Il 10 giugno 2026, in sede di esame preliminare, il Consiglio dei Ministri ha approvato due decreti legislativi attuativi della L. 23 settembre 2025, n. 132 — legge delega in materia di intelligenza artificiale, a sua volta funzionale alla compiuta attuazione nazionale del Regolamento UE 13 giugno 2024, n. 1689 (AI Act). Si tratta del primo grande tassello del quadro applicativo italiano dell'AI Act, con implicazioni significative per la governance, il mondo del lavoro e — per quanto qui di particolare interesse — per le pubbliche amministrazioni, le forze di polizia locale e i profili di responsabilità. In questa guida ricostruiamo struttura, contenuti e impatto operativo dei due decreti per gli enti locali.

📌 In sintesi.
  • I decreti sono in esame preliminare: passeranno alle Commissioni parlamentari per il parere consultivo prima dell'approvazione definitiva.
  • Decreto 1 — Governance, mercato e lavoro: architettura istituzionale (AgID, ACN, autorità di settore), spazio di sperimentazione (sandbox), regole per il mondo del lavoro (divieto di decisioni unicamente automatizzate; nullità del licenziamento adottato in violazione), modulazione dell'equo compenso per professionisti, formazione obbligatoria.
  • Decreto 2 — Sicurezza pubblica e responsabilità: uso dell'IA da parte delle forze dell'ordine (identificazione biometrica remota a condizioni stringenti), sanzioni amministrative allineate all'AI Act (fino a € 35 milioni o 7% del fatturato), nuovo reato di «omessa adozione di misure di sicurezza nei sistemi di IA» (1-5 anni, fino a 10 anni nei casi aggravati), inclusione nei reati presupposto della responsabilità ex D.Lgs. 231/2001.
  • Per le PA e gli enti locali: vincolo di supervisione umana nelle decisioni HR; formazione obbligatoria del personale (alfabetizzazione IA); limiti stringenti all'uso del riconoscimento facciale in videosorveglianza; obblighi di trasparenza algoritmica già richiamati dalle Linee Guida AgID 2024.

Il quadro normativo: dall'AI Act alla L. 132/2025 ai decreti del 10 giugno 2026

Fonte Contenuto
Regolamento UE 13 giugno 2024, n. 1689 (AI Act) Quadro europeo armonizzato sull'intelligenza artificiale: classificazione dei sistemi per livello di rischio (vietati, ad alto rischio, a rischio limitato, a rischio minimo), obblighi per i fornitori e per i deployer, governance europea e nazionale
Direttiva UE 23 ottobre 2024, n. 2853 (AI Liability Directive) Regole armonizzate sulla responsabilità civile da danni causati da sistemi di IA; recepimento entro il 9 dicembre 2026
L. 23 settembre 2025, n. 132 (legge italiana sull'IA) Delega al Governo per l'adozione di decreti legislativi di attuazione dell'AI Act e per l'introduzione di principi nazionali sull'IA (sviluppo, lavoro, professioni, sanità, formazione, sicurezza, responsabilità)
Decreti legislativi attuativi — esame preliminare CdM 10 giugno 2026 Decreto 1: Governance, mercato e lavoro. Decreto 2: Sicurezza pubblica e responsabilità
D.Lgs. 8 giugno 2001, n. 231 Responsabilità amministrativa degli enti per reati commessi nel loro interesse o vantaggio — sarà ampliato per includere il nuovo reato in materia di IA
Linee Guida AgID per l'adozione dell'IA nella PA Indicazioni operative per le pubbliche amministrazioni sull'uso responsabile dell'IA: trasparenza algoritmica, valutazione d'impatto, governance interna (vedi → approfondimento dedicato)

Il Decreto 1 — Governance, mercato e lavoro

L'architettura istituzionale: AgID, ACN e autorità di settore

Il primo decreto disegna il sistema di governance italiano dell'IA, distribuendo competenze tra una pluralità di autorità nazionali con ruoli coordinati.

Autorità Competenze
AgID — Agenzia per l'Italia Digitale Autorità di notifica (notifica alla Commissione UE degli organismi di valutazione della conformità); valutazione degli organismi di conformità; gestione dello spazio di sperimentazione regolamentare (sandbox) per le startup e per i fornitori italiani
ACN — Agenzia per la Cybersicurezza Nazionale Vigilanza del mercato dell'IA; punto di contatto unico dell'Italia con l'AI Office europeo
Banca d'Italia, CONSOB, IVASS Sistemi di IA utilizzati nel settore finanziario, bancario, assicurativo (preminenza delle autorità di settore)
Garante per la protezione dei dati personali Sistemi di IA ad alto rischio ex Allegato III, p. 6, AI Act (biometria, applicazioni della giustizia, gestione della migrazione) — riserva di competenza in materia di tutela dei dati personali

Lo spazio di sperimentazione italiano (sandbox)

Il decreto istituisce uno spazio di sperimentazione regolamentare nazionale per consentire ai fornitori di sistemi IA — in particolare startup, PMI e centri di ricerca — di testare i propri sistemi prima della commercializzazione, in un ambiente controllato e con il supporto normativo dell'autorità competente (AgID).

Il mondo del lavoro: il principio centrale

🎯 Il principio del decreto sul lavoro

L'IA nel lavoro va utilizzata per proteggere i lavoratori e per aggiornare le loro competenze, non per sostituire la valutazione umana nelle decisioni che incidono sulla sfera dei diritti del lavoratore.

Il divieto di decisioni «unicamente automatizzate»

🚫 Vincolo cardine: la supervisione umana obbligatoria. Le decisioni in materia di assunzioni, sanzioni disciplinari e licenziamenti non possono essere basate unicamente su sistemi automatizzati. È richiesta la supervisione obbligatoria di una persona fisica che valuti gli esiti del sistema e assuma la responsabilità della decisione finale.

Conseguenza specifica: il licenziamento adottato in violazione di tale vincolo — cioè basato esclusivamente sull'output di un sistema IA — è nullo.

Il principio recepisce, rafforzandolo sul piano sanzionatorio, l'art. 22 del GDPR (decisioni basate unicamente sul trattamento automatizzato) ed è coerente con le disposizioni dell'AI Act sui sistemi ad alto rischio impiegati nel reclutamento e nella gestione del personale (Allegato III, p. 4, AI Act).

L'equo compenso per i professionisti

Per i professionisti — sia ordinistici (avvocati, commercialisti, ecc.) sia non ordinistici (consulenti, comunicatori, grafici, ecc.) — il decreto introduce una modulazione dell'equo compenso in funzione del livello di rischio del sistema IA utilizzato per la prestazione professionale. Più il sistema IA impiegato comporta rischi rilevanti (in termini di accuratezza, esplicabilità, impatto sui diritti), più l'attività professionale umana ad esso correlata richiede compensazione adeguata.

📌 Tempi. Le autorità ministeriali competenti devono aggiornare i parametri tariffari relativi entro 12 mesi dall'entrata in vigore del decreto.

La formazione obbligatoria sull'IA

Un asse strategico del decreto riguarda la formazione, articolata su più destinatari:

  • percorsi formativi obbligatori per studenti, docenti, pubblica amministrazione, magistratura;
  • alfabetizzazione IA nella formazione continua dei professionisti e del personale sanitario;
  • integrazione di moduli STEAM (Science, Technology, Engineering, Arts, Mathematics) nei curricula scolastici.

Il finanziamento previsto è pari a € 100 milioni, attinti dal Programma Nazionale «Scuola e Competenze 2021-2027».

Il Decreto 2 — Sicurezza pubblica e responsabilità

L'identificazione biometrica remota: una disciplina rigorosa

Il secondo decreto disciplina l'uso dell'IA da parte delle forze dell'ordine e, in particolare, dell'identificazione biometrica remota (riconoscimento facciale e altri sistemi di identificazione a distanza, in tempo reale o ex post). Si tratta di sistemi che l'AI Act classifica come ad alto rischio e, in alcune ipotesi, espressamente vietati.

Profilo Disciplina
Finalità ammesse Solo per: minacce imminenti alla pubblica incolumità; ricerca di persone scomparse; ricerca di vittime di reati gravi (sequestro, tratta di esseri umani)
Autorizzazione Autorizzazione preventiva del giudice o del PM, per una durata massima di 15 giorni
Casi di urgenza La polizia può attivare il sistema dandone immediata comunicazione all'autorità giudiziaria; la convalida deve intervenire entro 48-72 ore, a pena di distruzione dei dati raccolti
Vietato lo scraping indiscriminato È proibito lo scraping di volti da internet o da telecamere di sicurezza per costruire banche dati di riconoscimento facciale
Videosorveglianza L'uso del riconoscimento facciale sulle telecamere di videosorveglianza è ammesso solo post-reato e solo per persone indiziate su base oggettiva (non per identificazione preventiva di massa)
⚠️ Implicazioni operative per la Polizia Locale. Gli enti locali che gestiscono sistemi di videosorveglianza con riconoscimento facciale devono operare una rigorosa ricognizione degli impianti esistenti per verificarne la conformità alla nuova disciplina. In particolare:
  • i sistemi che effettuano identificazione facciale generalizzata non più consentiti vanno disattivati o riconfigurati per il solo uso post-reato;
  • occorre aggiornare i regolamenti comunali sulla videosorveglianza per allinearli ai nuovi divieti e alle nuove regole autorizzative;
  • è necessaria una nuova valutazione d'impatto sulla protezione dei dati (DPIA) ex art. 35 GDPR, in coordinamento con il DPO e con il Garante per la privacy;
  • vanno previsti meccanismi di tracciabilità delle attivazioni e di distruzione automatica dei dati in caso di mancata convalida giudiziaria.

Le sanzioni amministrative

Il decreto allinea il regime sanzionatorio nazionale a quello dell'AI Act europeo:

Sanzione Misura
Violazione delle pratiche IA vietate Fino a € 35 milioni o 7% del fatturato mondiale annuo (si applica il maggiore)
PMI e startup Agevolazioni specifiche con riduzione delle sanzioni
Strumenti alternativi L'autorità può emettere ordini prescrittivi (cessazione della pratica violatrice, conformazione del sistema)

Il nuovo reato in materia di IA

🚫 Nuovo reato: «Omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita»
  • Pena base: reclusione da 1 a 5 anni per la violazione delle misure di sicurezza nei sistemi di IA ad alto rischio;
  • Aggravante: fino a 10 anni di reclusione per l'alterazione illecita del sistema con potenziale minaccia per la sicurezza dello Stato;
  • D.Lgs. 231/2001: il nuovo reato è inserito tra i reati presupposto della responsabilità amministrativa degli enti, con conseguente necessità di aggiornare i Modelli organizzativi 231 in tutti gli enti pubblici economici e nelle società partecipate.

La responsabilità civile da IA: le agevolazioni per il danneggiato (Direttiva UE 2853/2024)

In attuazione della Direttiva UE 2853/2024 (da recepire entro il 9 dicembre 2026), lo schema di decreto approvato in esame preliminare dal CdM del 10/6/2026 introduce un regime di responsabilità civile «agevolata» per il danneggiato da sistemi di IA, applicabile sia in ambito contrattuale sia extracontrattuale. La logica del nuovo regime è chiara: chi subisce un danno da IA si trova in una posizione di debolezza informativa e tecnica rispetto al fornitore o al deployer del sistema. Per riequilibrare il rapporto processuale, il legislatore introduce tre famiglie di benefici: (1) l'ordine giudiziale di esibizione documentale; (2) la presunzione del nesso di causalità; (3) agevolazioni sul foro competente.

1. L'ordine giudiziale di esibizione documentale

Il primo beneficio riguarda le prove: chi agisce in giudizio deve provare il danno, e in una causa tecnica come quella sull'IA il vuole alzare le vittime e lo fa attribuendo al giudice delle azioni di risarcimento dirette e tecnicamente assistite. Il giudice può ordinare al presunto responsabile di mettere a disposizione i documenti tecnici relativi al sistema utilizzato. In particolare:

  • registrazioni log dell'attività del sistema di IA;
  • documenti relativi al sistema di gestione dei rischi;
  • documentazione tecnica e informazioni relative all'IA in uso.

Il provvedimento del giudice è vincolato dalla regola di proporzionalità: l'esibizione deve essere limitata all'oggetto necessario e proporzionato al provvedimento richiesto; il giudice deve inoltre adottare misure idonee a vietare l'uso improprio dei documenti esibiti (compresa la limitazione dell'accesso e l'omissis sui passaggi sensibili) — tutela necessaria perché lo strumento espone le imprese e i loro fornitori al rischio di rivelare segreti commerciali e informazioni riservate.

📌 L'esibizione anche al terzo

La bozza del decreto estende il potere giudiziale: l'esibizione può essere disposta non solo al soggetto chiamato in causa, ma anche a un terzo che detenga la documentazione. Si tratta di un'estensione operativamente rilevante, perché spesso i log e la documentazione tecnica sono nella disponibilità del fornitore del sistema (terzo rispetto al deployer convenuto), non dell'utilizzatore finale.

⚠️ Cosa succede se il presunto danneggiante non deposita i documenti.
  • Ammissione dei fatti: l'omissione implica ammissione dei fatti descritti dal danneggiato (presunzione processuale a sfavore della parte inerte);
  • Argomenti di prova: se non vengono depositati documenti e prove, il giudice potrà desumere «argomenti di prova» dall'inerzia (art. 116 c.p.c.), valutando negativamente la mancata cooperazione ai fini della decisione della causa;
  • Sanzione pecuniaria: per chi non deposita è prevista una sanzione pecuniaria da € 250 a € 1.500.

2. La presunzione del nesso di causalità

Il secondo beneficio agevola il danneggiato sul fronte più scivoloso: la prova del nesso di causalità tra l'inadempimento del fornitore/deployer del sistema di IA e il danno subito. Lo schema di decreto introduce la cd. «presunzione del nesso di causalità»: una volta che la parte attrice agganci un'altra «presunzione» di violazione di uno o più obblighi previsti dal Regolamento UE 2024/1689 (AI Act), si presume il collegamento causa/effetto tra la violazione e il danno.

La presunzione non è assoluta: il presunto danneggiante dovrà dare la prova contraria, dimostrando che non c'è rapporto di causa/effetto tra la violazione e il danno; e se non ce la fa, perderà la causa. Si tratta di un'inversione dell'onere della prova di rilevante impatto sostanziale: per chi sviluppa o utilizza sistemi di IA — soprattutto se ad alto rischio — l'esposizione processuale aumenta significativamente.

3. Il «bollino blu» (certificazione di conformità): un fattore a vantaggio ma non risolutivo

📌 Cosa succede se il sistema di IA è certificato conforme. Se nel processo emerge che il sistema di IA ha il «bollino blu» — cioè il certificato di conformità alle norme di legge — il bollino è un elemento importante ai fini probatori, ma di per sé non esclude la responsabilità del presunto danneggiante. Il consumatore/danneggiato potrà quindi continuare a far valere le sue ragioni e dovrà essere il presunto responsabile a dimostrare in concreto l'assenza del nesso causale. Si tratta di un assetto coerente con la logica della Direttiva 2853/2024: la conformità documentale non è uno «scudo» automatico contro la responsabilità per danno.

4. Foro del consumatore: il giudice del luogo della vittima

La persona interessata al risarcimento potrà iniziare la causa davanti al giudice del luogo in cui la vittima ha la residenza o il domicilio. È un'agevolazione di rilievo processuale, in quanto evita al danneggiato di rivolgersi al foro del soggetto responsabile (che spesso ha sede in altri Stati membri o in città diverse da quella della vittima).

5. Concorso con la responsabilità per violazione della privacy e da prodotto difettoso

Per le violazioni del Regolamento UE 2024/1689 (AI Act), lo schema di decreto aggiunge la responsabilità civile da IA alla disciplina ordinaria della responsabilità per violazione della privacy (art. 82 GDPR — cfr. approfondimento dedicato) e della responsabilità da prodotto difettoso (artt. 114 ss. Codice del Consumo). Si tratta dunque di un cumulo che amplia ulteriormente le possibilità di tutela del danneggiato.

Riepilogo: cinque agevolazioni per il danneggiato da IA

Agevolazione Contenuto
1. Esibizione documentaleIl giudice può ordinare al presunto responsabile (o a un terzo che li detiene) di esibire log, documentazione del sistema di gestione rischi, documentazione tecnica
2. Sanzioni dell'omissioneAmmissione dei fatti descritti dal danneggiato; argomenti di prova ex art. 116 c.p.c.; sanzione pecuniaria da € 250 a € 1.500
3. Presunzione del nesso causaleUna volta provata la violazione di un obbligo dell'AI Act, si presume il collegamento causa/effetto. Onere della prova contraria al presunto danneggiante
4. «Bollino blu» non risolutivoLa certificazione di conformità è elemento importante ma non esclude di per sé la responsabilità
5. Foro del danneggiatoIl danneggiato può agire davanti al giudice del luogo di residenza/domicilio
⚠️ Cosa significa per le pubbliche amministrazioni. Anche per gli enti locali che utilizzano sistemi di IA (per la classificazione documentale, per assistenti virtuali ai cittadini, per scoring algoritmico in materia tributaria, per la videosorveglianza con riconoscimento facciale, per supporto alla redazione di atti) il regime di responsabilità civile aggravata si applica a pieno titolo. Per il Segretario Comunale ciò significa:
  • Conservare tracciabilità documentale dei sistemi di IA in uso: registro dei trattamenti, log delle decisioni assistite da IA, DPIA, valutazioni di conformità;
  • Formare il personale sull'uso responsabile dell'IA, con tracciabilità dei percorsi formativi;
  • Aggiornare i contratti con i fornitori di software con clausole sull'esibizione di log e documentazione in caso di richiesta giudiziale;
  • Valutare l'assicurazione dell'ente per i rischi connessi all'uso di sistemi di IA (analogamente alla copertura per la responsabilità civile sul GDPR);
  • Coordinarsi con il DPO per la gestione integrata dei profili privacy/IA.

L'impatto sulle pubbliche amministrazioni e sugli enti locali

I due decreti incidono su molteplici versanti dell'attività dell'ente locale. Di seguito una sintesi operativa per il Segretario Comunale, per il responsabile del personale e per il responsabile della trasparenza.

1. Decisioni HR — divieto di decisioni unicamente automatizzate

Negli enti che impiegano sistemi automatizzati per il screening dei curricula nei concorsi pubblici, per la valutazione della performance del personale o per istruttorie disciplinari, è necessario:

  • introdurre o rafforzare la supervisione umana di una persona fisica responsabile della decisione finale;
  • documentare l'intervento umano nelle determinazioni di assunzione, sanzione, licenziamento, valutazione (anche per il personale a tempo determinato);
  • aggiornare i regolamenti interni sulle procedure di reclutamento e disciplinari per includere espressamente il vincolo di supervisione umana.

2. Formazione obbligatoria sull'IA per la pubblica amministrazione

La formazione del personale è ora obbligatoria. Il PIAO 2026-2028 (sezione formazione) deve essere aggiornato per includere percorsi di alfabetizzazione IA, in coerenza con i target nazionali del Programma Nazionale «Scuola e Competenze 2021-2027».

3. Polizia Locale e videosorveglianza

I Comuni che gestiscono sistemi di videosorveglianza con riconoscimento facciale devono:

  • operare una ricognizione degli impianti esistenti;
  • aggiornare il regolamento comunale sulla videosorveglianza;
  • effettuare una nuova DPIA ex art. 35 GDPR;
  • configurare meccanismi di distruzione automatica dei dati in caso di mancata convalida giudiziaria;
  • verificare la compatibilità con la recente disciplina sull'omologazione e taratura degli autovelox (decreto MIT del 9 giugno 2026) — vedi la nostra rassegna del 10 giugno 2026.

4. Aggiornamento dei Modelli organizzativi 231

Le società in house, le aziende speciali e gli organismi partecipati dei Comuni che si sono dotati di Modelli Organizzativi ex D.Lgs. 231/2001 dovranno aggiornarli per recepire il nuovo reato in materia di IA. È opportuno avviare per tempo la revisione del Modello in coordinamento con l'Organismo di Vigilanza.

5. Trasparenza algoritmica

Resta fermo l'obbligo di trasparenza algoritmica già richiamato dalle Linee Guida AgID per l'adozione dell'IA nella PA: ogni sistema di IA utilizzato in procedimenti amministrativi deve essere conoscibile, verificabile e sindacabile dal destinatario del provvedimento (in coerenza con il consolidato orientamento del Consiglio di Stato sull'algoritmo come atto amministrativo: Cons. Stato Sez. VI n. 8472/2019; n. 30/2020; n. 7891/2021).

Decalogo operativo

✅ Decalogo
  1. Mappare i sistemi di IA attualmente in uso nell'ente (concorsi, valutazione personale, videosorveglianza, gestione procedimenti) e classificarli per livello di rischio AI Act.
  2. Aggiornare i regolamenti interni su reclutamento, valutazione, sanzioni disciplinari, videosorveglianza alla luce del divieto di decisioni unicamente automatizzate.
  3. Garantire la supervisione umana documentata in ogni decisione HR che impieghi sistemi automatizzati.
  4. Programmare nel PIAO 2026-2028 percorsi di alfabetizzazione IA per il personale, sfruttando le risorse del PN «Scuola e Competenze».
  5. Per la videosorveglianza: ricognizione impianti, aggiornamento regolamento, nuova DPIA con DPO, meccanismi di distruzione automatica dati in caso di mancata convalida.
  6. Verificare l'allineamento del proprio uso di sistemi IA al vademecum AgID sulla trasparenza algoritmica.
  7. Per le società in house e gli organismi partecipati: avviare la revisione del Modello 231 per il nuovo reato in materia di IA.
  8. Aggiornare le policy interne e le clausole contrattuali con i fornitori di sistemi IA (obblighi di trasparenza, esibizione codice, conformità AI Act).
  9. Coordinare con il DPO ogni nuovo trattamento di dati personali tramite IA, in coerenza con il GDPR e con la riserva di competenza del Garante per i sistemi ad alto rischio.
  10. Monitorare i provvedimenti attuativi di AgID, ACN e Garante e le successive linee guida operative.

Tempi di entrata in vigore e prossimi passaggi

🆕 Approfondimento: il Comunicato stampa del CdM n. 177 del 10 giugno 2026

La fonte istituzionale ufficiale degli interventi è il Comunicato stampa del Consiglio dei Ministri n. 177 della seduta del 10 giugno 2026, ore 12:20, presieduta dalla Presidente del Consiglio Giorgia Meloni. Il comunicato precisa nel dettaglio i contenuti dei due decreti legislativi attuativi della L. 132/2025 e li integra con il quadro degli investimenti previsti.

Decreto A — Autorità nazionali e Formazione

Governance nazionale dell'IA

Il decreto distribuisce in modo chiaro i ruoli istituzionali della governance IA, anche per evitare la sovrapposizione di competenze che ha caratterizzato il dibattito tecnico degli scorsi mesi:

Autorità Competenza
AgIDAutorità di notifica ex AI Act (gestisce la procedura di designazione degli organismi di valutazione della conformità)
ACN — Agenzia per la Cybersicurezza NazionaleAutorità di vigilanza del mercato + punto di contatto unico con la Commissione UE
Garante per la Protezione dei Dati PersonaliCompetenze specifiche su sistemi ad alto rischio nei settori del contrasto, delle frontiere, della giustizia, della democrazia
Banca d'Italia, CONSOB, IVASSVigilanza sull'IA finanziaria (servizi di credito, intermediazione mobiliare, assicurazioni)

Formazione: il pilastro del decreto in 6 ambiti

La formazione è uno degli elementi centrali del decreto. Il comunicato del CdM elenca sei ambiti di intervento:

  1. Scuola: integrazione dell'IA negli insegnamenti curricolari; educazione civica con profili etici; stanziamento di 100 milioni di euro per la formazione dei docenti su benessere digitale;
  2. Università, AFAM e ITS: contenuti obbligatori sui sistemi di IA (funzionamento, interpretazione degli output, profili giuridici ed etici);
  3. Pubblica Amministrazione: percorsi articolati in alfabetizzazione di base, riqualificazione specialistica, alta formazione per i dirigenti; coordinamento con la Scuola Nazionale dell'Amministrazione (SNA);
  4. Sanitari: IA inclusa obbligatoriamente nei programmi di Educazione Continua in Medicina (ECM), con profili deontologici ed etici;
  5. Professioni: formazione su aspetti tecnici, giuridici e deontologici; obbligo di adeguamento dei regolamenti entro 6 mesi; aggiornamento dei parametri sull'equo compenso entro 12 mesi;
  6. Magistrati: formazione su funzionamento, rischi e profili giuridici/organizzativi presso la Scuola Superiore della Magistratura.

Focus PA: reclutamento, formazione e innovazione organizzativa

Il Comunicato stampa del Consiglio dei Ministri n. 177 del 10 giugno 2026 chiarisce — con riferimento specifico al perimetro della Pubblica Amministrazione — che le disposizioni attuative prevedono l'introduzione di sistemi di IA nelle politiche di reclutamento, formazione e innovazione organizzativa, con l'obiettivo di semplificare l'azione amministrativa e accelerare i procedimenti. Si tratta di una trilogia che ridefinisce il rapporto tra IA e funzione amministrativa: non più solo strumento operativo, ma leva di riforma amministrativa.

La funzione di indirizzo e coordinamento del Ministro per la Pubblica Amministrazione

In questa cornice, il Ministro per la Pubblica Amministrazione assume una funzione di indirizzo e coordinamento, esercitata attraverso quattro leve:

  • individuazione dei fabbisogni comuni di IA tra amministrazioni centrali e territoriali;
  • definizione delle priorità formative nazionali;
  • promozione di percorsi omogenei tra centrale e territoriale;
  • prevenzione della frammentazione: l'adozione dell'IA non può procedere in modo disorganico e diseguale tra enti.

Il raccordo con la Scuola Nazionale dell'Amministrazione (SNA) è la cinghia operativa: la SNA traduce l'indirizzo del Ministero in moduli e percorsi formativi comuni, aggiornati e differenziati per funzioni e livelli di responsabilità. È un'inversione di logica rispetto al passato: non più ciascun ente che acquista corsi sul mercato, ma catalogo nazionale unitario con declinazioni territoriali.

Le finalità sostanziali della formazione

La formazione del personale pubblico — secondo il decreto — non è un adempimento burocratico, ma deve mettere il dipendente in condizione di:

  • comprendere il funzionamento dei sistemi di IA utilizzati nell'ente;
  • interpretare correttamente gli output generati, distinguendo dato e inferenza;
  • riconoscere limiti, errori e possibili bias (statistici, di rappresentatività, di drift);
  • proteggere dati e sicurezza nel trattamento (raccordo con GDPR e NIS2);
  • garantire una sorveglianza umana effettiva, non meramente formale: la riserva di umanità non è una firma a valle, ma un controllo sostanziale del processo.

Il principio guida è chiaro: l'IA assiste l'azione amministrativa, ma la responsabilità della decisione resta chiara, verificabile e imputabile a persone competenti. Per approfondimenti sistematici sui limiti dell'automazione, cfr. l'articolo dedicato «Intelligenza artificiale e attività amministrativa: riserva di umanità, algoritmo come atto informatico e nuovi obblighi negli appalti».

I tre livelli di formazione PA: destinatari e finalità

📋 I tre livelli formativi per la PA

  • Alfabetizzazione di base — tutti i dipendenti pubblici: consapevolezza diffusa su opportunità, rischi, trasparenza, protezione dei dati e uso corretto degli strumenti. Obiettivo: costruire una cultura organizzativa minima dell'IA che eviti usi impropri «di nascosto» (ChatGPT su file riservati) e gestione disinvolta dei dati personali nei prompt.
  • Riqualificazione professionale — percorsi specialistici: rivolti ai dipendenti che operano nei procedimenti amministrativi, nei servizi al cittadino, nella gestione documentale, nel reclutamento, nell'analisi dei dati. Obiettivo: costruire competenze settoriali per integrare l'IA nei flussi di lavoro senza pregiudicare la qualità del provvedimento.
  • Alta formazione — dirigenti, RTD, uffici del personale, figure di governance: percorsi rivolti a chi è chiamato a governare il cambiamento organizzativo e a misurarne l'impatto sul valore pubblico. Obiettivo: rendere il management capace di scegliere consapevolmente quali processi automatizzare, quali no, e come strutturare il presidio del rischio.
L'evidenza empirica del fabbisogno: i dati IFEL-AIPACT 2026

La centralità della formazione obbligatoria nel decreto trova un fondamento empirico nei dati del volume IFEL «Intelligenza artificiale nei Comuni italiani — Competenze, governance, territori» (2026), roadmap del progetto europeo AIPACT (PNRR M4-C2-Investimento 2.3), che ha intervistato 664 funzionari comunali tra novembre 2025 e marzo 2026.

📊 I tre dati che giustificano l'obbligo di formazione.
  1. Il 55,7% del personale comunale non ha partecipato ad alcuna formazione su IA negli ultimi 12 mesi;
  2. Del restante 44%, il 62,9% ha frequentato solo webinar informativi — formazione introduttiva, non orientata a casi d'uso reali;
  3. Pur con questa carenza formativa, il 41,9% dei rispondenti dichiara di utilizzare personalmente strumenti di IA generativa a supporto del proprio lavoro (la cosiddetta «shadow AI»): l'IA entra negli enti al di fuori delle regole e degli strumenti contrattualizzati.

Il combinato disposto — uso personale elevato + formazione carente — è la fotografia esatta della situazione che il decreto attuativo della L. 132/2025 mira a correggere. La «lesson learnt» n. 5 del volume IFEL è altrettanto chiara: la formazione efficace parte dai casi d'uso reali — i webinar introduttivi (la modalità oggi prevalente) non bastano. Per il Segretario Comunale, ciò significa che la previsione obbligatoria di formazione nel PIAO 2026-2028 va costruita con criterio: non corsi generalisti registrati, ma laboratori applicati ai processi specifici dell'ente, con casi d'uso reali (es. redazione di bozze, sintesi documentale, ricerca normativa), in coordinamento con la SNA e con le iniziative regionali e di area metropolitana già attive (Toscana, Liguria, Lombardia). Per un approfondimento operativo sul tema, cfr. l'articolo AI Act e PA enti locali, sezione dedicata al volume IFEL-AIPACT 2026.

📥 Modello operativo: circolare interna sull'uso dell'IA

In coerenza con l'obbligo di formazione e con il principio di riserva di umanità, è disponibile per il download un modello di circolare interna sull'uso dell'IA da parte dei dipendenti del Comune, articolato in 8 articoli e adattabile a qualsiasi ente. Il modello include esplicitamente il richiamo alla formazione obbligatoria del PIAO 2026-2028 e ai 4 punti di contatto interni (Segretario, RPCT, RTD, DPO).

⬇ Scarica modello .docx (disponibile anche nella sezione Modulistica del sito)

Tutela dei lavoratori: il principio cardine

⚠️ Il vincolo per le decisioni HR. Il decreto fissa un principio chiarissimo, destinato a incidere su tutta la PA: «Le decisioni concernenti la costituzione, la modifica o la risoluzione del rapporto di lavoro non possono essere adottate unicamente su base automatizzata». La decisione finale deve essere riservata a una persona fisica, che ne assume la responsabilità. Sono garantiti il diritto a una motivazione intelligibile e l'accesso ai dati utilizzati dal sistema.

Decreto B — Attività di polizia, responsabilità civile e profili penali

Identificazione biometrica e riconoscimento facciale

Il decreto regola in modo rigoroso l'uso di tecnologie biometriche da parte delle forze dell'ordine, in coerenza con i divieti dell'AI Act (art. 5):

StrumentoRegime
Identificazione biometrica in tempo reale Solo per prevenire minacce gravi e specifiche, per la ricerca di persone scomparse o vittime di reato; richiede autorizzazione giudiziaria; durata massima 15 giorni; limitata geograficamente e a persone specifiche
Riconoscimento facciale a posteriori Solo dopo che il reato è stato commesso, su base di elementi oggettivi; vietate le decisioni pregiudizievoli fondate esclusivamente sull'output del sistema
Banche dati biometriche Vietate quelle costruite tramite web scraping (es. raccolta indiscriminata di immagini dal web)
Sorveglianza massiva Vietata la sorveglianza massiva o indiscriminata della popolazione

Responsabilità civile: le 4 agevolazioni per il danneggiato

Il decreto conferma e dettaglia le agevolazioni introdotte per il danneggiato da sistemi di IA (cfr. paragrafo dedicato sopra): accesso alla documentazione tecnica, presunzione del nesso di causalità (alleggerimento dell'onere probatorio), foro alternativo presso la residenza del danneggiato, azione diretta nei confronti dell'assicurazione del responsabile.

🆕 Profili penali: il nuovo art. 437-bis c.p.

⚖️ Una novità di portata sistemica. Il decreto introduce nel codice penale il nuovo art. 437-bis c.p., che sanziona:
  • l'omessa adozione delle misure di sicurezza,
  • oppure l'alterazione di sistemi di IA ad alto rischio,
  • quando ne derivi pericolo per la vita, l'incolumità pubblica o la sicurezza dello Stato.
La responsabilità è estesa anche all'ente ex D.Lgs. 231/2001 (il reato è inserito nel catalogo dei reati-presupposto). La punibilità è ancorata al pericolo concreto e alla colpa grave. Conseguenza per gli enti pubblici e per le società partecipate: necessario aggiornare i Modelli organizzativi 231 per includere il nuovo reato e le procedure di prevenzione (sicurezza dei sistemi IA, controlli, audit interni).

Investimenti annunciati a corredo dei decreti

VoceImporto
Fondo venture capital IA — totale programmatoFino a 1 miliardo di euro
Risorse già allocateOltre 300 milioni (313 in dettaglio) — oltre 150 start-up sostenute
Previsti nel prossimo triennioOltre 500 milioni di euro
Polo «SophIA» (IA e cybersicurezza)Circa 30 milioni dal 2026
📌 Iter previsto. Dopo l'esame preliminare del 10 giugno 2026, i due decreti sono trasmessi alle Commissioni parlamentari competenti per il parere consultivo. Acquisito il parere, il Consiglio dei Ministri procede all'approvazione definitiva. Sono attesi nei prossimi mesi anche i provvedimenti attuativi delle autorità competenti (AgID, ACN, Garante) per la concreta operatività delle disposizioni. Da monitorare in particolare:
  • il regolamento sullo spazio di sperimentazione (sandbox AgID);
  • le linee guida operative per l'identificazione biometrica remota delle forze dell'ordine;
  • l'aggiornamento dei parametri tariffari dei professionisti (entro 12 mesi);
  • il decreto attuativo della Direttiva UE 2853/2024 (entro il 9 dicembre 2026).

L'IA nel rapporto di lavoro pubblico: la prima disciplina contrattuale (ipotesi CCNL Funzioni Centrali 9/6/2026)

Alla cornice normativa appena descritta — AI Act, L. 132/2025, decreti attuativi in esame — si affianca, dal 9 giugno 2026, la prima disciplina contrattuale collettiva dell'utilizzo dei sistemi di IA nel rapporto di lavoro pubblico. L'ipotesi di accordo per il CCNL Funzioni Centrali 2025-2027, sottoscritta presso l'ARAN, introduce — per il personale dei Ministeri, delle Agenzie fiscali, di INPS, INAIL ed enti pubblici non economici nazionali — un articolato che traduce in obblighi datoriali e diritti dei lavoratori i principi dell'AI Act e della L. 132/2025.

🆕 Le quattro direttrici della disciplina contrattuale dell'IA

  • Informazione preventiva alle organizzazioni sindacali sull'introduzione di sistemi di IA che incidono sull'organizzazione del lavoro o sulla valutazione del personale;
  • Divieto di decisioni unicamente automatizzate con effetti rilevanti sui dipendenti (assunzioni, valutazioni, progressioni, mobilità, procedimenti disciplinari) — in coerenza con l'art. 22 GDPR e con l'art. 14 AI Act (sorveglianza umana effettiva);
  • Percorsi formativi obbligatori sull'uso dei sistemi di IA (in continuità con l'obbligo di AI literacy ex art. 4 AI Act);
  • Trasparenza algoritmica: diritto del lavoratore di conoscere la logica e i parametri dei sistemi che lo riguardano (in linea con l'orientamento del Consiglio di Stato sull'algoritmo come atto amministrativo — sentt. 8472/2019, 30/2020, 7891/2021).

È richiamato anche il divieto AI Act di sistemi di rilevazione delle emozioni sul luogo di lavoro (cfr. approfondimento dedicato).

📌 Cosa significa per gli enti locali. L'ipotesi del 9/6/2026 riguarda il comparto Funzioni Centrali e non si applica direttamente al personale di Comuni, Province e Città metropolitane. Tuttavia, costituisce un benchmark anticipatorio del prossimo CCNL Funzioni Locali 2025-2027 (cfr. approfondimento prospettico): è prevedibile l'introduzione di un articolato analogo, ancor più rilevante per gli enti locali in cui l'IA è già operativa nei servizi al cittadino (assistenti virtuali, classificazione documentale, supporto alla redazione di atti). I Segretari Comunali sono chiamati fin da ora a mappare l'utilizzo dei sistemi di IA nell'ente, in coordinamento con il RPCT e il DPO, in vista delle prossime informative sindacali e dei percorsi formativi obbligatori.

Fonti normative

  • Regolamento UE 13 giugno 2024, n. 1689 (AI Act) — Quadro armonizzato europeo sull'intelligenza artificiale
  • Direttiva UE 23 ottobre 2024, n. 2853 (AI Liability Directive) — Responsabilità civile da danni di IA (recepimento entro il 9 dicembre 2026)
  • L. 23 settembre 2025, n. 132 — Disposizioni e delega al Governo in materia di intelligenza artificiale
  • Decreti legislativi attuativi della L. 132/2025 — esame preliminare in Consiglio dei Ministri del 10 giugno 2026 (Decreto 1: governance, autorità nazionali e formazione; Decreto 2: attività di polizia, responsabilità civile, profili penali con nuovo art. 437-bis c.p.). Riferimento ufficiale: Comunicato stampa CdM n. 177 del 10/6/2026
  • Art. 437-bis del codice penale (introdotto) — omessa adozione misure di sicurezza o alterazione di sistemi IA ad alto rischio con pericolo per vita, incolumità pubblica o sicurezza dello Stato
  • D.Lgs. 8 giugno 2001, n. 231 — Responsabilità amministrativa degli enti per i reati commessi nel loro interesse o vantaggio
  • Regolamento UE 2016/679 (GDPR) — artt. 22 (decisioni unicamente automatizzate), 35 (DPIA)
  • Linee Guida AgID per l'adozione dell'IA nella pubblica amministrazione
  • Consiglio di Stato: Sez. VI nn. 8472/2019, 30/2020, 7891/2021 — algoritmo come atto amministrativo, trasparenza algoritmica, sindacabilità

Approfondimenti correlati su questo sito

L'AI Act nella pubblica amministrazione e negli enti locali

Storia dell'intelligenza artificiale e Linee Guida AgID

Il divieto di rilevazione delle emozioni sul lavoro (art. 5 AI Act)

Verso il CCNL Funzioni Locali 2025-2027: la prima disciplina contrattuale dell'IA

Rassegna normativa 10 giugno 2026 (con il decreto autovelox e altri provvedimenti tecnici)

🔗 Link esterni di interesse

Una selezione di fonti istituzionali e contributi esterni per approfondire i temi trattati:

  • Intelligenza artificiale nei Comuni italiani. Competenze, governance, territori — Volume IFEL 2026 (download diretto PDF)Fondazione IFEL — ANCI, 2026. Roadmap del progetto europeo AIPACT (PNRR M4-C2-Investimento 2.3) con la survey IFEL-AIPACT su percezioni, competenze e adozioni dell'IA nei Comuni italiani (664 funzionari intervistati nov 2025 — mar 2026). I dati chiave per la previsione di formazione obbligatoria del decreto attuativo della L. 132/2025: il 55,7% del personale comunale non ha partecipato ad alcuna formazione su IA negli ultimi 12 mesi; il 62,9% della formazione erogata è limitata a webinar informativi; il 41,9% dei rispondenti usa personalmente strumenti di IA generativa al di fuori di regole interne (shadow AI). Il volume contiene anche i 4 casi territoriali (Roma, Bergamo, Toscana, Liguria) e le 7 lesson learnt utili per la progettazione dei percorsi formativi nel PIAO 2026-2028.

I link rinviano a fonti esterne; le opinioni in esse contenute non sono ascrivibili a questo sito.