Se il 2024 è stato l’anno della NIS2 e della consapevolezza sulla cybersicurezza, il 2026 si prospetta come l’anno della maturità per l’Intelligenza Artificiale nella Pubblica Amministrazione italiana. Con l’entrata in pieno vigore del Regolamento UE 2024/1689 (meglio conosciuto come AI Act) e il recente rilascio delle Linee Guida AgID 2025 sulla PA Digitale, il legislatore ha voluto diffondere un messaggio inequivocabile: l’innovazione dell’algoritmo non può assolutamente prescindere da etica e responsabilità sociale.
La DPIA e la FRIA: binomio per l’IA ad alto rischio
Per anni, l’unico onere valutativo per i progetti digitali nelle PA è stato la DPIA (Data Protection Impact Assessment), introdotta dal GDPR. Questo strumento va ad analizzare in che modo i dati personali vengono protetti, minimizzati e trattati. Tuttavia, quando una struttura pubblica come il Comune decide di implementare un algoritmo, ad esempio per migliorare la risposta e la gestione degli sportelli telematici come anche per l’assegnazione delle case popolari oppure quando l’ASL implementa un sistema IA per il triage, la sola protezione dei dati non è più sufficiente.
Un cambio deciso nell’aspetto della tutela della persona è rappresentato dall’Art. 27, contenuto nell’AI Act: il Fundamental Rights Impact Assessment meglio conosciuto come FRIA. L’articolo 27 non era inizialmente previsto nel DdL del 21 aprile 2021, mentre nel giugno del 2023 è stato introdotto dal Parlamento europeo allo scopo di colmare il gap tra gli sviluppatori di IA e gli utenti finali. La FRIA attribuisce responsabilità non solo agli sviluppatori ma anche a tutti coloro che mettono in servizio (o installano) tali sistemi. Il comune parametro di quest’obbligo è quello di distribuire in modo equo ed efficace responsabilità specifiche con cui valutazione dell’impatto dell’intelligenza artificiale sui diritti fondamentali della persona. La FRIA riguarderà pertanto un range estremamente vasto di organizzazioni europee, quindi anche le PA non solo sono chiamate a dimostrare la capacità di non perdere i dati sensibili dei cittadini, ma che le scelte di automatizzazione attraverso gli algoritmi non calpestino i valori costituzionali nazionali ed europei.
In altre parole, se la DPIA risponde alla domanda “I dati sono al sicuro?”, la FRIA dovrà farlo alla correttezza degli algoritmi, che siano imparziali e che non vadano a ledere in alcun modo i diritti.
Non solo privacy: perché alla PA serve la FRIA (anche se ha già la DPIA)
Spostare il focus dal perimetro del GDPR a quello dei diritti fondamentali è un passaggio fondamentale che crea le basi del nuovo approccio nella cultura dell’automatizzazione. L’IA ha purtroppo la capacità intrinseca di generare impatti che possono andare ben oltre la violazione della riservatezza, quindi la FRIA è assolutamente necessaria. Tra le motivazioni più delicate emerge senza dubbio il rischio di discriminazione algoritmica. Per comprenderlo,
possiamo immaginare un sistema di intelligenza artificiale utilizzato per lo scoring sociale o per l’erogazione di sussidi pubblici. Anche ipotizzando che il trattamento dei dati avvenga nel pieno rispetto del GDPR, questo non garantisce automaticamente l’equità delle decisioni: l’algoritmo, infatti, potrebbe comunque risultare parziale, poiché addestrato su dati storici che incorporano bias e disuguaglianze del passato.
La FRIA consentirà anche di rafforzare il fattore trasparenza inteso come comprensibilità delle scelte. Ad esempio, se a un cittadino viene negata una certa richiesta o prestazione a causa di un algoritmo, egli avrà tutto il diritto di conoscere i perché della decisione. L’Art.27 va così ad inserirsi in un complessivo di valutazione dei rischi contenuto nell’AI Act che già ruota su altre due basi: valutazione/classificazione e conformità tecnica. Questi parametri non possono essere determinati attraverso la sola DPIA poiché non è strutturata per affrontare in modo pieno le implicazioni etiche e sociali delle tecnologie.
Valutazioni d’impatto come occasione di responsabilizzazione
Spesso le PA hanno percepito la documentazione di conformità come pile di documenti da produrre a progetto finito. Le Linee Guida AgID 2025 hanno cambiato questa percezione poiché il processo di valutazione che integra la DPIA successivamente la FRIA sarà la propulsione della governance, quindi le “scartoffie” non rappresentano la conclusione ma parte del processo stesso. Il nuovo approccio spinge gli enti verso una reale responsabilizzazione, che coinvolge differenti figure chiave.
Il DPO (Data Protection Officer), ad esempio, pur continuando ad occuparsi della vigilanza e protezione dati, è oggi chiamato a confrontarsi e a dialogare con altre figure esperte di etica e diritti, ampliando così il perimetro della propria azione. Accanto a lui emerge il Responsabile IA che è rappresentato da una figura emergente che garantisce il rispetto dei requisiti tecnici dell’AI Act, ossia sicurezza, accuratezza e robustezza per tutto il ciclo di vita del sistema. Infine Il CISO (Chief Information Security Officer): mantiene un ruolo essenziale per garantire la non vulnerabilità ad attacchi che potrebbero alterare i risultati e violare i diritti dei cittadini.
Le linee guida AgID 2025: cosa aspettarsi
L’AgID ha tracciato un percorso per i servizi pubblici automatizzati considerati ad alto rischio, ovvero sanità, welfare, giustizia, istruzione. Per le PA, questa diventa una sfida che può finalmente consentirne svecchiamento e snellimento degli iter al cittadino. La piena conformità all’AI Act diventerà un sigillo di qualità, poiché solo le amministrazioni in grado di rispettare i diritti fondamentali potranno dichiararsi veramente “digitali”.
I diritti non si scambiano con l’efficienza
A differenza della DPIA che si concentra sulla protezione dei dati personali, la FRIA abbraccia l’intero spettro dei diritti fondamentali sanciti dalla Carta dei Diritti Fondamentali dell’Unione Europea. A oggi, quasi nessuno conosce i contenuti operativi della FRIA; la notizia del rinvio dell’entrata in vigore slittato al 2 dicembre 2027, può rappresentare un vantaggio ma anche un campanello di allarme. La buona notizia è che si ha un certo lasso di tempo per integrare la FRIA all’interno della DPIA, la cattiva notizia è che nonostante l’ampio margine temporale occorre svegliarsi da subito. Consci delle lungaggini tipiche di alcune organizzazioni la data del 2/12/2027 è un monito che non va assolutamente sottovalutato; per trasformare un obbligo normativo in una prassi operativa condivisa serve tempo, conoscenza, metodo e best practice. L’occasione giusta è parlarne con i migliori esperti di settore a secsolutionforum 2026, appuntamento aperto ai professionisti della sicurezza e PA che si svolgerà il 7 e 8 ottobre a BolognaFiere. La formazione tecnico-legale è fondamentale per portare a termine delicate transizioni come l’integrazione normativa. Partecipare a secsolutionforum il 7 e 8 ottobre 2026 significa apprendere in anticipo e avere oltre un anno di tempo per concretizzare.
