IA nella Pubblica Amministrazione, stretta sui server esteri: il DDL al vaglio della Camera agita il settore IT

IA nella Pubblica Amministrazione, stretta sui server esteri: il DDL al vaglio della Camera agita il settore IT

Il disegno di legge sull’intelligenza artificiale, già approvato al Senato, impone vincoli rigidi per l’adozione di sistemi IA nella Pubblica Amministrazione. Al centro del dibattito, la localizzazione dei server sul suolo nazionale e i requisiti per datacenter e sicurezza, che potrebbero escludere molte soluzioni attualmente utilizzate. Previste anche limitazioni per i professionisti: l’IA può affiancare ma non sostituire il lavoro umano

di pubblicata il , alle 12:01 nel canale Web
 

Le regole sono cambiate. Il disegno di legge sull’intelligenza artificiale, approvato dal Senato lo scorso 20 marzo e ora in discussione alla Camera, introduce vincoli che potrebbero rimettere in discussione numerose soluzioni informatiche già operative all’interno delle Pubbliche Amministrazioni italiane.

L’attenzione degli operatori si concentra su due articoli chiave del testo legislativo. Il primo, l’articolo 5, prevede che le piattaforme di e-procurement delle PA privilegino l’adozione di sistemi e modelli IA che garantiscano il trattamento dei dati strategici esclusivamente all’interno di datacenter localizzati in Italia. Le stesse strutture dovranno anche ospitare i meccanismi di disaster recovery e business continuity. A ciò si aggiunge l’obbligo, per i modelli IA generativi, di assicurare elevati standard di sicurezza e trasparenza nei processi di addestramento e sviluppo, in linea con la normativa sulla concorrenza e i principi di proporzionalità e non discriminazione.

Disposizioni e deleghe al Governo in materia di intelligenza
artificiale

Più stringente ancora l’articolo 6, dedicato alla sicurezza e alla difesa nazionale. Il comma 2 stabilisce che ogni sistema IA destinato all’uso pubblico – ad eccezione di quelli impiegati all’estero per operazioni militari – debba essere installato su server situati sul territorio italiano. L’obiettivo dichiarato è quello di garantire la sovranità e la protezione dei dati sensibili dei cittadini.

Queste disposizioni, se confermate anche nella versione definitiva, metterebbero fuori gioco molte delle piattaforme oggi adottate nella quotidianità amministrativa: strumenti di supporto come Copilot o i modelli linguistici utilizzati per automatizzare processi o migliorare l’interazione con l’utenza potrebbero non essere più utilizzabili nella Pubblica Amministrazione. Tutti, infatti, sono accomunati dal fatto di operare su infrastrutture cloud estere.

Dunque, l’articolo 5 riguarda soprattutto le regole per scegliere i fornitori di sistemi di intelligenza artificiale attraverso gli appalti pubblici: suggerisce di privilegiare quelle soluzioni che garantiscono sicurezza e trasparenza e che trattano i dati strategici all’interno di data center situati in Italia. L’articolo 6, invece, impone un vincolo più rigido: stabilisce che tutti i sistemi di IA utilizzati dalla pubblica amministrazione debbano essere installati su server fisicamente presenti nel territorio nazionale, per proteggere i dati sensibili dei cittadini e garantire la sicurezza dello Stato. In breve, il primo orienta le scelte delle amministrazioni, il secondo detta un obbligo preciso legato alla cybersicurezza.

La portata delle restrizioni ha aperto un confronto acceso tra esperti giuridici e tecnici. Non mancano proposte di modifica orientate ad allargare il perimetro normativo almeno al mercato europeo, così da evitare un isolamento tecnologico che mal si concilierebbe con l’approccio delineato dalle recenti Linee guida AgID sull’adozione dell’IA nella PA o dal Piano Triennale per l’informatica pubblica 2024-2026, che promuove esplicitamente l’impiego dell’intelligenza artificiale per rendere più efficiente l’azione amministrativa.

Il DDL contiene anche una sezione dedicata ai professionisti, in cui si stabiliscono confini precisi all’uso dell’intelligenza artificiale nelle cosiddette professioni intellettuali. L’articolo 13 chiarisce che l’IA può essere impiegata solo per attività di supporto o strumentali, ma sempre in un contesto che ribadisce il primato del contributo umano. La prestazione d’opera deve conservare un contenuto prevalentemente intellettuale, con il professionista chiamato a conservare il controllo e la responsabilità delle decisioni.

Viene inoltre introdotto un obbligo di trasparenza nei confronti del cliente. Ogni utilizzo di sistemi IA dovrà essere comunicato in modo semplice e completo, così da tutelare il rapporto fiduciario alla base dell’attività professionale. Ciò comporta l’adeguamento delle pratiche informative, dalle lettere d’incarico ai documenti interni, con un impatto operativo non secondario per gli studi e gli uffici tecnici.

Il DDL sull’intelligenza artificiale definisce anche principi per la ricerca, lo sviluppo e l'adozione dei sistemi di IA. Tra i temi affrontati: sanità, disabilità, protezione dei dati, tutela dei lavoratori e cybersicurezza. Si occupa anche di trattamento dei dati personali e contempla le categorie particolari di dati personali ex art. 9 GDPR. Previste anche sanzioni penali per la diffusione illecita di contenuti generati o manipolati da IA. Viene confermato, infine, il ruolo centrale di AgID e ACN come autorità di riferimento. Il testo completo si trova a questo indirizzo.

In attesa del passaggio definitivo alla Camera, il settore IT pubblico e il mondo delle professioni guardano con attenzione a possibili emendamenti. Il rischio, se il testo rimanesse invariato, è quello di creare un divario tra la disciplina normativa e le necessità operative, in un momento in cui l’integrazione dell’intelligenza artificiale nei processi pubblici è già in corso.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
aled197407 Aprile 2025, 12:31 #1
tutto (quasi tutto, o quasi niente) made in italy e protetto su server nazionali impenetrabili ( )

poi tra di loro li facciamo comunicare tramite starlink... ma questi sono dettagli irrilevanti

ciao ciao
fabius2107 Aprile 2025, 12:42 #2
Originariamente inviato da: aled1974
tutto (quasi tutto, o quasi niente) made in italy e protetto su server nazionali impenetrabili ( )

poi tra di loro li facciamo comunicare tramite starlink... ma questi sono dettagli irrilevanti

ciao ciao


Oltre questo, mi sembra assurdo l'ultima parte, che non potrà sostituire il lavoro umano. un echamotage che mi viene in mente, si dirà che affianca il lavoro del ceo, anche se alla fine effettuerà lavori fuori dal suo ambito. Magari si avrà il ceo, con 500 ai che fanno tutto dell'azienda (parlo in ottica futura, quando e se arriverà che effettivamente sia una vera ai o quasi)
Max Power07 Aprile 2025, 12:57 #3
Magari iniziare con dei paletti per quanto riguarda l'hardware ma soprattutto il software?
UtenteHD07 Aprile 2025, 15:12 #4
Beh se il Coud della PA resta in Italia e/o in zona meglio (credo che non sono Tech)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^