dalla Corte Suprema del Wisconsin nel noto caso State v. Loomis[139]. Il ricorrente contestava la legittimità dell’impiego di COMPAS nella determinazione della pena, eccependo la violazione del giusto processo, in ragione: dell’impossibilità di conoscere la logica decisionale del sistema, trattandosi di software proprietario, e del fatto che vi era una sovrastima di alcuni elementi in grado di generare effetti discriminatori.

La Corte non ha respinto il ricorso al prodotto, ma ha espresso importanti cautele d’uso, stabilendo che la sua applicazione deve essere accompagnata dalla supervisione umana e da avvertenze circa i limiti del sistema. Quindi la Corte ha delineato un perimetro di legittimità fondato sulla trasparenza, la conoscibilità dell’algoritmo, richiamando l’autonomia decisionale del giudice e la possibilità del contraddittorio da parte del soggetto al corrente dell’applicazione del dispositivo[140].

Un altro caso noto è quello di Clearview AI[141], l’impresa ha costruito un vasto database di immagini facciali raccolte online senza consenso, offrendone l’uso a forze di polizia e anche a soggetti privati. A seguito di contenziosi (in particolare per presunte violazioni del Biometric Information Privacy Act dell’Illinois), la società si è impegnata a non vendere il database a privati negli USA e a sospendere i servizi ad agenzie statali dell’Illinois per un quinquennio. Il 20 marzo 2025 il District Court for the Northern District of Illinois ha approvato un accordo di class action. Questi casi – dal sistema COMPAS alla controversia Clearview – mostrano la varietà delle applicazioni e la difficoltà di garantire un controllo effettivo sui processi automatizzati, specie nei settori ad alto impatto sui diritti.

In Nevada, nei procedimenti di ricorso per indennità di disoccupazione, l’uso di LLM (Large Language Model) ha ridotto l’istruttoria a un processo pre-compilato dal sistema. Si tratta di sistemi di intelligenza artificiale generativa, sviluppati da Google Public Sector, per analizzare le trascrizioni, formulare raccomandazioni ai funzionari umani. Il sistema ha consentito una drastica riduzione dei tempi di decisione, ma solleva dei dubbi circa l’effettività del controllo umano, che pare assumere di fatto la funzione di validatore passivo[142].

Questi casi[143] pongono interrogativi rilevanti[144]: quali garanzie per i cittadini e per il due process? Le amministrazioni sono in grado, hanno competenze per presidiare l’utilizzo degli strumenti di IA[145]? In assenza di una legge organica, tali risposte dipendono dalla discrezionalità amministrativa e dagli assetti settoriali applicabili?

Oltre quaranta Stati hanno adottato o avanzato proposte normative in materia di IA, talvolta con scopo settoriale, talaltra con ambizioni più ampie[146], che oscillano tra approcci settoriali e regolazioni di carattere generale. Le finalità perseguite sono molteplici, ma si concentrano principalmente sulla tutela contro la discriminazione algoritmica, la trasparenza dei sistemi, la tracciabilità decisionale e la protezione dei diritti procedurali. È in questo contesto che si collocano discipline giuridicamente dense come il Colorado Artificial Intelligence Act 2024, la Texas Responsible Artificial Intelligence Governance Act del 2025 (H.B. No. 149) – che entreranno in gran parte in vigore nel 2026 –, e le proposte californiane attualmente in discussione, che introducono obblighi cogenti, meccanismi di enforcement e presidi di responsabilità. Il Colorado ha approvato la legge che impone obblighi a carico dei soggetti che sviluppano o impiegano sistemi di intelligenza artificiale ad alto rischio, imponendo valutazioni d’impatto, programmi documentati di gestione del rischio, revisioni periodiche e obblighi di comunicazione nei confronti degli utenti. La governance del sistema è affidata all’Attorney General, cui spettano sia il potere di enforcement sia la facoltà di adottare atti regolamentari. Il modello prescelto combina precauzione e responsabilizzazione, ma si fonda anche su un principio di c.d. ragionevolezza procedurale, anche qui gli operatori possono avvalersi di una presunzione di correttezza qualora dimostrino di aver rispettato standard tecnici riconosciuti, come quelli prodotti da ISO o NIST[147].

In Texas, la legge approvata nel 2025 introduce un orientamento alla protezione dei dati biometrici, istituisce un AI Council e dà poteri sanzionatori in capo all’Attorney General[148].

La California ha una serie di proposte legislative attualmente in discussione che prevedono obblighi di valutazione del rischio, codici etici per i fornitori di servizi digitali, audit indipendenti e distinzioni tra responsabilità del fornitore e dell’utilizzatore. L’impianto si avvicina, per struttura e finalità, a quello europeo. Altri Stati, come Illinois, New York, Vermont e Maryland, hanno optato per regolazioni settoriali con limitazioni indirette all’uso di sistemi automatizzati e obblighi di revisione umana[149].

Considerazioni conclusive: per lo stato di diritto

Le analisi condotte nei paragrafi precedenti consentono ora di trarre alcune considerazioni di sintesi sul rapporto tra soft e self-regulation e sui modelli di governo dell’IA nei due ordinamenti. Quanto emerso dall’analisi delinea un quadro ibrido, in cui prevale un sistema di soft regulation, con ampi spazi alla self regulation, affidata tanto alle imprese quanto a codici e linee guida delle autorità pubbliche[150]. Come osservato, si assiste a una trasformazione dell’accountability pubblica, che dalla relazione bilaterale amministrazione-cittadino si muove verso reti di responsabilità condivise[151], ma non sempre definite con chiarezza[152]. Se molti studi evidenziano debolezze nell’uso degli strumenti, specie quanto alla responsabilità per errori algoritmici e alla tutela dell’interesse pubblico, la molteplicità delle esperienze mostra che, in assenza di uno statuto unitario, la disciplina dell’IA nella p.a., nei due contesti e soprattutto in quello statunitense, procede per sedimentazione discontinua di pratiche, norme e contenziosi. La sfida è ricondurre a sistema esperienze divergenti.

Negli Stati Uniti prevale una regolazione pragmatica, multilivello e frammentaria, in cui la forza normativa si trasferisce dai testi di legge agli standard tecnici e ai contratti pubblici. La forza omologante risiede nei protocolli, negli standard tecnici e nelle clausole contrattuali, più che nelle norme generali e fonti provenienti da autorità di regolazione pubblica.

Non mancano investimenti a favore dell’ecosistema industriale e in maniera indiretta e diretta al sistema pubblico, in un approccio che privilegia l’innovazione, la sperimentazione rispetto al principio di precauzione; tuttavia, non è del tutto sguarnita di coordinamento: già l’EO 14110 del 2023 ha attivato un programma ampio su sicurezza, testing e cooperazione inter-agenzia; ha inoltre promosso la creazione del National AI Safety Institute e l’avvio di progetti pilota. Sul versante organizzativo, il memorandum OMB M2410 stabilisce la designazione del Chief AI Officer, la predisposizione pubblica di piani di conformità e pratiche minime per gli usi dell’IA impattanti su sicurezza e diritti. Queste misure si appoggiano a standard tecnici federali – in primis il NIST AI Risk Management Framework. Si traducono in protocolli di controllo di gestione e raccomandazioni operative per procurement e delivery nella p.a. Sono fornite anche dall’AI Guide for Government, che traduce principi e framework in attività e checklist per gli enti pubblici.

D’altro canto, nel Regno Unito, l’opzione valorizza ancora di più l’organizzazione amministrativa e regolatoria di settore: il Data Ethics Framework costituisce il baricentro operativo per le amministrazioni centrali e locali che declina principi (lawfulness, accountability, human oversight, bias mitigation, transparency) e requisitiex ante ed ex post, all’interno di un sistema di continuous assurance lungo tutto il ciclo di vita degli strumenti di IA. A ciò si affiancano gli Algorithmic Transparency Recording Standard (ATRS), che impongono formati uniformi per pubblicare finalità, dati, criteri decisionali e meccanismi di supervisione dei sistemi usati dagli uffici pubblici. Inoltre, però l’azione delle autorità amministrative è dirimente; l’azione dell’ICO (DPA 2018/UK GDPR) consolida il presidio sulla riservatezza e sul human involvement nelle decisioni automatizzate, rafforzando la trasparenza e i diritti di spiegazione e contestabilità (art. 22 del GDPR/UK). Il Regno Unito si muove con una guida amministrativa che appare salda e consapevole – in assenza di un atto legislativo generale sull’IA, ma con alcune discipline a presidio della tutela dei diritti fondamentali che tengono anche conto delle procedure automatizzate e autonome – facendo leva su strumenti amministrativi che vincolano la PA.

Su scala transatlantica, gli accordi del 2025 tra UK e USA indicano una convergenza strategica su compute, dataset, sicurezza e Assurance come infrastrutture abilitanti, segnalando che cooperazione e investimenti sono componenti integrali della governance dell’IA anche per gli usi pubblici.

Si assiste, tuttavia, come in ambito europeo, prevalentemente a un uso pubblico di strumenti del mercato secondo la logica dell’outsourcing, ovvero una modalità per cui la pubblica amministrazione si approvvigiona di tecnologie sviluppate strutturalmente al di fuori dei propri “confini”. Ponti sottolinea come questo rifletta l’imposizione di una logica neoliberale in cui il settore pubblico si spoglia progressivamente di competenze e strutture operative per affidarsi stabilmente al mercato che in ragione dell’asimmetria informativa (tra fornitore e utilizzatore) porta strutturalmente a dipendere da attori privati[153].

La comparazione suggerisce che hard law, soft law e self- regolation non sono sempre alternative ma strati di un’unica architettura. L’AI Act europeo – pur rimanendo hard law – istituzionalizza la normazione tecnica e codici di condotta interni, che consentono l’armonizzazione delle pratiche; ciò genera un’ibridazione tra legalità e tecnica eterodiretta[154].

Tuttavia, soft e self regulation mostrano argini più deboli rispetto alla dipendenza da standard tecnico procedurali del sistema presidiato dalla legge. Questo è, forse, il nodo più delicato dell’intera comparazione: la sostituzione della norma con il codice tecnico e il rischio di una progressiva «amministrazione sintetica». Su tutti il limite è quello della dipendenza da architetture cognitive esterne e il rischio di un’amministrazione che presidia solo segmenti del processo, con deflazione del controllo democratico, un’amministrazione che non giunge a governare l’intero processo e procedimento ma che spesso si limita a azioni parziali[155]. Per questo emerge la differenza dell’approccio trasversale europeo e alcuni semi britannici che vanno in questo senso[156]. La letteratura ricorda che il codice non è legge e che occorrono dispositivi regolatori di legittimazione democratica e meccanismi di sostanziale controllo pubblico, oltre alla sola compliance tecnica, specie dinanzi a sistemi molto complessi di impatto sui diritti[157].

USA e UK investono in capacità abilitanti (compute, dati, standard, Assurance) a sostegno anche della p.a. all’interno di un pluralismo procedurale più o meno governato dalle autorità pubbliche, tuttavia, la necessità del governo algoritmico si fa urgente in ragione della crescita esponenziale di un diritto esterno e sradicato, anche se razionalizzante e regolatorio, dall’ancoraggio costituzionale diretto[158], soprattutto dove i presidi democratici della buona amministrazione e delle tutele dei diritti paiono un freno all’innovazione[159]. Le sfide sono molte, trovare un equilibrio tra necessità potenziartici e di preservazione dello stato di diritto è la più importante tra queste[160]. In definitiva, il governo dell’intelligenza artificiale impone di ripensare la relazione tra diritto e tecnica: solo un equilibrio tra innovazione e garanzia può preservare la funzione pubblica nella sua essenza costituzionale.

Note

^[1] Sul tema oramai vi sono molti contributi, a titolo esemplificativo s.v. L. Torchia, Lo Stato digitale. Una introduzione. Bologna, Il Mulino, 2023.M. Falcone, E. Pili (a cura di), L’irriducibile umano, Etica e diritto delle intelligenze artificiali, Bologna, Il Mulino, 2025. E. Carloni, Dalla legalità algoritmica alla legalità (dell’amministrazione) artificiale. Premesse ad uno studio, in Rivista italiana di informatica e diritto, 2/2024; G. Sgueo, La funzione pubblica sintetica. Tre domande su intelligenza artificiale generativa e pubblica amministrazione, in Rivista trimestrale di diritto pubblico, 4/2024.

^[2] S.v. R. Cavallo Perin D.-U. Galetta (a cura di) Diritto dell’amministrazione pubblica digitale, Torino, Giappichelli, 2020 e R. Cavallo Perin, Roberto, e Claudia Jacod.I servizi pubblici con intelligenza artificiale, in Diritto dell’amministrazione pubblica digitale, di R. Cavallo Perin e D.-U. Galetta (a cura di), Torino, Giappichelli, 2025.

^[3] S.v. ocse, Organizzazione per la Sicurezza e la Cooperazione, Recommendation of the Council on Artificial Intelligence, OECD, 0449, 2019 – aggiornato nel 2024, pubblicato nel 2025. Su questo concordano tutte le strategie nazionali attenzionate ai fini del presente contributo, come nel caso europeo, Commissione europea, Making Europe an AI Continent. AI Action Plan 2025, Bruxelles, 2025; in USA, Executive Office of the President of the United States, America’s AI Action Plan, Washington D.C., 2025; in UK Government, Department for Science, Innovation and Technology, UK AI Opportunities: Action Plan 2025, Londra, 2025; e a livello nazionale Agenzia per l’Italia Digitale, Linee guida per l’adozione dell’intelligenza artificiale nella Pubblica Amministrazione, Roma, 2022.

^[4] Così, ocse, Recommendation of the Council on Artificial Intelligence, OECD, 0449, 2019 (aggiornato nel 2024, pubblicato nel 2025), Principles 1.2 e 1.3. Regolamento UE 2024/1689, considerando 5 e 47, artt. 9 e 14.

^[5] S.v. O. Pollicino, Costituzionalismo digitale. Pensare le democrazie al tempo dell’IA, Bologna, Il Mulino, 2025, p. 69.

^[6] Questo senso sembra coglierlo anche la definizione della Federal Trade Commission, FTC Authorizes Compulsory Process for AI-related Products and Services, 21 novembre 2023.

^[7] ocse, Framework for the Classification of AI Systems, OECD, 2022. Per una lettura giuridica sulle forme elettroniche del procedimento s.v. A.G. Orofino, Forme elettroniche e procedimenti amministrativi, Bari, Cacucci, 2008. L’A. sottolinea come l’automazione delle procedure non possa legittimare l’erosione del principio di legalità, motivazione e partecipazione, e propone una lettura “sostanzialista” del procedimento, anche digitale.

^[8] Cfr. G. Sgueo, La funzione pubblica sintetica. Tre domande su intelligenza artificiale generativa e pubblica amministrazione, in Rivista trimestrale di diritto pubblico, 4/2024.

^[9] S.v. S. Grimmelikhuijsen, A. Meijer, Legitimacy of Algorithmic Decision-Making: Six Threats and the Need for a Calibrated Institutional Response, Perspectives on Public Management and Governance, 5/2022, pp. 232–242.

^[10] S.v. E. Carloni, La regolazione dell’intelligenza artificiale tra giudice e legislatore: notazioni a margine dell’art. 30 del d.lgs. n. 36 del 2023, in A. Lalli (a cura di), La regolazione pubblica delle tecnologie digitali e dell’intelligenza artificiale, cit., pp. 65 ss.

^[11] Cfr. Regolamento UE 2024/1689, artt. 14 e consid. 47; E. Carloni, Critica dell’amministrazione artificiale, Bologna, Il Mulino, in pubblicazione; R. Dagostino, La funzione di regolazione in transizione per la governance di rischi sistemici immanenti, in Persona e Amministrazione, 2/2024, p. 4 e ss.; M. Macchia, La funzione europea di regolazione, in Persona e Amministrazione, 2/2024, p. 173 e ss.

^[12] Si rinvia a O. Pollicino, Di cosa parliamo quando parliamo di costituzionalismo digitale?, in Quaderni costituzionali, 3/2023, pp. 569 e ss.

^[13] A. Alsharani, Artificial Intelligence and Decision-Making in Government: A Global Perspective, IGI Global, 2024; T. Vogl, Smart Technology and the Emergence of Algorithmic Bureaucracy: Artificial Intelligence in Public Organizations, Public Administration Review, 6, 2020.

^[14] s.v. B. Ponti, Il fornitore dell’algoritmo quale soggetto estraneo all’amministrazione, in Rivista italiana di informatica e diritto, 2/2024.

^[15] Cfr. Regolamento UE 2024/1689, artt. 13, 29 e 52; GDPR, art. 22 e consid. 71; L. n. 132/2025, artt. 3, 5 e 7; R. Dagostino, La regolazione giuridica del rischio, in Persona e Amministrazione, 2025, p. 4 ss.; G. Angelini, La regolazione degli attori digitali tra conformazione ai diritti fondamentali e preservazione della struttura concorrenziale dei mercati, in Persona e Amministrazione, 2/2024; E. Carloni, Critica dell’amministrazione artificiale, Bologna, Il Mulino, in pubblicazione.

^[16] A. Averardi, A. Natalini (a cura di), Per una prima lettura comparata s.v. Le politiche pubbliche per l’innovazione tecnologica, IRPA Working Paper – Policy Papers Series No. 2/2021.

^[17] S.v. B. Boschetti, N. Berti, A. Lalli (a cura di), La regolazione pubblica delle tecnologie digitali e dell’intelligenza artificiale, Torino, Giappichelli, 2024, p. 15 e ss.

^[18] Cfr. D. Krause, Implications of the EU AI Act for U.S. Regulatory Strategy and Corporate Risk Management, Available at SSRN, 2025.

^[19] Un sistema che pone al centro la tenuta delle garanzie, sul punto s.v. G. Gardini, L’uso preparatorio dell’AI come limite agli eccessi regolativi. Per una valutazione “in concreto” dell’intelligenza artificiale applicata all’agire pubblico, in questa Rivista, n. 2/2025; M. C. Pollicino, Gli effetti della “sommatoria” tra il GDPR e il nuovo Regolamento sulle intelligenze artificiali nell’ambito dell’attività amministrativa, in Rivista Italiana di Informatica e diritto (RIID), 1/2025, nello stesso fascicolo E. Cirone, Gli spazi di sperimentazione normativa nell’Unione europea: regolamentare l’innovazione tra principi e prassi applicative, in RIID, 1/2025, pp. 257 e ss. Per una ricostruzione critica si rinvia a N. A. Smuha (Edited by), Law, Ethics and Policy of Artificial Intelligence, Cambridge University Press, 2025; e, tra gli altri, s.v. E. Carloni, Dalla legalità algoritmica alla legalità (dell’amministrazione), in Rivista italiana di informatica e diritto, 1/2024, F. Ferri, L’Unione europea e la nuova disciplina sull’intelligenza artificiale: questioni e prospettive, in Quaderni AISDUE, fasc. spec. n. 2/2024.

^[20] S.v. P. Inturri, Intelligenza artificiale e soft law. Il ruolo dei codici di comportamento nell’Artificial Intelligence Act, in Nuove Autonomie, 1/2025.

^[21] Sul modello di co-regolazione europeo, fondato su principi generali fissati dal legislatore e su standard tecnici elaborati dagli operatori, s. v. F. Di Porto, M. Zuppetta, Co-Regulating Algorithmic Disclosure for Digital Platforms, in Policy and Society, 40 (1), 2020,  che sottolineano lo spazio lasciato alla co-regolazione e autoregolazione privata in ambito UE, sebbene entro cornici procedurali formalizzate.

^[22] Cfr. Regolamento UE n. 1025/2012, artt. 2, 10 e 11; Regolamento UE 2024/1689, artt. 40-44. Gli organismi europei di normazione CEN, CENELEC e l’ISO elaborano standard armonizzati su mandato della Commissione europea; tali standard, se ritenuti conformi, sono approvati tramite atto di esecuzione e il loro riferimento è pubblicato nella Gazzetta ufficiale dell’Unione europea, conferendo loro valore giuridico in termini di presunzione di conformità alle norme dell’AI Act. Sul punto si consideri anche i rilievi critici di S. Del Gatto, Potere algoritmico, digital welfare state e garanzie per gli amministrati. I nodi ancora da sciogliere, in Rivista italiana di diritto pubblico comunitario, 6/2020, che affronta in chiave critica i processi decisionali opachi legati all’adozione di standard tecnologici, in particolare nel welfare digitale. L’autrice mostra come gli standard tecnici (inclusi quelli ISO) determinino l’organizzazione delle scelte pubbliche, senza che vi sia un effettivo controllo democratico. Inoltre, si consideri A. Simoncini, La co-regolazione delle piattaforme digitali, in Rivista trimestrale di diritto pubblico, 4/2022 secondo il quale il rischio è che la self-regulation finisca per essere una sorta di mera devoluzione di potestà normative ai nuovi “poteri privati” con una rinuncia alla funzione ordinante propria delle organizzazioni pubbliche statali (o sovra-statali), secondo il paradigma del c.d. «New Legislative Framework” che occorre per «l’accreditamento, la vigilanza e la commercializzazione di prodotti» (nota 43). Inoltre, s.v. G. Angelini, La regolazione degli attori digitali tra conformazione ai diritti fondamentali e preservazione della struttura concorrenziale dei mercati, in Persona e Amministrazione, 2/2024, secondo l’A. si scorge il rischio di «sovranità digitale» privata, e viene fortemente criticata l’idea che la normazione tecnica possa surrogare le responsabilità pubbliche; P. Cantarelli, et al. Information Use in Public Administration and Policy Decision-Making: A Review of the Literature, Public Administration Review, 1/2023.

^[23] Cfr. J. Ignacio Criado, Rodrigo Sandoval-Almazán e J. Ramón Gil-García, Artificial intelligence and public administration: Understanding actors, governance, and policy from micro, meso, and macro perspectives, in Public Policy and Administration, vol. 40, n. 2, 2025, pp. 173–184.

^[24] Per una lettura del regolamento europeo, tra gli altri, di recente s.v. G. Gardini, L’uso preparatorio dell’AI come limite agli eccessi regolativi. Per una valutazione “in concreto” dell’intelligenza artificiale applicata all’agire pubblico, in questa Rivista, n. 2/2025, M. Orofino, Obiettivi, ambito di applicazione e principi fondamentali dell’AI Act, in M. Pizzetti (a cura di) La regolazione europea dell’intelligenza artificiale nella società digitale, Torino, Giappichelli, 2025, p. 33 e ss.

^[25] Cfr. A. Macchia, La funzione europea di regolazione, in Persona e Amministrazione, op. cit., p. 205 e ss, s.v. anche G. Gardini, L’uso preparatorio dell’AI come limite agli eccessi regolativi, op. cit., E. Cirone, Gli spazi di sperimentazione normativa nell’Unione europea: regolamentare l’innovazione tra principi e prassi applicative, op. cit., G. Angelini, La regolazione degli attori digitali tra conformazione ai diritti fondamentali e preservazione della struttura concorrenziale dei mercati, op. cit.

^[26] Cfr. A. Macchia, La funzione europea di regolazione, op. cit., p. 174 e ss.

^[27] Cfr. B. Boschetti, La transizione della pubblica amministrazione verso il modello Government as a platform, in A. Lalli, La pubblica amministrazione nell’era digitale, Torino, Giappichelli, 2022.

^[28] Nell’ambito della nostra analisi la distinzione tra hard law e soft law dinanzi alle tecnologie digitali non individua più una dicotomia rigida, s.v. W. Buczynski, F. Steffek, F. Cuzzolin, M. Jamnik, B.J. Sahakian, Hard Law and Soft Law Regulations of Artificial Intelligence in Investment Management, Cambridge Yearbook of European Legal Studies, 24/2022, pp. 262–293.

^[29] Si rinvia a J. Black, Decentring Regulation: Understanding the Role of Regulation and Self-Regulation in a Post-Regulatory World, in Current Legal Problems, 54, 1/2001.

^[30] Nel Regno Unito il governo ha abbandonato l’idea nel 2023, optando per il White Paper on a Pro-Innovation Approach to AI Regulation, AI regulation: a pro-innovation approach - GOV.UK.

^[31] Negli USA si è abbandonata l’idea di un AI Act federale, nonostante vari progetti, e i primi tentativi unitari contenuti nell’Executive Order (EO) 14110 «Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence» del Presidente J. Biden revocato con l’EO 14110 nell’ambito delle Initial Recissions del gennaio 2025 dall’amministrazione presieduta da D. Trump «Removing Barriers to American Leadership in Artificial Intelligence», firmato il 23 gennaio 2025, Removing Barriers to American Leadership in Artificial Intelligence – The White House.

^[32] L’autorità pubblica non impone regole rigide ex ante, ma reagisce e adatta gli interventi in base al comportamento degli attori regolati. Sul concetto I. Ayres, J. Braithwaite, Responsive Regulation: Transcending the Deregulation Debate, Oxford University Press, Oxford 1992.

^[33] Il Memorandum prevede investimenti comuni in infrastrutture e ricerca e stimola la ricerca di normative tecniche condivise per definire standard appropriati ai principi democratici, consultabile al seguente link: Memorandum of Understanding Between the Government of The United States of America and the Government of The United Kingdom of Great Britain and Northern Ireland Regarding the Technology Prosperity Deal – The White House.

^[34] E. Carloni, Intelligenza artificiale e regolazione pubblica, in corso di pubblicazione, il Mulino, in press: definisce tale assetto come una “regolazione che accelera”, ovvero un modello in cui la norma non si oppone ma si conforma alla velocità dell’innovazione, cercando di “non ostacolare” gli sviluppi tecnologici, pur continuando a rivendicare un ruolo regolativo del pubblico anche nel caso del contesto italiano e della recenteLegge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale.

^[35] S. Fischer, O. Neumann, Towards a Multi-Level Understanding of Agile in Government: Macro, Meso and Micro Perspectives, in Government Information Quarterly, 29(2)/2024; ID, Introduction to the Special Issue: Agile Government, in Information Polity, 29/2024.

^[36] Gli autori propongono un modello multilivello dell’agilità pubblica, in cui la gestione del rischio e l’adattamento sono distribuiti su scala istituzionale, organizzativa e individuale, coerenti con tecnologie, strutture e capacità dei funzionari pubblici dati. I tre livelli sono interdipendenti e reciprocamente influenti. Un’organizzazione agile a livello meso non può emergere senza competenze e atteggiamenti agili a livello micro, senza un contesto istituzionale favorevole (macro).

^[37] Sui rischi derivanti dalla sostituzione della norma giuridica con standard procedurali e linee guida tecniche, e sulla necessità di rafforzare le garanzie pubbliche per assicurare trasparenza e accountability, si veda W. Hoffmann-Riem, Artificial Intelligence as a Challenge for Law and Regulation, in T. Wischmeyer, T. Rademacher (eds), Regulating Artificial Intelligence, Springer, Cham, 2020, p. 1 e ss.

^[38] S.v. N.A. Smuha (ed), The Cambridge Handbook of the Law, Ethics and Policy of Artificial Intelligence, Cambridge University Press, 2025.

^[39] S.v. V. Buryaga, V. Djuzhoma, E. Artemenko, Shaping Artificial Intelligence Regulatory Model: International and Domestic Experience, in Legal Issues in the Digital Age, 6(2)/2025, p. 50 e ss.

^[40] Cfr. V. O. Buryaga, V. V. Djuzhoma, E. A. Artemenko, Shaping Artificial Intelligence Regulatory Model: International and Domestic Experience, Legal Issues in the Digital Age, Vol. 6, 2/2025.

^[41] Sul punto si ricorda che l’art. 5 del Regolamento elenca tassativamente i sistemi di IA vietati in quanto comportano un rischio inaccettabile per i diritti fondamentali e per la dignità umana.
Il divieto è assoluto e immediato: tali sistemi non possono essere immessi sul mercato, messi in servizio né utilizzati nell’Unione. Cfr. A. A. Gikay, Risks, innovation, and adaptability in the UK’s incrementalism versus the European Union’s comprehensive artificial intelligence regulation, in International Journal of Law and Information Technology, 32/2024, s.v. M. C. Pollicino, Gli effetti della “sommatoria” tra il GDPR e il nuovo Regolamento sulle intelligenze artificiali nell’ambito dell’attività amministrativa, op. cit. e R. BRIGHI, Cybersicurezza, ISO e intelligenza artificiale. Modelli di regolazione tra standard internazionali e governance pubblica. Roma Tre Press, 2025.

^[42] Intesa come proporzionalità al rischio (graduazione degli obblighi in base ai livelli di rischio).

^[43] Art. 4 «Certificati», Reg. UE. 1689/2024.

^[44] In questo senso si muovono gli obblighi di transparency and explainability, come ampiamente dichiarato in molti documenti strategici, s.v. Department for Science, Innovation and Technology, policy paper, Implementing the UK’s AI regulatory principles: initial guidance for regulators, 6 February 2024.

^[45] Come spiegato di seguito, s.v. anche par. 2.2. di questo testo.

^[46] Sulla necessità di avere una disciplina unitaria G. Reusken, Striking a Balance: UK’s Pro-Innovation Approach to AI Governance in Light of EU Adequacy and the Brussels Effect, in AIRe, 1/2024, pp. 155–159.

^[47] Il Regno Unito, pur senza un AI Act generale, inserisce, in parte, tutele simili a quelle europee con strumenti che riflettono un “accordarsi” degli enti e le amministrazioni pubbliche.

^[48] Questo rappresenta la prima cornice strategica nazionale di lungo periodo e individua tre obiettivi generali che ne delineano la struttura sistemica: (1) investire nell’ecosistema di ricerca, sviluppo e innovazione; (2) garantire che l’IA produca benefici diffusi in tutti i settori e regioni del Regno Unito; (3) assicurare un governo efficace dell’IA, fondato su un approccio etico e responsabile. Il documento del 2021 si muove in continuità con il AI Sector Deal del 2018, ma amplia l’orizzonte da una politica industriale a una strategia nazionale di governance tecnologica, riconoscendo l’IA orientata a creare le condizioni per lo sviluppo di competenze, infrastrutture di calcolo, dataset pubblici di qualità e standard condivisi, con un ruolo centrale della pubblica amministrazione come soggetto fruitore e abilitante.

^[49] Pe un’analisi sul tema si veda in questo fascicolo di Istituzioni del federalismo, il contributo di A. Cerrillo. Il Regno Unito è stato il primo Paese europeo a introdurre una regulatory sandbox, con la Financial Conduct Authority (FCA) nel 2016. Tale modello ha permesso alle imprese fintech di sviluppare e testare applicazioni di IA in un ambiente regolatorio protetto, sotto la supervisione diretta dell’autorità, senza esporsi agli oneri di conformità del mercato.
La logica è quella della “supervisione partecipata”: l’autorità partecipa al processo di apprendimento, raccogliendo informazioni, elaborando guidance e aggiornando le regole in base ai risultati dei test. Un elemento caratterizzante del modello britannico è la delimitazione del perimetro di sperimentazione. Le sandbox non sospendono né derogano alle garanzie fondamentali, in particolare ai diritti alla privacy, alla non discriminazione e alla tutela giurisdizionale, ma consentono un’applicazione flessibile e proporzionata delle regole esistenti.
Come sottolineato nella Guidance on AI and Data Protection dell’ICO, la partecipazione a una sandbox non esonera i soggetti pubblici o privati dal rispetto del Data Protection Act 2018 e dell’art. 22 UK GDPR sulle decisioni automatizzate: la sperimentazione deve avvenire «within the boundaries of data protection and human rights law».

^[50] L’adesione del Regno Unito ai principi del Hiroshima AI Process e la partecipazione al Council of Europe Convention on AI and Human Rights, Democracy and the Rule of Law rafforzano ulteriormente la vocazione del Paese a un modello di regolazione multilivello fondato su responsabilità, accountability e fiducia pubblica.

^[51] Nella prospettiva di fare del Paese una «global AI superpower» entro il prossimo decennio.

^[52] M. Szczepański, G.L. Killmayer, The United Kingdom and Artificial Intelligence, in European Parliamentary Research Service (EPRS), PE 762.285, April 2024. S.v. anche The Global AI Index.

^[53] Si parla recentemente di circa il 3% reale del GDP. S.v. Government Office for Science, Research and analysis, The wider economic impacts of emerging technologies in the UK, The wider economic impacts of emerging technologies in the UK (HTML) - GOV.UK; Department for Science, Innovation and Technology, Artificial Intelligence Sector Study 2024, 2025, Artificial Intelligence sector study 2024 - GOV.UK.

^[54] Department for Science, Innovation and Technology, AI Opportunities Action Plan, 2025, p. 7, s.v. anche AI Playbook for the UK Government, 2025 e Data Ethics Framework, 2020.

^[55] ICO, Explaining decisions made with AI, 2022,Explaining decisions made with AI | ICO.

^[56] Cfr. S. Landau, J. X. Dempsey, E. Kamar, S. M. Bellovin, R. Pool Robert, Challenging the Machine: Contestability in Government AI Systems. arXiv, 2024.

^[57] S.v. C. Cath, S. Wachter, B. Mittelstadt, M. Taddeo e L. Floridi, et al. Artificial Intelligence and the ‘Good Society’: the US, EU, and UK approach, Sci Eng Ethics, 24/2018, pp. 505–528.

^[58] T. Vogl, C. Seidelin, B. Ganesh, J. Bright, Smart Technology and the Emergence of Algorithmic Bureaucracy: Artificial Intelligence in UK Local Authorities, in Public Administration Review, vol. 80, 6/2020.

^[59] Presidia la responsabilità per l’impiego di IA in dispositivi e software medici, e nel 2024 ha avviato un programma di revisione normativa basato sul principio di “regulatory reliance”, volto a semplificare le procedure di certificazione senza ridurre i livelli di sicurezza dei pazienti.

^[60] Nel settore delle comunicazioni, esercita poteri di regolazione sull’uso degli algoritmi di moderazione e raccomandazione dei contenuti, a garanzia del pluralismo e della protezione dei minori in coordinamento con l’Online Safety Act 2023.

^[61] Sull’impatto della explainability anche in riferimento alla fiducia pubblica tra gli altri s.v. S. Grimmelikhuijsen, Explaining Why the Computer Says No: Algorithmic Transparency Affects the Perceived Trustworthiness of Automated Decision-Making, in Public Administration Review, vol. 83/2023, pp. 241–262.

^[62] Department for Science, Innovation and Technology (DSIT), Implementing the UK’s AI regulatory principles: initial guidance for regulators, London, 6 February 2024. All’interno del Dipartimento opera la Central Function on AI Regulation, organismo incaricato di: assicurare la coerenza strategica e giuridica delle politiche di regolazione; monitorare l’attuazione dei cinque principi guida nei diversi settori; raccogliere e diffondere dati sui rischi e sugli impatti dei sistemi di IA; redigere l’AI Regulation Progress Report, trasmesso annualmente al Parlamento e al Cabinet Office.

^[63] G. Reusken, Striking a Balance: UK’s Pro-Innovation Approach to AI Governance in Light of EU Adequacy and the Brussels Effect, op. cit. per l’A. il sistema britannico è di fatto «principle- based», p. 24.

^[64] Una nota critica su un approccio frammentato T. Vogl, C. Seidelin, B. Ganesh, J. Bright, Smart Technology and the Emergence of Algorithmic Bureaucracy: Artificial Intelligence in UK Local Authorities, op.cit.

^[65] La EPRS (cit.), ha descritto nel documento redatto da M. Szczepański, G.L. Killmayer tale sistema come un «complex patchwork of requirements», riconoscendo che la sua forza risiede nella capacità di adattamento e nella stretta interazione con gli enti pubblici, ma anche con le imprese e che esso comporta un elevato onere di coordinamento e di compliance.

^[66] Cfr. Yu-Che Chen, J. Ahn Michael, Yi-Fan Wang, Artificial Intelligence and Public Values: Value Impacts and Governance in the Public Sector, Sustainability, 2023.

^[67] Cfr. Department for Science, Innovation and Technology (DSIT), AI Playbook for the UK Government, 2023 (aggiornato 2025); M. Busuioc, Accountable Artificial Intelligence: Holding Algorithms to Account, Public Administration Review, 2020.

^[68] Ivi, AI Playbook for the UK Government, 2023, aggiornato 2025, «Departments are responsible for ensuring that their own AI use cases meet ethical and legal standards, and for putting in place the appropriate governance and assurance processes».

^[69] Government Digital Service, Central Digital and Data Office, Data Ethics Framework, 2020.

^[70] S.v. M. De Donno, La regolazione delle decisioni amministrative automatizzate negli Stati membri dell’UE, Annuario di diritto comparato e di studi legislativi, 2024.

^[71] Con l’entrata in vigore della Data and Use of Access Act a giungo 2025, il tradizionale assetto monocratico rappresentato dall’Information Commissioner è stato sostituito da una nuova autorità indipendente pluripersonale, l’Information Commission, istituita come body corporate ai sensi del nuovo art. 114A del Data Protection Act 2018.

^[72] Information Commissioner’s Office, Guidance on AI and Data Protection, London, 2023; ICO and The Alan Turing Institute, Explaining Decisions Made with AI, London, 2022, pp. 9-15.

^[73] Pubblicato il 19 giugno 2025, Data protection and privacy changes, una serie di modifiche a support delle decisioni automatiche, s.v. link Data (Use and Access) Act 2025: data protection and privacy changes - GOV.UK. La previsione ha formalizzato su base legislativa una serie di strumenti e prassi già emersi nella sua strategia incrementale in materia di intelligenza artificiale. L’atto introduce un’importante innovazione istituzionale con la istituzione della Central Function on AI Regulation presso il Department for Science, Innovation and Technology (DSIT), incaricata di coordinare la regolazione settoriale dell’IA, raccogliere dati, assicurare coerenza e riferire al Parlamento mediante un AI Regulation Progress Report annuale. Viene così rafforzata la tendenza, già delineata nel Playbook e nell’AI Opportunities Action Plan, verso una governance centralizzata ma non centralistica, basata sulla formalizzazione di prassi cooperative e sulla promozione della trasparenza algoritmica. L’atto impone anche vincolanti soprattutto in merito a documentazione e registrazione degli strumenti di IA impiegati dalle pubbliche amministrazioni, rendendo obbligatori l’Algorithmic Impact Assessment e la pubblicazione standardizzata delle informazioni rilevanti sugli strumenti, secondo il modello già sperimentato con gli Algorithmic Transparency Recording Standards. In questo quadro si segna un passaggio verso obblighi formalizzati, rafforzando il ruolo della pubblica amministrazione quale garante di affidabilità.

^[74] Con l’AI Digital Hub del 2023, il Forum ha inoltre istituito un canale di dialogo permanente tra regolatori e operatori, destinato a supportare la sperimentazione controllata di nuove tecnologie in condizioni di sicurezza giuridica e tecnica.

^[75] Sono previste tutele rafforzate per soggetti vulnerabili, in particolare per i minori, mediante l’obbligo di considerare i «children’s higher protection matters» nel disegno di sistemi automatizzati (art. 81); gli adulti a rischio, definiti in relazione a bisogni di cura e incapacità di protezione, rilevanti ai fini della trasparenza e delle misure di sicurezza (Schedule 6, par. 10).

^[76] Come riporta il punto 29 del paragrafo 1.4. del documento AI Opportunities Action Plan 2025.

^[77] Sempre in AI Opportunities Action Plan 2025; s..v. Centre for Data Ethics and Innovation (CDEI), The roadmap to an effective AI assurance ecosystem, London, Dec. 2021 e aggiornamenti. Per un commento: E. Barrance, E. Kazim, A. Hilliard, M. Trengove, S. Zannone, A. Koshiyama, Overview and commentary of the CDEÌs extended roadmap to an effective AI assurance ecosystem, 2022.

^[78] Significativo in tale direzione è anche il ruolo assegnato al procurement pubblico nell’AI Playbook che considera il momento dell’acquisizione come leva regolativa per incentivare l’acquisizione di tecnologie IA affidabili, trasparenti e compatibili con l’interesse pubblico. Le amministrazioni sono incoraggiate a specificare nei bandi requisiti di auditabilità, interoperabilità e conformità a standard riconosciuti (es. ISO/IEC 42001), nonché a valutare l’adozione di strumenti ulteriori di Assurance.

^[79] Cfr. R. Kattel, V. Takala, The Case of the UK’s Government Digital Service: The Professionalisation of a Paradigmatic Public Digital Agency, in Digital Government: Research and Practice, 4(4)/2023.

^[80] S. Del Gatto, Potere algoritmico, digital welfare state e garanzie per gli amministrati. I nodi ancora da sciogliere, op. cit.

^[81] Government Digital Service, Inside GOV.UK blog, 2024.

^[82] Cfr. R. Kattel, V. Takala, The Case of the UK’s Government Digital Service: The Professionalisation of a Paradigmatic Public Digital Agency, op. cit.

^[83] House of Commons Committee of Public Accounts, Use of Artificial Intelligence in Government, HC 571, March 2025. Come rilevato da A. Lidbetter, AI in Public Bodies’Decisions – Public Law Issues, Herbert Smith Freehills, 2025, i rischi legati all’uso dell’IA da parte delle autorità pubbliche non riguardano solo profilazioni discriminatorie, ma anche deleghe implicite di funzioni decisionali senza sufficiente controllo umano: in questi casi, il principio della legalità amministrativa può essere compromesso, soprattutto laddove l’autorità non sia in grado di spiegare come il sistema abbia raggiunto l’output o non possa garantire che l’interessato sia stato trattato in modo equo e personalizzato

^[84] G. Gardini, L’uso preparatorio dell’AI come limite agli eccessi regolativi. Per una valutazione “in concreto” dell’intelligenza artificiale applicata all’agire pubblico, op. cit.

^[85] Cfr. M. Ridley et al., Artificial Intelligence (AI) Implementation within the NHS: The South West London AI Working Group Experience, in Clinical Radiology, 79, 9/2024.

^[86] Basato su leadership multidisciplinare, audit continuo, coinvolgimento del personale medico e applicazione del British Standard BS 30440, s.v. ibidem.

^[87] S.v. J. Colquitt, et al., Artificial intelligence software for analysing chest X-ray images to identify suspected lung cancer: an evidence synthesis early value assessment, in Health Technology Assessment, 28(50), 2024.

^[88] Cfr. Local Government Association, State of the Sector – AI (2025 update).

^[89] Cfr. Minderoo Centre for Technology and Democracy, Sociotechnical Audit on Facial Recognition, University of Cambridge, 2023.

^[90] National Audit Office, Use of artificial intelligence in government, HC 612, 15 marzo 2024; House of Commons, Committee of Public Accounts, Use of AI in Government, 26 marzo 2025; Local Government Association, Artificial intelligence case study bank, in AI Hub, 2024 ss.; Cabinet Office, DSIT – GDS, Algorithmic Transparency Recording Standard, record Barnet Council: Ami Chatbot, 28 gennaio 2025.

^[91] A livello locale, numerosi city councils britannici hanno avviato sperimentazioni dell’IA nei settori della mobilità, della gestione dei rifiuti, del monitoraggio ambientale e della pianificazione urbana predittiva. Queste iniziative, spesso sviluppate in collaborazione con consorzi accademici e innovation hubs, evidenziano come la governance locale dell’IA possa diventare un laboratorio avanzato di accountability algoritmica. Sul punto s.v. Local Government Association, State of the sector: Artificial intelligence, 2024. Il rapporto evidenzia anche che, sebbene oltre il 70% delle autorità locali abbia avviato almeno un progetto IA negli ultimi 24 mesi, molte amministrazioni segnalano una mancanza di competenze, linee guida condivise e risorse per una valutazione sistematica dei rischi. In risposta, il governo ha istituito un AI Procurement Support Service che fornisce modelli contrattuali, standard di valutazione e supporto legale per facilitare l’acquisizione responsabile di sistemi IA nel settore pubblico. A livello locale, esperienze di rilievo sono emerse nell’ambito del monitoraggio ambientale predittivo, della gestione del traffico, e della valutazione automatizzata dei rischi sociali da parte di autorità municipali, come i council di Camden, Bristol e Greater Manchester. Queste iniziative si inseriscono in una strategia di “sperimentazione”. Tuttavia, si evidenzia una persistente eterogeneità tra gli enti, soprattutto sul piano della trasparenza e della documentazione delle logiche algoritmiche adottate.

^[92] J. Bright et al., Generative AI is already widespread in the public sector. Evidence from a survey of UK public sector professionals, Alan Turing Institute, 3 gennaio 2024.

^[93] House of Lords, Public Authority Algorithmic and Automated Decision-Making Systems Bill, HL Bill 23, 2025. Il rischio di bias strutturali è al centro anche del dibattito parlamentare, come emerge dal Public Authority Algorithmic and Automated Decision-Making Systems Bill, e così i meccanismi di dispute resolution indipendente.

^[94] Si tratta del Public Law 119-21, «An Act to provide for reconciliation pursuant to title II of H. Con. Res. 14.

July 4, 2025», Text - H.R.1 - 119th Congress (2025-2026): One Big Beautiful Bill Act | Congress.gov | Library of Congress.

^[95] Reuters, U.S. Senate Strikes AI Regulation Ban from Trump Megabill, 1 luglio 2025; Time Magazine, Senators Reject 10-Year Ban on State-Level AI Regulation, 2 luglio 2025, v. link: US Senate strikes AI regulation ban from Trump megabill | Reuters

^[96] Y.Abusaif, Congress Shouldn’t Stop States from Regulating AI — Especially with No Alternative, Congress Shouldn’t Stop States from Regulating AI — Especially with No Alternative | Brennan Center for Justice.

^[97] S.v. Billy Perrigo, Andrew R. Chow, Senators Reject 10-Year Ban on State-Level AI Regulation, In Blow to Big Tech, Time, 2 July 2024, Senators Reject 10-Year Ban on State-Level AI Regulation | TIME; inoltre s.v. la “coalition letter” della Camera di Commercio, Coalition Letter to the Senate Supporting the Moratorium on AI Regulation Enforcement | U.S. Chamber of Commerce.

^[98] S.v. J. Godoy, AI regulation ban meets opposition from state attorneys general over risks to US consumers, AI regulation ban meets opposition from state attorneys general over risks to US consumers | Reuters, Reuters, May 16, 2025; Inoltre, Common sense, New Poll Reveals Strong Bipartisan Opposition to Proposed Ban on State AI Laws, May 2025, New Poll Reveals Strong Bipartisan Opposition to Proposed Ban on State AI Laws | Common Sense Media; infine, al seguente link la lettera di opposizione: State-Policymaker-Coalition-Letter-Oppose-AI-Preemption-6-3-25.pdf.

^[99] Cfr. H. Fechner, M. Shapanka, S. Klein, Senate Nixes State AI Enforcement Moratorium, For Now, in Global Policy Watch, 8 luglio 2025, Senate Nixes State AI Enforcement Moratorium, For Now | Inside Privacy.

^[100] S.v. America’s AI Action Plan, luglio 2025 (Americas-AI-Action-Plan.pdf), documento strategico adottato a livello presidenziale che definisce le priorità federali in materia di IA lungo tre assi principali: l’accelerazione dell’innovazione, la costruzione di infrastrutture nazionali e il rafforzamento della leadership tecnologica degli Stati Uniti, nonché Executive Order 14141, pubblicato sul Federal Register, 14 gennaio 2025.

^[101] Come definito dall’Executive Order (EO) 14141 del 14 gennaio 2025 e dal successivo America’s AI Action Plan del luglio 2025.

^[102] Per l’importanza strategica nazionale della sicurezza infrastrutturale, P.C. Exmeyer, J.L. Hall, High Time for a Higher-Level Look at High-Technology, in Public Administration Review, 2/2023.

^[103] Cfr. Executive Order 14110, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, 30 ottobre 2023.

^[104] S.v. E. Chiti, B. Marchetti, Divergenti? Le strategie di Unione europea e Stati Uniti in materia di intelligenza artificiale, in Rivista della Regolazione dei Mercati, 1/2020, pp. 29-50.

^[105] S.v. M. Wörsdörfer, Biden’s Executive Order on AI and the E.U.’s AI Act: A Comparative Computer-Ethical Analysis, in Philos. Technol. 37, 74/2024.

^[106] Per una lettura: E. Carloni, Il sentiero si fa camminando: la strategia statunitense per intelligenze artificiali sicure ed affidabili, in Giornale di diritto amministrativo, 1/2024, che ricorda la figura del Chief AI Officer nelle agenzie federali.

^[107] Cfr. M. Hu, E. Behar, D. Ottenheimer, National Security and Federalizing Data Privacy Infrastructure: Implications of EO 14110, in Fordham Law Review, 92/2024.

^[108] S.v. C. Sbailò, Executive Order 14110 Governing Artificial Intelligence: Technological Leadership and Regulatory Challenges in an Era of Exponential Growth, in DPCE Online, 67/2024.

^[109] Cfr. O. Pollicino op. cit. e J. M. Balkin, Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation, in UC Davis Law Review, 51/2018.

^[110] Cfr. T. Davtyan, The U.S. Approach to AI Regulation: Federal Laws and the Executive Order 14110, in Journal of Law, Technology & the Internet, 16, 2/ 2024.

^[111] OMB Memorandum M2410, Advancing Governance, Innovation, and Risk Management for Agency Use of AI, 28 marzo 2024.

^[112] S.v. M. Bassini, The Global Race to Regulate AI: Biden’s Executive Order Spillover Effects on the EU AI Act, Institute for European policymaking, Bocconi Publications, 2023, The Global Race to Regulate AI: Biden’s Executive Order Spillover Effects on the EU AI Act | IEP@BU.

^[113] In questa direzione va anche l’Executive Order del 22 luglio 2025 dell’amministrazione Trump, Accelerating Federal Permitting of Data Center Infrastructure, ha formalmente abrogato l’Executive Order 14141 del gennaio 2025, ridefinendo le priorità infrastrutturali in chiave pro-innovazione e deregolatoria, soprattutto in relazione alla semplificazione delle autorizzazioni per data center e strutture energetiche destinate all’addestramento di modelli di IA generativa.

^[114] Cfr. E. Carloni, Critica dell’amministrazione artificiale, Bologna, Il Mulino, in pubblicazione. C. Coglianese., A. Lai, Assessing Automated Administration, University of Pennsylvania Law School, Public Law Research Paper, 2022.

^[115] Cfr. F. Bignami, Artificial Intelligence Accountability of Public Administration, in The American Journal of Comparative Law, 2022.

^[116] Nel gennaio 2023, il NIST ha pubblicato il AI Risk Management Framework 1.0: un documento non vincolante ma largamente adottato nella prassi federale, fondato su quattro funzioni operative (Govern, Map, Measure, Manage) e sette caratteristiche della “trustworthy AI” (sicurezza, resilienza, trasparenza, spiegabilità, privacy, correttezza, affidabilità).

Nel 2024, ha seguito il Generative AI Profile, dedicato alla gestione dei rischi specifici dei sistemi generativi, che include misure tecniche. M. Hu, E. Behar, D. Ottenheimer, National Security and Federalizing Data Privacy Infrastructure: Implications of EO 14110, in Fordham Law Review, 92/2024.

^[117] Y. Arbel, M. Tokson, A. Lin, Systemic Regulation of Artificial Intelligence, in Arizona State Law Journal, 2025.

^[118] S. Shorey, AI and Government Workers: Use Cases in Public Administration, Roosevelt Institute, 2025, AI and Government Workers: Use Cases in Public Administration - Roosevelt Institute.

^[119] Public Law 119–12, maggio 2025. Il provvedimento vieta la pubblicazione non consensuale di immagini intime, anche se manipolate mediante strumenti di intelligenza artificiale (deepfake), e prevede obblighi di rimozione a carico delle piattaforme online entro 48 ore dalla segnalazione da parte della persona interessata.

^[120] Sull’idea delle norme per reazione s.v. Carloni, op. cit.

^[121] T. Gundani, AI Regulation and Federalism: What the Moratorium (That Wasn’t) Revealed, George Washington University Regulatory Studies Center, 16 settembre 2025.

^[122] The White House, America’s AI Action Plan: Winning the Race for the Future, July 22, 2025.

^[123] Cfr. D. Krause, Implications of the EU AI Act for U.S. Regulatory Strategy and Corporate Risk Management, Working Paper, Marquette University, 2025.

^[124] S.v. Yu-Che Chen, J. Ahn Michael, Yi-Fan Wang, Artificial Intelligence and Public Values: Value Impacts and Governance in the Public Sector, op. cit.

^[125] Si rinvia a E. Chiti, B. Marchetti, Divergenti? Le strategie di Unione europea e Stati Uniti in materia di intelligenza artificiale, op. cit.

^[126] S.v. V. O. Buryaga, V. V. Djuzhoma, E. A. Artemenko, Shaping Artificial Intelligence Regulatory Model: International and Domestic Experience, op. cit.

^[127] S.v. C. Nardocci, Dalla self-regulation alla frammentata regolamentazione dei sistemi di intelligenza artificiale: uno sguardo alla (diversa) prospettiva statunitense, in Diritto pubblico comparato ed europeo, 4/2024.

^[128] A. Rawal, K. Johnson, C. Mitchell, M. Walton, D. Nwankwo, Responsible Artificial Intelligence (RAI) in U.S. Federal Government: Principles, Policies, and Practices, in 2nd Workshop on Regulatable ML at NeurIPS.

^[129] White House, AI Action Plan: Securing American Innovation, Washington D.C., 22 luglio 2025, Americas-AI-Action-Plan.pdf. s.v. Bluprint e commento di C. Nardocci, Dalla “self-regulation” alla frammentata regolamentazione dei sistemi di intelligenza artificiale: uno sguardo alla (diversa) prospettiva statunitense, in Diritto pubblico comparato ed europeo, 4/2024 e G. Sgueo, La funzione pubblica sintetica, in Rivista trimestrale di diritto pubblico, 4/2024, pp. 1011–1030.

^[130] Government Accountability Office (GAO), Artificial Intelligence: Key Actions to Ensure Accountability in Federal Agencies,, Washington D.C., 2025.

^[131] S.v. C. Coglianese, D. Lehr, Regulating by Robot: Administrative Decision-Making in the Machine Learning Era, Georgetown Law Journal, 105/2017; C. Coglianese, Algorithm vs Algorithm, in Duke Law Journal, 72, 6/ 2022.

^[132] La General Services Administration e il Federal Risk and Authorization Management Program svolgono un ruolo centrale nel definire i canali di approvvigionamento e le condizioni dei e ai fornitori, U.S. General Services Administration, Buy AI, Buy AI | GSA. Le condizioni contrattuali che prevedono audit, trasparenza, interoperabilità e responsabilità possono essere imposte per la stipula di un contratto con i privati, spesso nell’ambito di un elenco preautorizzato. Per esempio, la GSA ha dichiarato che le imprese del settore IA possono accedere al mercato federale solo se «For AI companies, having products on the GSA Schedule offers a trusted path into the federal marketplace. GSA welcomes all approved AI providers who are committed to responsible use and compliance with federal standards to pursue joining the GSA Schedule, Id, GSA Propels Government into AI Revolution with Addition of Leading Solutions to Multiple Award Schedules, GSA Propels Government into AI Revolution with Addition of Leading Solutions to Multiple Award Schedules | GSA.

^[133] Il sito funge da punto di accesso per le iniziative, le politiche e le risorse pubbliche relative all’intelligenza artificiale negli Stati Uniti, includendo documenti, bandi, strategie e linee guida. Per I dati s.v. J. Gluck, B. Do, T. Rice, The State of State AI: Legislative Approaches to AI in 2025, Future of Privacy Forum, 2025, The State of State AI: Legislative Approaches to AI in 2025.

^[134] T. Alon-Barkat, M. Busuioc, Accountable Artificial Intelligence: Holding Algorithms to Account, in Public Administration Review, 81/2020.

^[135] S.v. C. Langevin, A National Guidance Platform for AI Acquisition, A National Guidance Platform for AI Acquisition.

^[136] A. Sayre Mark, J.D. Kyle Glover, Machines Make Mistakes Too: Planning for AI Liability in Government Contracting, in Public Administration Review, 2025. S.v. anche S.Del Gatto, Potere algoritmico, digital welfare state e garanzie per gli amministrati. I nodi ancora da sciogliere, Rivista Italiana di Diritto Pubblico Comunitario, 6/2020.

^[137] Il chatbot MyCity, lanciato nell’ottobre 2023 dalla Municipalità di New York è stato oggetto di inchiesta giornalistica, Colin Lecher, The Markup, NYC’s AI Chatbot Tells Businesses to Break the Law, March 29, 2024.

^[138] J. Angwin, J. Larson, S. Mattu, L. Kirchner, Machine Bias: There’s Software Used Across the Country to Predict Future Criminals. And It’s Biased Against Blacks, in «ProPublica», 23 maggio 2016.

^[139] Supreme Court of Wisconsin, 2016, 881 N.W.2d 749.

^[140] State v. Loomis, 881 N.W.2d 749 (Wis. 2016), Supreme Court of Wisconsin. Vedi anche M. Washington, Lessons from the COMPAS–ProPublica Debate, in Colorado Technology Law Journal, 17(1), 2019, pp. 131–160.

^[141] ACLU, In Big Win, Settlement Ensures Clearview AI Complies With Groundbreaking Illinois Biometric Privacy Law, 9 maggio 2022. IAPP, Lawsuit Alleges Clearview AI Did Not Obtain Consent to Scrape Facial Images, 6 nov. 2023. Reuters, U.S. judge approves ‘novel’Clearview AI class action settlement, 21 March 2025.

^[142] Le critiche parlano di delega algoritmica nella funzione amministrativa, Mariam Baksh, Nevada plan to speed decisions on benefits ‘real’AI risk, civil liberties leader warns, Inside AI Policy, September 16, 2024.

^[143] S.v. Roosevelt Institute, AI and Government Workers: Use Cases in Public Administration; AI Now Institute, The AI Adoption Gap, New York, 2024.

^[144] S.v. R. Nicoletta, Intelligenza artificiale e pubbliche amministrazioni: affrontare i numerosi rischi per trarne tutti i vantaggi, in BioLaw Journal, 2, 2022.

^[145] Si consideri che emerge che il codice e gli algoritmi sono frequentemente protetti come segreto industriale (trade secret), limitando l’accesso anche in sede giurisdizionale

^[146] Cfr. D. Botero, C. Zweifel-Keegan, US State AI Governance Legislation Tracker, in International Association of Privacy Professionals (IAPP), 6 Oct. 2025.

^[147] Colorado Senate Bill 24-205, Colorado Artificial Intelligence Act; T. D. Lords, Colorado Enacts Law Regulating High-Risk Artificial Intelligence Systems, Business Law Section, 2024.

^[148] Texas Responsible Artificial Intelligence Governance Act (HB 149).

^[149] S.v. J. Gluck, B. Do, and T. Rice, The State of State AI: Legislative Approaches to AI in 2025, Future of Privacy Forum, 2025.

^[150] S.v. M. Busuioc, Accountable Artificial Intelligence: Holding Algorithms to Account, op. cit.

^[151] S.v. N. Cristina, Algoritmi, intelligenza artificiale e formazione della volontà pubblica, Rivista AIC, 3, 2020.

^[152] C. Teale, Nevada turns to AI to speed up unemployment appeals, in Route Fifty, 1 maggio 2025; R. Kushner, Nevada has a large backlog of unemployment benefits appeals. It’s banking on AI to help., in Smart Cities Div, 16 settembre 2024; OECD, AI Incidents Monitor, Nevada’s Department of Employment, Training and Rehabilitation will use Google’s Vertex AI Studiio, 2024-09-11.

^[153] S.v. B. Ponti, Il fornitore dell’algoritmo quale soggetto estraneo all’amministrazione, op. cit., p. 5. In questo senso sono meritorie le iniziative della regione Emilia-Romagna di internalizzare alcuni strumenti come quello di Savia, sul punto si veda il fascicolo 2/2025 di questa Rivista e particolarmente L. Draghetti, SAVIA: intelligenza artificiale per la qualità delle leggi, passim.

^[154] Per altro si apre un monito importante proprio di recente nel versante UE sull’equilibrio con la privacy – anche in ragione di qualche eccesso –, laddove come lo stesso O. Pollicino constata: «la gerarchia dei diritti fondamentali emersa con l’automazione e lo sviluppo della «società algoritmica» si sta trasformando. La centralità della privacy e della protezione dei dati comincia a ridursi nel contesto dell’autonomia. È un assetto ancora in via di definizione, ma chiaro segnale di cambiamento», op. cit, p. 231.

^[155] Le agenzie si limitano sempre più a ruoli di supervisione formale e legittimazione procedurale, con il rischio di indebolimento dei meccanismi democratici di controllo e responsabilità, G. Sgueo, La funzione pubblica sintetica. Tre domande su intelligenza artificiale generativa e pubblica amministrazione, in Rivista trimestrale di diritto pubblico.

^[156] Cfr. B. Boschetti, N. Berti, op. ult. cit., p. 28. Inoltre, importante è la ricostruzione di E. Carloni, La regolazione dell’intelligenza artificiale tra giudice e legislatore: notazioni a margine dell’art. 30 del d.lgs. n. 36 del 2023, op. cit., p. 72 in cui ci riporta come il legislatore ha normato il ricorso a strumenti di I.A. tramite l’art. 30 del d.lgs. 36/2023 e il giudice amministrativo sia giunto alla sentenza del Consiglio di Stato, Sez. VI, 13 dicembre 2019, n. 8472 e successive (si pensi al Tar Campania (Sez. III, 14 novembre 2022, n. 7003)) in cui rimangono ferme le tutele del procedimento amministrativo anche con l’ausilio degli strumenti di I.A., in analogia con la disciplina del GDPR (es. considerando 63), secondo cui la p.a. deve essere sempre messa nelle condizioni di comprendere i criteri di funzionamento degli strumenti che utilizza anche acquisendo all’esterno le soluzioni che utilizza. Sul punto si vedano i richiami alla disciplina del cyberspazio pubblico che impone standard cogenti alle imprese che vi operano, E. Chiti, Doppio volto: il diritto amministrativo alla prova dell’amministrazione digitale algoritmica, come gli altri due contributi, in A. Lalli, La regolazione delle tecnologie digitali e dell’intelligenza artificiale, Giappichelli, 2024.

^[157] B. Judge, M. Nitzberg, S. Russell, When code isn’t law: rethinking regulation for artificial intelligence, in Policy and Society, 44/2025.

^[158] Cfr. E. Chiti, A. di Martino, G. Palombella (a cura di), L’era dell’interlegalità, Bologna, Il Mulino, 2022.

^[159] Si rinvia a A. Simoncini e E. Longo, Fundamental Rights and the Rule of Law in the Algorithmic Society, pp. 3 e O. Pollicino e G. De Gregorio, Constitutional Law in the Algorithmic Society, pp. 27 e ss. entrambi in H.-W. Micklitz et al. (a cura di), Constitutional Challenges in the Algorithmic Society, Cambridge, Cambridge University Press, 2021.

^[160] Prezioso è il contributo di Pollicino che ragiona sulle problematiche dei poteri privati del digitale emersi nell’ambito di Internet e poi amplificati nel campo dell’IA. «Questi nuovi poteri, infatti, pongono una sfida inedita al costituzionalismo: essi hanno il potenziale di limitare la libertà, influenzare il funzionamento delle democrazie ed erodere i diritti fondamentali». L’autore nel descrivere l’approccio statunitense parla di attori digitali che partendo dall’illusoria idea di potersi muovere in uno spazio libero da regole e posizioni di potere sono invero diventati «nuovi governi». L’A. mette a fuoco come l’approccio statunitense sia centrato sulle capacità del mercato anche correttive, all’interno di un quadro di presunzione di quasi ottimo paretiano o comunque di laissez- fait basato sull’estensione della libertà di parola e libertà editoriale alle piattaforme e agli algoritmi (protetti dal primo emendamento della Costituzione statunitense). Ciò giunge a consolidare l’algoritmo come un’ulteriore forma e mezzo di espressione per cui diffidare da una regolazione (Moody v. NetChoice, LLC e NetChoice, LLC v. Paxton, 603 U.S. (2024)). Tuttavia, riporta l’A., si insinua anche negli Stati Uniti, per parola di qualche giudice della Corte Suprema, il rischio di un potere fuori controllo delle piattaforme che potrebbe non essere del tutto neutrale (già a partire da Sonia Sotomayor con la sua «mosaic theory», espressa nel caso United States v. Jones (565 U.S. 400 (2012)), evidenziando un rapporto tra poteri pubblici e poteri privati, O. Pollicino, Costituzionalismo digitale. Pensare le democrazie al tempo dell’IA, spec. p. 69, passim.