Il Regolamento (UE) 2024/1689 — il cosiddetto AI Act — è entrato in vigore il 1° agosto 2024 ed è in progressiva applicazione. Si tratta del primo corpus normativo al mondo sull'intelligenza artificiale con forza di legge vincolante, e la pubblica amministrazione ne è uno dei destinatari principali. Per i Comuni e gli altri enti locali, le implicazioni sono concrete e immediate.

Cos'è l'AI Act e quando si applica

L'AI Act introduce un sistema di classificazione dei sistemi di IA basato sul livello di rischio:

  • Rischio inaccettabile: sistemi vietati (es. social scoring da parte delle autorità pubbliche, sorveglianza biometrica di massa in spazi pubblici)
  • Alto rischio: sistemi soggetti a obblighi stringenti prima della messa in uso (es. sistemi usati per decisioni amministrative che riguardano cittadini, accesso a servizi pubblici, valutazione delle persone)
  • Rischio limitato: obblighi di trasparenza (es. chatbot: l'utente deve sapere che sta interagendo con una macchina)
  • Rischio minimo: nessun obbligo specifico

I sistemi di IA ad alto rischio nella PA locale

L'Allegato III del Regolamento elenca le categorie di sistemi di IA classificati ad alto rischio. Per gli enti locali, le più rilevanti sono:

  • Gestione e accesso ai servizi pubblici: sistemi usati per valutare l'ammissibilità a benefici, prestazioni sociali, agevolazioni tariffarie (ISEE, riduzioni TARI, accesso a servizi scolastici)
  • Applicazione della legge: sistemi di videosorveglianza con funzioni di riconoscimento o analisi comportamentale
  • Gestione della migrazione e dell'asilo: sistemi di verifica dell'autenticità di documenti, valutazione delle richieste
  • Sistemi di valutazione delle persone: algoritmi usati per la selezione del personale, valutazione delle performance dei dipendenti

Gli obblighi per gli enti locali che usano sistemi ad alto rischio

Gli enti locali che adottano sistemi di IA ad alto rischio — in qualità di deployer (utilizzatori) — devono:

  • Adottare misure tecniche e organizzative per garantire l'uso conforme alle istruzioni del fornitore
  • Designare un referente per l'IA (figura analoga al DPO per il GDPR)
  • Effettuare una valutazione d'impatto sui diritti fondamentali prima della messa in uso
  • Garantire la supervisione umana: un funzionario deve poter intervenire, correggere o disattivare il sistema
  • Informare i dipendenti che lavorano con sistemi di IA
  • Registrare i log di utilizzo e conservarli per almeno 6 mesi
  • Segnalare all'autorità di vigilanza eventuali incidenti gravi

Il divieto di social scoring

L'art. 5 dell'AI Act vieta espressamente i sistemi di IA che consentono alle autorità pubbliche di effettuare una valutazione o classificazione delle persone basata sul comportamento sociale o su caratteristiche personali, quando ciò determina un trattamento sfavorevole ingiustificato. Questo include qualsiasi sistema di "punteggio" applicato ai cittadini per determinare l'accesso a servizi o la priorità nelle procedure amministrative.

IA e procedimento amministrativo: il nodo della motivazione

L'uso di sistemi di IA nella formazione dei provvedimenti amministrativi pone questioni fondamentali rispetto agli artt. 3 e 7 della L. 241/1990:

  • Il provvedimento adottato (anche parzialmente) tramite algoritmo deve essere motivato: non è sufficiente indicare che la decisione è stata "supportata da un sistema automatizzato"
  • Il Consiglio di Stato (Sez. VI, Ad. Plen.) ha affermato che il funzionario rimane sempre responsabile della decisione finale e non può delegarla all'algoritmo
  • Il diritto di accesso agli atti si estende agli algoritmi usati nei procedimenti: il cittadino ha diritto di conoscere la logica del sistema che ha inciso sulla sua posizione
«L'algoritmo è uno strumento che può supportare la decisione amministrativa, ma non può sostituirla. La responsabilità del provvedimento rimane sempre in capo al funzionario umano, che deve poter spiegare e motivare le scelte compiute.»
— Consiglio di Stato, Sez. VI, sent. n. 2270/2019 (principio confermato dall'AI Act)

Le opportunità: cosa può fare l'IA per i Comuni

L'AI Act non è solo un insieme di vincoli: crea un quadro di fiducia entro cui i Comuni possono adottare l'IA in modo responsabile. Le applicazioni a basso rischio — e quindi prive di obblighi stringenti — sono numerose:

  • Chatbot per l'assistenza ai cittadini (con obbligo di disclosure della natura artificiale)
  • Analisi predittiva per la pianificazione dei servizi (es. previsione della domanda di servizi scolastici, raccolta rifiuti)
  • Automazione documentale: redazione bozze di atti standard, controllo di conformità
  • Analisi dei dati contabili per il monitoraggio degli equilibri di bilancio
  • Supporto alla ricerca normativa e alla redazione di pareri

Il calendario di applicazione

L'AI Act ha un'applicazione progressiva:

  • Febbraio 2025: divieto dei sistemi a rischio inaccettabile
  • Agosto 2025: obblighi per i sistemi di IA general purpose (GPT, ecc.) e governance nazionale
  • Agosto 2026: obblighi per i sistemi ad alto rischio (quelli più rilevanti per la PA)
  • Agosto 2027: obblighi per i sistemi ad alto rischio già in uso prima del Regolamento

L'attuazione italiana: dalla L. 132/2025 ai decreti del 10 giugno 2026

Il quadro nazionale di attuazione dell'AI Act si sta progressivamente consolidando attraverso un processo a più tappe. La L. 23 settembre 2025, n. 132 ha conferito al Governo la delega per l'adozione dei decreti legislativi di attuazione del Regolamento UE 2024/1689, nonché per l'introduzione di principi nazionali su sviluppo, lavoro, professioni, sanità, formazione, sicurezza e responsabilità.

Il 10 giugno 2026, in esame preliminare al Consiglio dei Ministri, sono stati approvati due decreti legislativi attuativi della delega:

  • Decreto 1 — Governance, mercato e lavoro: architettura istituzionale (AgID quale autorità di notifica e gestore della sandbox; ACN come autorità di vigilanza del mercato e punto di contatto con l'AI Office UE; Banca d'Italia/CONSOB/IVASS per i settori finanziario-assicurativo; Garante Privacy per i sistemi ad alto rischio dell'Allegato III, p. 6); regole per il mondo del lavoro con divieto di decisioni unicamente automatizzate nelle assunzioni, sanzioni e licenziamenti (nullità del licenziamento adottato in violazione); formazione obbligatoria del personale della PA;
  • Decreto 2 — Sicurezza pubblica e responsabilità: identificazione biometrica remota delle forze dell'ordine a condizioni stringenti; sanzioni amministrative fino a € 35 milioni o 7% del fatturato; nuovo reato di omessa adozione di misure di sicurezza nei sistemi di IA (1-5 anni; fino a 10 anni nei casi aggravati) con inclusione tra i reati presupposto del D.Lgs. 231/2001; responsabilità civile aggravata con presunzione di nesso causale.
📌 Approfondimento dedicato. Per la disamina completa del contenuto dei due decreti e per il decalogo operativo degli adempimenti per gli enti locali, vedi il nostro → approfondimento sui decreti attuativi della Legge 132/2025.

Lo stato dell'arte: la ricerca IFEL / SDA Bocconi 2026

IFEL ha recentemente pubblicato i risultati dell'indagine "AI e PA: stato dell'arte, priorità e traiettorie di sviluppo", un report di ricerca prodotto da SDA Bocconi School of Management nell'ambito del progetto europeo AI-PACT. Lo studio offre una fotografia aggiornata di come le pubbliche amministrazioni italiane stanno introducendo (o pensano di introdurre) sistemi di intelligenza artificiale nei loro processi.

Sul fronte applicativo, il Ministero per la Pubblica Amministrazione ha già avviato due progetti specifici di IA al servizio del funzionamento interno:

  • "Minerva" — agente di intelligenza artificiale dedicato alla gestione del personale pubblico
  • "Norma AI" — agente progettato per semplificare l'accesso alla normativa, in particolare nel settore delle energie rinnovabili

Sul piano organizzativo, il portale inPA per il reclutamento pubblico ha raggiunto i 3,2 milioni di iscritti e la piattaforma Syllabus è dedicata alla formazione continua dei dipendenti pubblici. Entrambi sono strumenti funzionali all'adozione di soluzioni IA nella PA. Più in generale, il tempo medio dei concorsi pubblici è passato da 780 giorni del 2021 a soli 4 mesi attuali, consentendo l'ingresso di 641.000 persone nella PA nel triennio 2023-2025 (curva dei dipendenti pubblici in crescita per la prima volta dopo 18 anni).

Il volume IFEL 2026 «Intelligenza artificiale nei Comuni italiani»: dati e lesson learnt dal progetto AIPACT

Nel 2026 IFEL — Fondazione ANCI ha pubblicato il volume «Intelligenza artificiale nei Comuni italiani. Competenze, governance, territori», roadmap del progetto europeo AIPACT (Artificial Intelligence for Public Administration ConnecTed), finanziato dal PNRR (Missione 4 — Componente 2 — Investimento 2.3). Il volume è il primo studio sistematico — su base statistica robusta — dell'adozione concreta dell'IA negli enti locali italiani.

I numeri del progetto AIPACT

  • 4 territori pilota: Roma, Bergamo, Toscana, Liguria;
  • 103 Comuni firmatari del percorso;
  • 40 assessment di maturità digitale condotti face-to-face con metodologia sviluppata da Università Bocconi;
  • 350 partecipanti a 4 edizioni di formazione (Arezzo, Livorno, Firenze, Genova);
  • 664 soggetti intervistati con survey su percezioni, competenze e livelli di adozione (novembre 2025 — marzo 2026).

I cinque messaggi chiave della survey IFEL-AIPACT

📊 Fotografia dello stato di adozione dell'IA nei Comuni (2026)
  1. Adozione marginale: solo 14,5% dei rispondenti segnala uso diretto dell'IA nell'ente; 34% uso indiretto (piattaforme con funzioni «smart»); 51,5% nessun uso noto. Solo l'1% raggiunge un livello istituzionalizzato;
  2. L'uso individuale corre più veloce dell'uso istituzionale: il 41,9% dei rispondenti dichiara di usare strumenti di IA generativa personalmente, a supporto del proprio lavoro, al di fuori di regole interne — il fenomeno della «shadow AI»;
  3. Formazione insufficiente e introduttiva: 55,7% del personale non ha partecipato ad alcuna formazione su IA negli ultimi 12 mesi; del restante 44%, il 62,9% ha frequentato solo webinar informativi, con percorsi pratici (laboratori, casi d'uso) marginali;
  4. Usi concentrati su attività documentali, applicazioni strategiche marginali: produzione/revisione documenti (58,3%), sintesi testi lunghi (56,2%), analisi dati (19,8%), automazione (16,7%), interazione con cittadini via chatbot (14,6%), pianificazione (11,5%), supporto decisionale (8,3%);
  5. Ostacoli multidimensionali: mancanza di formazione regolare, incertezza normativa, paura di errori, qualità e interoperabilità dei dati, assenza di procedure interne, leadership non pienamente attiva nel guidare il cambiamento.

I quattro casi territoriali

Territorio Modello adottato Risultati
RomaSperimentazione applicata a un processo specifico (logica «test before invest»)Progetto «AI-Visto» — IA a supporto dei controlli amministrativo-contabili della Ragioneria Generale di Roma Capitale; circa 20 funzionari coinvolti
BergamoCostruzione di una roadmap progressiva — leadership digitale e governance50 dirigenti formati; assessment di maturità digitale; passaggio da uso individuale informale a strategia istituzionale
ToscanaModello di capacity building esteso su scala regionale (in collaborazione con Anci Toscana)85 Comuni firmatari, 43 assessment face-to-face, 180+ partecipanti in 3 giornate formative (Arezzo, Livorno, Firenze)
Liguria — Città Metropolitana di GenovaEcosistema territoriale (la Città Metropolitana come moltiplicatore di competenze)13 Comuni coinvolti, oltre a Genova; 150 funzionari formati con webinar e laboratori

Le sette «lesson learnt» di AIPACT per i Comuni

  1. La shadow AI è già presente: occorre governarla, non impedirla. Costruire capacità di governance, monitoraggio e valutazione dell'impatto;
  2. L'innovazione nasce dal valore pubblico, non dalla tecnologia: i percorsi funzionano quando partono da bisogni organizzativi concreti, non da logiche tecnologiche scollegate;
  3. L'innovazione che non si istituzionalizza resta fragile: tradurre le sperimentazioni in modelli operativi, checklist, percorsi decisionali e pratiche condivise;
  4. Pianificazione, leadership e apprendimento tra pari sono le tre leve strategiche più efficaci. Il confronto tra Comuni è considerato un fattore di «attivazione» fondamentale dell'adozione;
  5. La formazione efficace parte dai casi d'uso reali: superare la logica del webinar informativo, lavorare su esempi pratici, processi reali, problemi operativi del proprio ente;
  6. L'addestramento dei sistemi di IA richiede un cambiamento organizzativo esplicito (lezione di Roma — AI-Visto): non si delega al solo fornitore; il personale esperto deve validare gli esiti, correggere gli errori, aggiornare i criteri di controllo;
  7. La sostenibilità economica va costruita lungo tutto il ciclo di vita: il costo non coincide con la prototipazione, comprende integrazione con i sistemi dell'ente, infrastruttura, manutenzione, aggiornamento modelli, sicurezza, compliance, formazione, supporto applicativo e supervisione continuativa.
⚠️ Implicazione operativa per il Segretario Comunale. Il dato del 41,9% di uso personale dell'IA generativa ben oltre i quadri istituzionali è probabilmente l'allarme più importante: la shadow AI è già una realtà negli enti, anche piccoli. Il rischio non è ipotetico — dipendenti che inseriscono dati riservati, prompt mal posti, output utilizzati senza verifica — ma quotidiano. La risposta operativa più urgente è l'adozione di una circolare interna sull'uso dell'IA (casi ammessi/vietati, divieto di inserimento dati riservati, regole di verifica, tracciabilità), come trattato sistematicamente nell'approfondimento dedicato sulla riserva di umanità.

📥 Modello operativo: circolare interna sull'uso dell'IA

Per dare immediata attuazione alla raccomandazione operativa del volume IFEL-AIPACT e contrastare la diffusione della shadow AI, è disponibile per il download un modello di circolare interna già strutturato in 8 articoli (finalità e ambito, casi d'uso ammessi e vietati, divieto di inserimento dati riservati, verifica delle fonti, tracciabilità, responsabilità, formazione) e adattabile a qualsiasi Comune.

⬇ Scarica modello .docx (disponibile anche nella sezione Modulistica del sito)

Strumenti operativi AgID per gli open data: Cruscotto Italia e SIMBA

Nel quadro delle politiche di valorizzazione degli open data e dell'integrazione tra IA e patrimonio informativo pubblico, l'Agenzia per l'Italia Digitale (AgID) ha reso disponibili due strumenti complementari: una dashboard di consultazione e una suite operativa, entrambe arricchite da chatbot basati su IA. Le finalità sono convergenti ma con destinatari diversi: da un lato rendere i dati pubblici accessibili e comprensibili a un pubblico ampio; dall'altro supportare le amministrazioni nella produzione, gestione e qualità degli open data. Insieme, i due strumenti rafforzano trasparenza, riuso e interoperabilità delle informazioni pubbliche.

Cruscotto Italia: la piattaforma di consultazione e visualizzazione

Cruscotto Italia è una piattaforma di consultazione e visualizzazione che offre una rappresentazione unitaria dei principali dati pubblici riferiti a ciascun Comune italiano. L'obiettivo è rendere gli open data più leggibili e immediati — anche per chi non possiede competenze tecniche — attraverso schede comunali chiare e narrative che consentono confronti rapidi tra territori.

I dati, acquisiti senza oneri per gli enti locali, provengono esclusivamente da fonti istituzionali ufficiali e coprono numerosi ambiti strategici: popolazione, ambiente, istruzione, opere pubbliche, redditi, patrimonio. Un elemento distintivo è l'integrazione con l'intelligenza artificiale tramite il protocollo aperto MCP (Model Context Protocol): gli agenti IA possono interrogare direttamente informazioni affidabili e aggiornate, garantendo risposte tracciabili e verificabili — coerentemente con il principio di trasparenza richiesto dall'AI Act per i sistemi che operano sull'azione amministrativa.

📌 Perché è rilevante per il Comune

Il Comune non deve caricare i dati: la piattaforma li acquisisce da fonti istituzionali. L'utilità per l'ente è di tipo informativo e strategico: confronto rapido con realtà simili, supporto alla programmazione, base per la comunicazione istituzionale ai cittadini. È inoltre uno strumento di controllo civico: dopo Cruscotto Italia, l'amministratore può aspettarsi che i cittadini dispongano di dati di confronto facili e immediati.

SIMBA: la suite operativa per la qualità degli open data

SIMBA (acronimo di Sistema Intelligente per la ricerca di Metadati, Bonifica e Arricchimento semantico) è una suite operativa pensata per superare le criticità della pubblicazione degli open data nella Pubblica Amministrazione. Lo strumento trasforma un'attività spesso frammentata in un processo strutturato, orientato non solo alla correttezza formale dei metadati, ma soprattutto alla qualità sostanziale dei dati.

SIMBA individua automaticamente le anomalie ricorrenti nei dataset (campi incompleti, formati non omogenei, codifiche incoerenti) e promuove l'uso di vocabolari controllati e ontologie condivise, rendendo i dataset confrontabili tra enti diversi. La piattaforma supporta:

  • PA e fornitori tecnologici nella validazione e correzione dei dati prima della pubblicazione;
  • cittadini e analisti nell'interrogazione dei cataloghi open data tramite chatbot in linguaggio naturale, semplificando l'accesso alle informazioni anche a chi non padroneggia query strutturate.
📐 La complementarità Cruscotto Italia ↔ SIMBA. I due strumenti rispondono a esigenze diverse ma convergenti: Cruscotto Italia opera a valle (consultazione, visualizzazione, confronto territoriale), mentre SIMBA opera a monte (qualità dei dati che alimentano i cataloghi). Per gli enti locali la conseguenza pratica è duplice: utilizzare Cruscotto Italia come strumento di confronto strategico e adottare SIMBA per migliorare la qualità dei propri open data prima della pubblicazione su CKAN/dati.gov.it.

Riflessi operativi per il Segretario Comunale

Cruscotto Italia e SIMBA si collocano nel solco delle politiche di open data e trasparenza già consolidate (D.Lgs. 33/2013; D.Lgs. 36/2006 sull'informazione del settore pubblico, attuativo della direttiva PSI; D.Lgs. 200/2021 di recepimento della direttiva 2019/1024/UE). Per il Segretario Comunale rilevano alcuni snodi operativi:

  • aggiornare il regolamento sull'accesso e la trasparenza e il PIAO 2026-2028 (sezione anticorruzione/trasparenza) con riferimento ai nuovi strumenti AgID;
  • coordinarsi con il RTD (Responsabile per la Transizione Digitale) per l'adozione di SIMBA nella validazione dei dataset comunali prima della pubblicazione;
  • valorizzare la tracciabilità e l'explainability degli output IA: l'interrogazione del Cruscotto via MCP garantisce risposte verificabili — è un modello replicabile per altre integrazioni IA nei procedimenti dell'ente;
  • preparare gli uffici al controllo civico data-driven: cittadini e consiglieri comunali potranno avere accesso immediato a dati comparativi tra Comuni — un'opportunità di trasparenza ma anche un terreno potenziale di contenzioso politico-amministrativo, da governare con consapevolezza informativa.

Prossimi approfondimenti su questa sezione

  • Chatbot nei Comuni: come implementarli in conformità all'AI Act
  • IA e selezione del personale pubblico: limiti e cautele
  • Trasparenza algoritmica e accesso civico ai sistemi di IA
  • Il Piano Nazionale per l'IA e le opportunità per gli enti locali
  • Esperienze concrete: Comuni che hanno adottato l'IA

Fonti di riferimento: Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio (AI Act); L. 23 settembre 2025, n. 132 (disciplina nazionale sull'IA); Consiglio di Stato, Sez. VI, sent. n. 2270/2019; L. 7 agosto 1990, n. 241, artt. 3 e 7; D.Lgs. 14 marzo 2013, n. 33 (trasparenza); D.Lgs. 24 gennaio 2006, n. 36 e D.Lgs. 8 novembre 2021, n. 200 (open data e direttiva 2019/1024/UE); D.Lgs. 7 marzo 2005, n. 82 (CAD). Strumenti istituzionali: AgID — Cruscotto Italia (piattaforma di visualizzazione open data a livello comunale, integrazione con agenti IA via protocollo aperto MCP — Model Context Protocol); AgID — SIMBA (Sistema Intelligente per la ricerca di Metadati, Bonifica e Arricchimento semantico). Le considerazioni espresse rappresentano riflessioni personali e non costituiscono parere legale.

🔗 Link esterni di interesse

Una selezione di strumenti istituzionali e risorse ufficiali per approfondire i temi trattati:

  • Cruscotto Italia — cruscotto-italia.dati.gov.itAgID. Piattaforma ufficiale di consultazione e visualizzazione degli open data riferiti a ciascun Comune italiano: popolazione, ambiente, istruzione, opere pubbliche, redditi, patrimonio. Dati acquisiti da fonti istituzionali ufficiali senza oneri per gli enti; integrazione con agenti IA tramite il protocollo aperto MCP (Model Context Protocol) per risposte tracciabili e verificabili.
  • SIMBA — Chatbot dati.gov.it — chatbot.dati.gov.it/chatbotAgID. Interfaccia conversazionale in linguaggio naturale del Sistema Intelligente per la ricerca di Metadati, Bonifica e Arricchimento semantico. Consente a cittadini, analisti e operatori della PA di interrogare i cataloghi nazionali degli open data senza necessità di query strutturate; supporta inoltre PA e fornitori tecnologici nella validazione e nella correzione di metadati e dataset prima della pubblicazione.
  • Intelligenza artificiale nei Comuni italiani. Competenze, governance, territori — Volume IFEL 2026 (download diretto PDF)Fondazione IFEL — ANCI, 2026. Roadmap del progetto europeo AIPACT (Artificial Intelligence for Public Administration ConnecTed), finanziato dal PNRR (Missione 4 — Componente 2 — Investimento 2.3). Volume di 153 pagine che fotografa lo stato di adozione dell'IA nei Comuni italiani sulla base della survey IFEL-AIPACT (664 funzionari intervistati nov 2025 — mar 2026), con i 4 casi territoriali di Roma (AI-Visto per controlli amministrativo-contabili), Bergamo (roadmap di leadership digitale), Toscana (85 Comuni — capacity building) e Liguria/Genova (ecosistema territoriale). Contiene i 5 messaggi chiave dell'indagine, le 7 lesson learnt e una metodologia replicabile di assessment di maturità digitale sviluppata dall'Università Bocconi.

I link rinviano a fonti esterne; le opinioni in esse contenute non sono ascrivibili a questo sito.