L'intelligenza artificiale sta entrando — e in molti casi è già entrata — nei procedimenti amministrativi dell'area Personale degli enti locali. Screening dei CV in fase preselettiva, valutazione automatica dei requisiti, correzione dei test, colloqui assistiti, analisi predittiva del fabbisogno di personale, misurazione automatica della performance, gestione del lavoro agile e delle presenze, chatbot per la comunicazione interna: sono ambiti in cui le soluzioni di IA promettono efficienza, riduzione dei tempi, oggettività delle valutazioni. Promesse vere — ma non senza prezzo. La recente sentenza Cons. Stato Sez. V n. 4520 del 5 giugno 2026 ha tracciato un confine netto: la decisione finale in un procedimento amministrativo resta in capo all'Ente attraverso un responsabile umano, non delegabile interamente all'algoritmo. Il principio si inscrive in un filone giurisprudenziale consolidato (Cons. Stato 8472/2019, 881/2020, 7891/2021) e si interseca con il nuovo AI Act dell'Unione Europea (Reg. UE 2024/1689), con il GDPR e con la disciplina interna del pubblico impiego. In questo approfondimento ricostruiamo: (i) il quadro normativo; (ii) i dieci procedimenti dell'area Personale potenzialmente impattati; (iii) i quattro principi giurisprudenziali consolidati; (iv) il principio del «responsabile umano» della pronuncia 4520/2026; (v) le casistiche operative tipiche; (vi) i profili GDPR; (vii) lo schema di regolamento comunale sull'uso dell'IA; (viii) il decalogo per il Segretario.

📑 Indice dei temi

  1. Il quadro normativo
  2. I dieci procedimenti dell'area Personale impattati dall'IA
  3. I quattro principi giurisprudenziali consolidati (Cons. Stato 8472/2019)
  4. Cons. Stato Sez. V n. 4520 del 5 giugno 2026: il responsabile umano
  5. Cinque casistiche operative ricorrenti
  6. I profili GDPR: l'art. 22 sul divieto di decisioni esclusivamente automatizzate
  7. L'AI Act UE 2024/1689: i sistemi ad alto rischio per il personale
  8. Lo schema di regolamento comunale sull'uso dell'IA nell'area Personale
  9. Profili di responsabilità del RPCT, del Segretario e del Responsabile del Personale
  10. Cinque vantaggi e cinque rischi dell'IA nell'area Personale
  11. Decalogo operativo per il Segretario Comunale

1. Il quadro normativo

FonteContenuto
Reg. UE 13 giugno 2024 n. 1689 (AI Act) Regolamento europeo sull'intelligenza artificiale. Articolazione su classi di rischio: rischio inaccettabile (vietati: punteggio sociale, sfruttamento vulnerabilità, identificazione biometrica in tempo reale in spazi pubblici, riconoscimento emozioni sul lavoro); alto rischio (soggetti a requisiti stringenti — fra cui sistemi usati nell'occupazione e nella gestione dei lavoratori: art. 6 e All. III lett. b); rischio limitato (obbligo di trasparenza); rischio minimo. Decorrenze: applicazione a tappe tra 2025 e 2027. Per il personale degli enti locali, rilevanza diretta sull'art. 6 e All. III lett. b
D.Lgs. 18 agosto 2000, n. 267 (TUEL) Art. 97 (Segretario Comunale, ruolo di legalità e di garanzia); art. 107 (poteri e responsabilità dei dirigenti, non delegabili a strumenti tecnici); art. 50 (Sindaco rappresentante dell'ente)
D.Lgs. 30 marzo 2001, n. 165 (T.U. pubblico impiego) Art. 35 (modalità di assunzione e principi del concorso pubblico); art. 35-quater (riforma 2022: prove digitali e prove preselettive); art. 7 (principi di gestione del personale); art. 17 (funzioni dirigenziali sul personale); art. 55 ss. (procedimento disciplinare, non automatizzabile)
D.Lgs. 27 ottobre 2009, n. 150 (Brunetta-Madia) Ciclo della performance: SMVP, OIV/NIV, validazione, valutazione individuale. La valutazione è atto del valutatore (Responsabile o organo collegiale), non delegabile a un algoritmo che la sostituisca
D.Lgs. 31 marzo 2023, n. 36 (Codice contratti pubblici), art. 30 Disciplina dell'uso di procedure automatizzate nel procedimento amministrativo: principi di conoscibilità, non esclusività della decisione algoritmica, non discriminazione algoritmica, comprensibilità — recezione del filone Cons. Stato 8472/2019 «Buona scuola»
Reg. UE 679/2016 (GDPR) Art. 22 (diritto a non essere sottoposti a decisione esclusivamente automatizzata che produca effetti giuridici significativi); artt. 13-14 (informativa); art. 35 (DPIA — Data Protection Impact Assessment per i trattamenti ad alto rischio); artt. 24-32 (responsabilità del Titolare)
D.P.R. 16 aprile 2013, n. 62 (Codice di comportamento) Doveri del dipendente: imparzialità, riservatezza, lealtà, rispetto della normativa. L'uso di IA generative (es. ChatGPT) per la redazione di atti richiede prudenza, controllo e responsabilità del firmatario
D.P.C.M. 28 marzo 2024 (Strategia italiana per l'IA 2024-2026) Indirizzi nazionali sull'uso dell'IA nel settore pubblico, con focus su trasparenza, responsabilità, formazione
Disegno di legge sull'intelligenza artificiale (in approvazione 2026) Quadro nazionale di principi in fase di adozione: human oversight, trasparenza, responsabilità del titolare del trattamento, sanzioni per l'uso scorretto
Linee guida AgID Linee guida operative sul design e l'esercizio di sistemi di IA nella PA. Da consultare per la fase progettuale

2. I dieci procedimenti dell'area Personale impattati dall'IA

L'IA può intervenire in numerosi snodi del ciclo di vita del rapporto di lavoro nel pubblico impiego locale. Per ciascuno è essenziale individuare il perimetro ammissibile dell'utilizzo automatizzato e i presidi di controllo umano indispensabili.

#ProcedimentoPossibile uso dell'IALimite invalicabile
1 Concorsi e selezioni Generazione automatica dei quesiti dei test; correzione automatica delle prove a risposta multipla; analisi statistica dell'andamento delle prove La valutazione finale delle prove orali e l'approvazione della graduatoria restano competenza della commissione (Cons. Stato 4520/2026)
2 Screening preliminare dei CV Verifica automatica dei requisiti minimi (titolo di studio, anni di esperienza); filtri tecnici di ammissibilità La decisione di esclusione deve essere validata dal RUP del procedimento concorsuale; obbligo di motivazione e contestabilità (Cons. Stato 4520/2026)
3 Prove preselettive Somministrazione tramite piattaforme digitali; correzione automatica dei quesiti a risposta multipla; ranking iniziale dei candidati Trasparenza del meccanismo di correzione; comunicazione del punteggio e del peso delle risposte; possibilità di accesso al test corretto
4 Colloqui automatizzati e analisi del linguaggio Trascrizione automatica; supporto alla valutazione (es. analisi della terminologia tecnica usata) 🚫 Vietato dall'AI Act art. 5 il riconoscimento delle emozioni nel contesto lavorativo. La valutazione del colloquio è atto della commissione
5 Valutazione della performance Aggregazione automatica dei KPI; calcolo dei punteggi su obiettivi quantitativi; presentazione del cruscotto al valutatore La scheda di valutazione individuale resta atto del Responsabile/Dirigente; motivazione analitica obbligatoria, in particolare nelle valutazioni sotto la fascia massima
6 Mobilità interna e progressioni Matching automatico tra profili e posizioni vacanti; suggerimenti basati su competenze ed esperienze La scelta finale resta del Responsabile competente; criteri di valutazione predeterminati; rispetto della parità di trattamento
7 Lavoro agile e PIAO Pianificazione delle giornate in modalità agile; controllo del rispetto degli obiettivi quantitativi Il permesso individuale resta atto del Responsabile; nessun controllo invasivo sull'attività del dipendente in smart working
8 Formazione Personalizzazione dei percorsi formativi; analisi dei fabbisogni di formazione del personale; chatbot per FAQ formative Il piano formativo annuale resta atto programmatorio del Dirigente del Personale, condiviso con la RSU
9 Controllo presenze e orari Rilevazione automatica della timbratura; reportistica sui flussi orari; allarme su anomalie di pattern La sanzione disciplinare richiede procedimento ex artt. 55 ss. D.Lgs. 165/2001 con UPD; nessun automatismo sanzionatorio. Vietato il monitoraggio invasivo della prestazione lavorativa
10 Salute e sicurezza sul lavoro Analisi predittiva degli infortuni; gestione DPI; gestione automatica delle scadenze del sorveglianza sanitaria Le visite mediche e le idoneità alla mansione sono atti del Medico Competente, non automatizzabili

3. I quattro principi giurisprudenziali consolidati (Cons. Stato Sez. VI n. 8472/2019)

La Sezione VI del Consiglio di Stato ha introdotto fin dal caso «Buona Scuola» (sentenza n. 8472 del 13 dicembre 2019, poi confermata da Sez. VI 881/2020 e Sez. III 7891/2021) quattro principi fondamentali sull'uso dell'algoritmo nei procedimenti amministrativi. Questi principi sono stati poi recepiti dall'art. 30 del nuovo Codice contratti pubblici (D.Lgs. 36/2023) e sono il fondamento dell'attuale orientamento giurisprudenziale.

1

Conoscibilità

Il cittadino deve poter conoscere l'esistenza, la logica e l'iter dell'algoritmo applicato alla sua posizione. Trasparenza del processo decisionale automatizzato.

2

Non esclusività

Nessuna decisione che produca effetti giuridici nei confronti del cittadino può essere assunta esclusivamente dall'algoritmo. Il provvedimento finale deve essere imputabile a un soggetto umano (responsabile umano).

3

Non discriminazione algoritmica

L'algoritmo non deve produrre effetti discriminatori sistematici (bias di genere, età, etnia, condizione sociale). Il responsabile deve monitorare e correggere i bias.

4

Comprensibilità

L'algoritmo deve essere comprensibile nel suo funzionamento. La PA non può adottare scatole nere opache; l'utilizzatore deve poter spiegare come il sistema è arrivato al risultato (explainability).

4. Cons. Stato Sez. V n. 4520 del 5 giugno 2026: il principio del «responsabile umano»

La recente pronuncia Cons. Stato Sez. V, 5 giugno 2026 n. 4520 aggiorna e consolida il filone, con attenzione specifica ai procedimenti concorsuali e, più in generale, a tutti i procedimenti amministrativi nei quali la PA introduce strumenti di IA.

⚖️ Cons. Stato Sez. V n. 4520/2026 — Il principio cardine

«La decisione finale resta in capo all'Ente attraverso un responsabile umano, non delegabile interamente all'algoritmo. Il processo decisionale deve essere tracciabile e motivato, con la possibilità per il candidato di contestare l'eventuale errore algoritmico».

4.1 I tre corollari operativi della pronuncia

1

Indisponibilità della decisione finale

La decisione finale del procedimento (es. esclusione del candidato, approvazione della graduatoria, ammissione/non ammissione alla prova orale, valutazione del candidato) resta in capo all'Ente attraverso un responsabile umano. Non può essere interamente delegata all'algoritmo. L'IA può essere strumento istruttorio, mai decisore.

2

Tracciabilità e motivazione del processo decisionale

Il processo decisionale deve essere tracciabile (è possibile ricostruire passo per passo come l'algoritmo è giunto al risultato) e motivato (il provvedimento conclusivo dà conto delle ragioni della decisione, non si limita a richiamare il punteggio dell'algoritmo). Conseguenza: gli enti che usano l'IA devono dotarsi di log degli algoritmi, cruscotti di controllo e relazioni esplicative per ciascun procedimento rilevante.

3

Contestabilità dell'errore algoritmico

Il candidato/cittadino deve poter contestare l'eventuale errore algoritmico. Diritto di accesso ai parametri di valutazione, ai log dell'algoritmo, ai dati di addestramento (se rilevanti per il caso). Conseguenza operativa: nei bandi di concorso e nei provvedimenti del personale che usano l'IA va inserita la clausola di accesso all'algoritmo e la modalità di contestazione.

🚨 Per i Comuni che hanno già introdotto strumenti di IA. Secondo Cons. Stato 4520/2026, è necessario:
  • Rivedere i regolamenti comunali sui concorsi, sulla performance, sui procedimenti dell'area Personale per garantire la presenza del controllo umano sostanziale;
  • Esplicitare la motivazione analitica di ciascun provvedimento, anche quando l'IA è stata utilizzata come supporto;
  • Garantire tracciabilità dell'iter algoritmico e contestabilità dell'eventuale errore;
  • Aggiornare i bandi di concorso con clausole espresse sull'uso dell'IA, sui criteri di valutazione, sui diritti di accesso e di contestazione del candidato.
La mancata revisione espone l'ente a annullamento dei provvedimenti in sede di ricorso TAR/Cons. Stato, con conseguenti responsabilità erariali e amministrative.

5. Cinque casistiche operative ricorrenti

5.1 Concorso pubblico con screening automatico dei CV (es. mobilità ex art. 30 D.Lgs. 165/2001)

Scenario

Il Comune indice una procedura di mobilità per la copertura di un posto di Funzionario Tecnico. Riceve 250 candidature. Per ragioni di tempo, l'Ufficio Personale utilizza un software di IA che fa lo screening automatico in base a (a) titolo di studio richiesto; (b) anni di esperienza nella categoria; (c) possesso di abilitazioni specifiche. Il software propone una shortlist di 30 candidati ammissibili.

Regola operativa: la shortlist proposta dall'algoritmo è proposta istruttoria, non decisione finale. Il RUP della procedura deve: verificare il funzionamento del software, validare manualmente almeno un campione delle esclusioni, motivare l'eventuale ammissione di candidati esclusi dall'algoritmo per requisiti equipollenti non riconosciuti dal sistema, firmare il provvedimento di ammissione/esclusione. Nel bando deve esserci la clausola di trasparenza sull'uso dell'IA.

5.2 Prova preselettiva digitale con correzione automatica

Scenario

Il Comune indice un concorso pubblico per Istruttore Amministrativo. La prova preselettiva consiste in 60 quesiti a risposta multipla. La piattaforma di selezione (CONSIP / Formez) corregge automaticamente le risposte e fornisce la graduatoria della preselettiva.

Regola operativa: la correzione è tecnica (verifica oggettiva della risposta data), non valutativa. Il Presidente della commissione deve: verificare la corretta calibrazione del software; gestire eventuali ricorsi su domande contestate; firmare il verbale di approvazione della graduatoria della preselettiva. Trasparenza: il candidato ha diritto di accedere al proprio test corretto e di contestare le risposte ritenute errate.

5.3 Valutazione automatica della performance

Scenario

Il Comune ha introdotto un cruscotto automatico che, sulla base di KPI quantitativi (numero di pratiche evase, tempi di risposta, scarti su controlli a campione), assegna un punteggio numerico automatico ai dipendenti. La scheda di valutazione individuale del Responsabile riporta il punteggio.

Regola operativa: il punteggio è indicatore, non valutazione. La scheda di valutazione individuale resta atto del Responsabile, che deve: (i) verificare la correttezza dei KPI; (ii) contestualizzare il dato (es. assenze giustificate, eventi straordinari); (iii) integrare con la valutazione dei comportamenti organizzativi non rilevabili dall'algoritmo; (iv) motivare analiticamente l'eventuale collocazione in fascia. Cfr. il nostro approfondimento sulla valutazione performance.

5.4 Chatbot per il servizio interno al personale

Scenario

Il Comune attiva un chatbot interno per rispondere alle domande dei dipendenti su ferie residue, ROL, permessi, modulistica, scadenze. Il chatbot è alimentato da un modello di IA generativa con base documentale interna.

Regola operativa: lo strumento è informativo, non provvedimentale. La richiesta formale di ferie/ROL/permessi resta atto del dipendente firmato e autorizzato dal Responsabile. Il chatbot deve essere esplicito nel dichiarare la natura della risposta («Informazione fornita da un sistema automatizzato. Per richieste formali rivolgersi all'Ufficio Personale»). Privacy: nessun trattamento di dati personali senza informativa GDPR.

5.5 IA generativa per redazione di atti del personale

Scenario

Il Responsabile del Personale utilizza un assistente di IA generativa (es. ChatGPT, Copilot) per redigere bozze di delibere, determinazioni di assunzione, contratti individuali di lavoro, comunicazioni formali.

Regola operativa: l'IA generativa è strumento di supporto alla redazione, non autore. Il Responsabile firmatario deve: (i) verificare integralmente il contenuto; (ii) aggiornare i riferimenti normativi (la conoscenza dell'IA è limitata alla data di addestramento); (iii) mai inserire dati personali identificabili dei dipendenti nei prompt (rischio GDPR); (iv) mai inserire informazioni riservate dell'ente (atti interni, dati di bilancio non ancora pubblici). Responsabilità del firmatario: l'atto è imputabile al firmatario, non al modello di IA usato per la bozza.

6. I profili GDPR: l'art. 22 sul divieto di decisioni esclusivamente automatizzate

L'art. 22 del GDPR (Reg. UE 679/2016) sancisce un principio di portata cruciale per l'IA nel personale: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato — compresa la profilazione — che produca effetti giuridici che lo riguardano o che incida in modo significativo sulla sua persona.

📌 Art. 22 GDPR — Il quadro

La regola del divieto si applica salvo che:

  • la decisione automatizzata sia necessaria per la conclusione o l'esecuzione di un contratto;
  • sia autorizzata dal diritto dell'Unione o dello Stato membro;
  • si basi sul consenso esplicito dell'interessato.

In ogni caso, l'interessato ha il diritto di: (i) ottenere l'intervento umano da parte del titolare; (ii) esprimere la propria opinione; (iii) contestare la decisione.

6.1 Adempimenti GDPR per il Comune che usa l'IA

1

Informativa specifica sull'uso dell'IA (artt. 13-14 GDPR)

Nei moduli di candidatura ai concorsi, nelle informative sul ciclo della performance, nei contratti individuali, va inserita l'informativa specifica sull'utilizzo di sistemi di IA: finalità, base giuridica, logica del trattamento, conseguenze possibili, diritti dell'interessato. Va comunicato quale algoritmo viene usato e quali dati elabora.

2

Valutazione d'impatto sulla protezione dei dati (DPIA — art. 35 GDPR)

Quando l'uso dell'IA produce un trattamento ad alto rischio per i diritti dell'interessato (è il caso dei procedimenti concorsuali, della valutazione performance, dello screening automatico), il Comune deve effettuare la DPIA. La DPIA va elaborata dal DPO con il Responsabile del Personale e dell'IT.

3

Garanzia dell'intervento umano

Devono essere previste procedure operative che garantiscano il controllo umano sostanziale sulle decisioni che influiscono sui dipendenti/candidati. Non basta la formale «firma del Responsabile»: occorre un controllo motivato e tracciabile.

4

Diritto di contestazione

Va previsto un canale formale per consentire al dipendente/candidato di contestare la decisione automatizzata: istanza di riesame, accesso ai dati elaborati, eventuale ricorso al DPO o al Garante privacy.

7. L'AI Act UE 2024/1689: i sistemi ad alto rischio per il personale

Il Regolamento UE 1689/2024 (AI Act) classifica come sistemi di IA ad alto rischio — tra gli altri — i sistemi utilizzati nell'occupazione, nella gestione dei lavoratori e nell'accesso al lavoro autonomo (Allegato III, lett. b). Sono ad alto rischio:

  • I sistemi di IA destinati a essere utilizzati per il reclutamento o la selezione di persone fisiche (es. analisi e screening di CV);
  • I sistemi destinati ad assumere decisioni che incidano sui rapporti di lavoro: promozioni, cessazioni, distribuzione delle mansioni, monitoraggio e valutazione delle prestazioni.
⚠️ Obblighi per i sistemi ad alto rischio (artt. 8-29 AI Act).
  • Sistema di gestione del rischio (art. 9);
  • Governance dei dati (art. 10): qualità, rappresentatività, assenza di bias;
  • Documentazione tecnica e tracciabilità (artt. 11-12);
  • Trasparenza e informazione all'utente (art. 13);
  • Supervisione umana (art. 14): designazione di una persona fisica responsabile della supervisione del sistema;
  • Accuratezza, robustezza, cybersecurity (art. 15);
  • Marcatura CE e dichiarazione di conformità (artt. 47-48);
  • Registrazione in banca dati UE (art. 49).

7.1 I divieti assoluti rilevanti per il personale (art. 5 AI Act)

🚫 Pratiche vietate nel contesto lavorativo:
  • I sistemi di IA per il riconoscimento delle emozioni nel luogo di lavoro (con limitate eccezioni per ragioni mediche o di sicurezza);
  • L'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico (salvo eccezioni di sicurezza);
  • La categorizzazione biometrica basata su caratteristiche sensibili (razza, opinioni politiche, orientamento sessuale, ecc.);
  • Lo scoring sociale generalizzato dei dipendenti.

8. Lo schema di regolamento comunale sull'uso dell'IA nell'area Personale

Per garantire la conformità ai principi sopra esposti, è opportuno che il Comune si doti di un regolamento interno sull'uso dell'IA nei procedimenti dell'area Personale, approvato dalla Giunta su proposta del Segretario/RPCT. Lo schema-tipo potrebbe articolarsi sui seguenti contenuti minimi:

ArticoloContenuto
Art. 1 — Oggetto e ambitoDisciplina dell'uso dell'IA nei procedimenti dell'area Personale dell'ente
Art. 2 — DefinizioniSistema di IA, decisione automatizzata, processo decisionale, supervisione umana, log
Art. 3 — PrincipiI quattro principi giurisprudenziali (conoscibilità, non esclusività, non discriminazione, comprensibilità) + il principio del responsabile umano (Cons. Stato 4520/2026)
Art. 4 — Procedimenti ammessiElenco tassativo dei procedimenti del Personale nei quali è ammesso l'uso dell'IA come strumento di supporto
Art. 5 — Procedimenti vietatiProcedimento disciplinare; valutazione delle prove orali; decisioni di esclusione del candidato (vincolate alla validazione umana); riconoscimento emozioni (vietato in radice); identificazione biometrica
Art. 6 — Soggetti competentiResponsabile del Personale: validazione delle proposte; Segretario/RPCT: vigilanza; DPO: profili privacy; OIV/NIV: monitoraggio; Sindaco: indirizzo strategico
Art. 7 — Procedimento di adozione di un nuovo sistema di IAAnalisi del fabbisogno → studio di fattibilità → DPIA → consultazione DPO e RSU → delibera della Giunta → acquisizione tramite procedura di evidenza pubblica
Art. 8 — Trasparenza e informazionePubblicazione sul sito istituzionale dei sistemi di IA in uso; informativa GDPR specifica; clausola nei bandi di concorso
Art. 9 — Tracciabilità e loggingObbligo di mantenimento dei log; conservazione per almeno 10 anni; accessibilità su istanza dell'interessato
Art. 10 — Diritto di contestazioneModalità di proposizione dell'istanza di riesame da parte del dipendente/candidato; termine di risposta 30 giorni; accesso ai dati elaborati
Art. 11 — Formazione del personalePiano di formazione obbligatoria per il personale che usa sistemi di IA; aggiornamento annuale
Art. 12 — Monitoraggio dei biasAudit annuale sui sistemi di IA per individuare eventuali discriminazioni algoritmiche; report al RPCT
Art. 13 — ResponsabilitàImputabilità degli atti al firmatario; responsabilità disciplinare ed erariale; coinvolgimento del responsabile del trattamento ex art. 28 GDPR

9. Profili di responsabilità del RPCT, del Segretario e del Responsabile del Personale

9.1 Il Segretario Comunale come RPCT

Il Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT) — ruolo di norma in capo al Segretario Comunale ex L. 190/2012 — ha competenza diretta sulle scelte tecnologiche dell'ente quando incidono su trasparenza, imparzialità, rischio corruttivo. L'uso dell'IA nei procedimenti del personale rientra a pieno titolo nel PTPCT (oggi PIAO).

📌 Specifiche misure di prevenzione corruzione da inserire nel PIAO.
  • Mappatura dei sistemi di IA in uso nei procedimenti del personale;
  • Valutazione del rischio di abuso (es. manipolazione del sistema per favorire candidati);
  • Audit periodico sui log dei sistemi;
  • Whistleblowing dedicato per segnalazioni di anomalie algoritmiche;
  • Formazione del personale su etica e responsabilità nell'uso dell'IA.

9.2 Il Responsabile del Personale

Il Responsabile del settore Personale è il responsabile del procedimento e dell'esecuzione delle decisioni. Quando un atto si fonda — anche solo parzialmente — su un output di IA, il Responsabile assume la piena responsabilità della decisione. Non può eccepire «era l'algoritmo a sbagliare»: l'atto è imputabile alla sua firma, e quindi alla sua valutazione critica del dato algoritmico.

9.3 Profili di responsabilità erariale

⚠️ Ipotesi tipiche di responsabilità erariale.
  • Adozione di un sistema di IA inadeguato senza istruttoria tecnica preventiva;
  • Annullamento di un concorso o di una procedura di mobilità per illegittimo uso esclusivo dell'algoritmo, con conseguente danno per il ricorrente vittorioso;
  • Pagamento di indennizzi a candidati esclusi illegittimamente sulla base di una decisione algoritmica non validata;
  • Sanzioni del Garante privacy per uso non conforme al GDPR (fino al 4% del fatturato annuo per le imprese; per gli enti pubblici sanzioni amministrative con specifici massimali);
  • Sanzioni AI Act (in vigore progressivamente fra 2025 e 2027) fino al 7% del fatturato annuo per le pratiche vietate, fino al 3% per la non conformità agli obblighi dei sistemi ad alto rischio.

10. Cinque vantaggi e cinque rischi dell'IA nell'area Personale

✅ Cinque vantaggi.
  1. Riduzione dei tempi istruttori: screening, correzione test, aggregazione dei KPI in tempi minimi rispetto al lavoro manuale.
  2. Oggettività della rilevazione: il dato è verificabile, ripetibile, non condizionato da fattori soggettivi del valutatore.
  3. Scalabilità: l'algoritmo non si stanca, può processare migliaia di candidature senza errori di disattenzione.
  4. Tracciabilità: ogni decisione algoritmica lascia un log esaminabile a posteriori; utile per la difesa giuridica.
  5. Liberazione del tempo del personale per attività ad alto valore aggiunto: valutazione qualitativa, colloqui, supervisione.
🚨 Cinque rischi.
  1. Bias algoritmico: il sistema riproduce e amplifica discriminazioni presenti nei dati di addestramento (genere, età, area geografica).
  2. Opacità della «scatola nera»: difficoltà di spiegazione delle decisioni del sistema (in violazione del principio di motivazione).
  3. Deresponsabilizzazione del decisore umano: il firmatario tende ad accettare passivamente il dato algoritmico senza valutazione critica («è il sistema che dice così»).
  4. Vulnerabilità a manipolazioni: prompt injection, attacchi avversariali, alterazione dei dati di input per orientare il risultato.
  5. Esposizione di dati personali: il sistema viene addestrato su dati interni dell'ente; il rischio di data breach è alto se il provider non è opportunamente verificato.
✅ Dieci presidi del Segretario sull'uso dell'IA nell'area Personale
  1. Mappare i sistemi di IA già in uso (o in valutazione) nell'area Personale dell'ente, con classificazione del livello di rischio ai sensi dell'AI Act (rischio inaccettabile / alto / limitato / minimo).
  2. Verificare la conformità ai quattro principi giurisprudenziali (conoscibilità, non esclusività, non discriminazione, comprensibilità) e al principio del «responsabile umano» (Cons. Stato 4520/2026).
  3. Aggiornare il PIAO con specifiche misure di prevenzione del rischio corruttivo legato all'uso dell'IA: mappatura, audit, whistleblowing dedicato, formazione.
  4. Promuovere l'adozione di un regolamento comunale sull'uso dell'IA nell'area Personale, con i contenuti minimi indicati al § 8.
  5. Acquisire il parere del DPO su ogni nuovo sistema di IA da introdurre; pretendere la DPIA per i sistemi ad alto rischio (concorsi, performance, screening).
  6. Aggiornare bandi e regolamenti dei concorsi con la clausola di trasparenza sull'uso dell'IA, il diritto di accesso agli algoritmi, la modalità di contestazione dell'errore algoritmico.
  7. Vigilare sulla qualità della motivazione degli atti del personale: ricordare ai Responsabili che la motivazione non può limitarsi al richiamo del punteggio algoritmico, ma deve esplicitare il controllo umano sostanziale.
  8. Pretendere il logging di tutti i sistemi di IA in uso; verificare periodicamente l'esistenza e l'accessibilità dei log per le contestazioni.
  9. Formare il personale sul corretto uso dell'IA: piano formativo annuale con focus su etica, responsabilità, riconoscimento dei bias, prompt design corretto, sicurezza informatica.
  10. Vigilare sulle prassi quotidiane: l'uso indiscriminato di IA generative (es. ChatGPT) da parte dei singoli dipendenti senza controlli espone l'ente a rischi di data breach, violazione GDPR, perdita di riservatezza degli atti. Circolare interna obbligatoria.

Conclusioni

L'intelligenza artificiale non è una tecnologia futura per gli enti locali: è già una realtà operativa in molti Comuni, soprattutto nei procedimenti dell'area Personale dove i volumi di lavoro (concorsi, screening, performance) rendono attraente l'automazione. La pronuncia Cons. Stato Sez. V n. 4520 del 5 giugno 2026 consegna ai Comuni un messaggio chiaro: l'IA può essere strumento di supporto, mai sostituto della decisione umana. La decisione finale resta in capo all'Ente attraverso un responsabile umano, il processo deve essere tracciabile e motivato, il cittadino deve poter contestare l'errore algoritmico. Per il Segretario Comunale ciò significa: aggiornare i regolamenti, formare il personale, vigilare sulla qualità della motivazione degli atti, prevenire usi disinvolti dell'IA generativa da parte dei singoli dipendenti. Il pieno potenziale dell'IA si realizza solo dentro una governance robusta; in assenza di governance, l'IA non è uno strumento di efficienza ma una fonte di contenzioso e di responsabilità. Il tempo dell'inerzia è scaduto: i Comuni devono attrezzarsi adesso per non trovarsi a subire le novità invece di governarle.

Fonti di riferimento. Normativa europea: Reg. UE 13 giugno 2024 n. 1689 (AI Act), in particolare artt. 5, 6, 8-29, 47-49 e Allegato III lett. b); Reg. UE 27 aprile 2016 n. 679 (GDPR), in particolare artt. 13-14, 22, 28, 35. Normativa nazionale: Costituzione, artt. 3, 51, 97; D.Lgs. 18 agosto 2000, n. 267 (TUEL), artt. 50, 97, 107; D.Lgs. 30 marzo 2001, n. 165, artt. 7, 17, 35, 35-quater, 55 ss.; D.Lgs. 27 ottobre 2009, n. 150 (ciclo della performance); D.Lgs. 31 marzo 2023, n. 36 (Codice contratti pubblici), art. 30 (uso di procedure automatizzate); L. 6 novembre 2012, n. 190 (anticorruzione); D.Lgs. 14 marzo 2013, n. 33 (trasparenza); D.P.R. 16 aprile 2013, n. 62 (Codice di comportamento); D.P.C.M. 28 marzo 2024 (Strategia italiana per l'IA 2024-2026). Giurisprudenza: Cons. Stato, Sez. V, sentenza 5 giugno 2026, n. 4520 (i limiti dell'IA nei procedimenti concorsuali: la decisione finale resta in capo all'Ente attraverso un responsabile umano, non delegabile interamente all'algoritmo; processo decisionale tracciabile e motivato, contestabilità dell'errore algoritmico; necessità di rivedere i regolamenti comunali); Cons. Stato, Sez. VI, sentenza 13 dicembre 2019, n. 8472 (caso «Buona Scuola»: introduzione dei quattro principi di conoscibilità, non esclusività, non discriminazione, comprensibilità); Cons. Stato, Sez. VI, sentenza 4 febbraio 2020, n. 881 (conferma); Cons. Stato, Sez. III, sentenza 25 novembre 2021, n. 7891 (consolidamento). Prassi: Linee guida AgID sull'IA nella PA; Garante privacy: provvedimenti sui sistemi automatizzati di selezione del personale. Le considerazioni espresse hanno finalità divulgativa e non costituiscono parere professionale.