Umano o macchina? La nuova legge italiana sull’IA traccia una linea rossa nel processo decisionale pubblico

Quando l’intelligenza artificiale bussa alle porte del governo, chi resta al comando - l’algoritmo o il funzionario pubblico? La Legge 132/2025, un provvedimento legislativo di svolta, risponde con un messaggio inequivocabile: nell’era dell’automazione, gli esseri umani restano al timone. Ma sotto la superficie, la legge rivela una lotta per bilanciare l’innovazione tecnologica con la responsabilità democratica, mentre burocrati, tecnologi e legislatori guardano tutti al futuro del potere pubblico.

Dentro la legge: principi e tensioni

La Legge 132/2025 arriva mentre l’AI Act dell’Unione Europea inizia a rimodellare il panorama digitale del continente. Sebbene il regolamento UE sia direttamente applicabile, la legge italiana si ritaglia un proprio percorso - cucendo con attenzione il filo tra l’armonizzazione con Bruxelles e l’affermazione di priorità nazionali.

La spina dorsale della legge è il suo “principio antropocentrico”: l’intelligenza artificiale deve servire i bisogni umani, non dettarli. I sistemi di IA nella pubblica amministrazione sono rigorosamente strumenti, non padroni. La normativa stabilisce che ogni decisione amministrativa significativa - soprattutto quelle che implicano discrezionalità o il bilanciamento tra interessi pubblici e privati - deve essere presa da un essere umano, non da una macchina. Qualsiasi tentativo di delegare all’IA la decisione finale o la motivazione (“motivazione”) alla base di una decisione è esplicitamente vietato.

Trasparenza e responsabilità non sono negoziabili. Tutti i modelli di IA impiegati nel governo devono essere tracciabili; i funzionari devono poter spiegare come è stato prodotto l’output di un’IA e come esso si allinea con l’input fornito dagli esseri umani. I dati personali trattati dall’IA nella pubblica amministrazione sono rigidamente regolati, richiedendo un consenso chiaro, comunicazioni in linguaggio semplice e conformità al GDPR e ai codici italiani di protezione dei dati. Per i minori di 14 anni, il consenso dei genitori è obbligatorio.

Cosa può fare davvero l’IA?

Nonostante confini stringenti, la legge apre la porta a una gamma di efficienze alimentate dall’IA - purché supportino, e non soppiantino, il giudizio umano. L’IA può gestire e filtrare enormi flussi di dati, vagliare le domande per la conformità formale, assistere nella contabilità e nella rendicontazione, e persino aiutare a redigere il quadro fattuale degli atti amministrativi. Eppure, ogni volta che una decisione richiede discrezionalità o interpretazione della legge, il funzionario umano deve prendere il volante - ed essere pronto a giustificare il proprio ragionamento in tribunale, se contestato.

La legge segnala anche un cambiamento nelle assunzioni e negli appalti del settore pubblico: l’implementazione dell’IA richiederà nuove competenze digitali, ruoli specializzati e partnership con imprese tecnologiche private. Ma la trasformazione non avverrà dall’oggi al domani, e resta il rischio che, senza assunzioni e formazione strategiche, la promessa dell’IA rimanga solo questo - una promessa.

Conclusione: il firewall umano

La Legge 132/2025 colloca l’Italia su un percorso prudente ma determinato verso la trasformazione digitale nel settore pubblico. Il suo messaggio è chiaro: l’IA è un alleato potente, ma mai il capo. Mentre la burocrazia si prepara al cambiamento, la vera prova sarà se le amministrazioni pubbliche sapranno colmare il divario tra principio e pratica - sfruttando il potenziale dell’IA e mantenendo saldamente al posto di guida il giudizio umano, la trasparenza e la responsabilità.

WIKICROOK

• Principio antropocentrico: Il principio antropocentrico impone la supervisione umana delle decisioni dell’IA, soprattutto quando processi automatizzati possono incidere su diritti e libertà individuali.
• Discrezionalità amministrativa: La discrezionalità amministrativa è l’autorità dei funzionari di prendere decisioni in base al proprio giudizio entro i confini di legge e di policy, cruciale nei contesti di cybersicurezza.
• Tracciabilità: La tracciabilità è la capacità di monitorare e registrare azioni o flussi di dati, garantendo trasparenza, responsabilità e sicurezza all’interno dei sistemi di cybersicurezza.
• GDPR: Il GDPR è una rigorosa legge dell’UE e del Regno Unito che protegge i dati personali, imponendo alle aziende di gestire le informazioni in modo responsabile o affrontare pesanti sanzioni.
• Motivazione (di un atto): La motivazione (di un atto) è il requisito legale di spiegare le ragioni fattuali e giuridiche alla base di una decisione amministrativa o di cybersicurezza.