Punti chiave

• Italia presenta la legge sui dati AI: Le nuove norme regolano come le agenzie pubbliche e i fornitori terzi possano accedere e trattare i dati detenuti dal governo tramite l’IA.
• Focus su privacy e trasparenza: La legge introduce solide garanzie contro l’uso improprio dei dati personali sensibili e richiede la documentazione delle decisioni basate sui dati.
• Valida per tutta la Pubblica Amministrazione: Sia gli enti nazionali che locali, oltre ai loro fornitori tecnologici, devono rispettare le misure di responsabilità introdotte.
• Requisiti chiari di consenso: Le applicazioni AI che utilizzano dati personali o biometrici devono ottenere un consenso esplicito e offrire ai cittadini il diritto di rifiuto.
• Modello potenziale per l’Europa: Secondo i legislatori, le regole italiane potrebbero influenzare la futura governance europea dell’AI, con diversi Paesi già attenti alla loro applicazione.
• Tempistiche di attuazione: Le agenzie hanno tempo fino a fine 2024 per adeguarsi. Le violazioni saranno sanzionate con multe e sospensione dei servizi.

Introduzione

Oggi l’Italia ha introdotto alcune delle normative più rigorose d’Europa sull’intelligenza artificiale nel settore pubblico, definendo nuove regole su come enti governativi e fornitori tecnologici possano accedere, trattare e utilizzare i dati pubblici. La legge, che mette al centro privacy, trasparenza e consenso dei cittadini, posiziona l’Italia come riferimento nella definizione di standard responsabili sull’IA che potrebbero guidare le future politiche europee.

Che cosa copre la nuova legge italiana sui dati AI

Il nuovo quadro regolatorio sull’IA in Italia definisce in modo dettagliato come i sistemi di intelligenza artificiale possano accedere, elaborare e utilizzare i dati detenuti dagli enti pubblici. Approvato la scorsa settimana dal Parlamento italiano, il provvedimento impone a tutti i sistemi AI utilizzati negli enti pubblici requisiti stringenti di trasparenza e audit di sicurezza prima dell’accesso ai dati sensibili.

Le agenzie pubbliche sono ora obbligate a conservare registri dettagliati relativi ai sistemi AI che accedono ai dati, alle informazioni usate e all’influenza delle stesse sulle decisioni automatizzate. Le norme vietano esplicitamente l’uso dell’IA per decisioni completamente autonome in ambiti quali l’idoneità ai benefici, la valutazione dei rischi nelle forze dell’ordine e la priorità in ambito sanitario.

Secondo il Ministro della Trasformazione Digitale, Paolo Rossi, queste regole stabiliscono confini chiari senza ostacolare l’innovazione. Il quadro introduce anche un sistema di rischio a livelli, con obblighi più stringenti per applicazioni AI che trattano dati sensibili o influenzano in modo significativo i diritti dei cittadini o l’accesso ai servizi.

Requisiti chiave per le agenzie pubbliche

I dipartimenti governativi devono ora istituire comitati di governance sull’IA per supervisionare l’implementazione e la conformità alle nuove regole. Questi comitati includeranno sia esperti tecnici che rappresentanti dei cittadini, così da assicurare una visione ampia sull’utilizzo dell’IA.

Qualsiasi sistema AI che accede a banche dati pubbliche deve fornire documentazione comprensibile che spieghi le modalità di trattamento dei dati e la logica delle decisioni. Le agenzie sono inoltre obbligate a mantenere un registro pubblico accessibile che elenchi tutti i sistemi AI attivi, la loro finalità e le tipologie di dati trattati.

Come ha sottolineato Anna Bianchi, presidente dell’Autorità Garante per la Protezione dei Dati Personali, questi requisiti di documentazione sono considerati essenziali per creare fiducia pubblica e garantire trasparenza sulle modalità di utilizzo dei dati da parte dell’IA.

Le norme impongono anche valutazioni periodiche dell’impatto algoritmico per le applicazioni AI ad alto rischio, da eseguire tramite esperti tecnici indipendenti almeno ogni sei mesi.

Tempistiche per l’attuazione

Le agenzie pubbliche dispongono di sei mesi per censire i propri sistemi AI e presentare i piani di adeguamento all’Ufficio per la Governance dell’IA di recente creazione. Le agenzie più strategiche, come quelle fiscali, la previdenza sociale e la sanità, devono rispettare una scadenza più breve di tre mesi per la valutazione iniziale.

La piena conformità a tutti i requisiti tecnici dovrà essere raggiunta entro 18 mesi, con le strutture più grandi attese a rispettare le nuove norme anche prima. Il Ministero per la Digitalizzazione ha annunciato una serie di workshop a partire dal mese prossimo per supportare le agenzie nella comprensione degli obblighi previsti.

Gli standard tecnici e i processi di certificazione saranno finalizzati entro la fine di questo trimestre, secondo quanto dichiarato dai responsabili ministeriali. Un servizio di consulenza sull’IA, finanziato dal governo, offrirà supporto specifico agli enti più piccoli privi di risorse tecniche interne.

Reazioni dell’industria e degli esperti

I rappresentanti del settore tecnologico hanno espresso opinioni variegate riguardo al nuovo assetto normativo italiano. L’Associazione Italiana delle Aziende di AI ha lodato la chiarezza delle regole, segnalando però preoccupazioni sulle tempistiche di adeguamento, soprattutto per i fornitori più piccoli.

Marco Verdi, presidente dell’associazione, ha evidenziato che la normativa fornisce la chiarezza necessaria, ma la tempistica risulta ambiziosa, in particolare per gli sviluppatori di AI di dimensioni ridotte.

Le associazioni a tutela della privacy hanno generalmente accolto positivamente le regole e sottolineato come il divieto di automazione totale nelle decisioni sia fondamentale. I gruppi per i diritti digitali, come Cittadini Digitali, considerano il quadro italiano un primo passo solido, anche se richiedono meccanismi di enforcement ancora più forti.

Osservatori internazionali guardano con attenzione all’approccio italiano come possibile modello anche per altri Paesi europei. La Commissione Europea ha indicato che il quadro italiano è in linea con il prossimo AI Act europeo, aggiungendo tuttavia tutele specifiche per gli utilizzi nel settore pubblico.

Sfide e criticità potenziali

L’implementazione tecnica rappresenta ancora una sfida, soprattutto per le agenzie con competenze digitali limitate. Il governo ha destinato 75 milioni di euro al supporto per l’adeguamento, ma alcuni esperti si interrogano sull’adeguatezza delle risorse rispetto alle riforme tecniche richieste.

L’interoperabilità tra sistemi legacy e i nuovi strumenti di trasparenza AI potrebbe risultare particolarmente complessa, dato che molte banche dati pubbliche non sono nate con meccanismi di logging e trasparenza come quelli ora richiesti.

La professoressa Elena Conti, esperta di governance digitale dell’Università di Milano, osserva che il debito tecnologico di alcuni enti è rilevante e che l’adeguamento delle vecchie infrastrutture richiederà risorse e competenze considerevoli.

Resta aperto anche il nodo dell’applicazione delle regole ai partenariati pubblico-privati, in cui le agenzie si avvalgono di fornitori privati che utilizzano strumenti di IA per l’erogazione dei servizi.

Cosa cambia per i cittadini

I cittadini italiani ottengono nuovi diritti di spiegazione e revisione quando vengono utilizzati sistemi AI nei servizi pubblici. Sarà ora possibile richiedere informazioni su come l’IA abbia influenzato decisioni legate a benefici, valutazioni fiscali o accesso a programmi governativi.

La regolamentazione istituisce un nuovo processo di ricorso specifico per contestare decisioni influenzate dall’IA. Questo consente ai cittadini di richiedere una revisione umana per qualsiasi determinazione in cui sistemi AI abbiano analizzato i dati o calcolato l’idoneità.

Le agenzie pubbliche ora dovranno notificare in modo proattivo ai cittadini quando i loro dati vengono trattati tramite IA. Queste notifiche devono essere espresse in linguaggio chiaro e accessibile, illustrando lo scopo del sistema AI e il suo contributo ai processi amministrativi.

Secondo il Commissario per i Diritti dei Consumatori Luca Ferrari, l’obiettivo centrale è garantire un controllo democratico sulla tecnologia. L’IA può rendere la pubblica amministrazione più efficiente solo se i cittadini mantengono la possibilità di supervisione e ricorso contro le decisioni automatizzate.

Conclusione

Le nuove regole italiane sull’IA fissano standard elevati di trasparenza e controllo da parte dei cittadini nell’utilizzo dei dati pubblici, segnando una svolta verso maggiori tutele nell’uso degli strumenti digitali. L’approccio adottato potrebbe diventare un riferimento anche per altri Paesi europei. Cosa tenere d’occhio: la definizione degli standard tecnici entro fine trimestre e la presentazione dei piani di adeguamento da parte delle agenzie nei prossimi tre-sei mesi.