Home > Osservatorio Stato Digitale > Cultura Digitale > “La firma non basta”: I.A. ad alto rischio e il tramonto della supervisione umana come schermo formale nel procedimento amministrativo

“La firma non basta”: I.A. ad alto rischio e il tramonto della supervisione umana come schermo formale nel procedimento amministrativo

Di: Gianluigi Delle Cave

01/07/2026

Il 19 maggio 2026 la Commissione europea ha pubblicato la bozza di linee guida sulla classificazione dei sistemi di intelligenza artificiale ad alto rischio ai sensi del Regolamento (UE) 2024/1689. Il documento introduce un criterio funzionale – fondato sull’incidenza materiale dell’output algoritmico sull’esito del procedimento – che supera la tradizionale dicotomia tra sistemi “di supporto” e sistemi decisionali autonomi. Per le P.A. italiane, tale impostazione si interseca in modo diretto con la disciplina del procedimento amministrativo ex l. n. 241/1990 e con le disposizioni della l. n. 132/2025 in materia di IA, ridefinendo, di fatto, i presupposti per la valutazione di conformità, la tracciabilità e la responsabilità amministrativa nell’uso degli algoritmi.

Nei meandri dispositivi di cui al Regolamento UE 2024/1689 (arcinoto A.I. Act), vi è un punto di non poco momento: il Regolamento, come noto, demanda alla Commissione la redazione di linee guida operative per assistere fornitori e deployer nella classificazione dei sistemi I.A. come ad “alto rischio” [ai sensi dell’art. 6 del Reg. cit.]. Ebbene, il 19 maggio 2026, è stata pubblicata l’attesissima “bozza di Linee Guida” in argomento – consultabile qui – che, inter alia, chiarisce decisivamente un nodo interpretativo di assoluta rilevanza pratica: la presenza di supervisione umana non è di per sé sufficiente a escludere un sistema I.A. dalla categoria dell’alto rischio.

Il criterio discriminante che sembrerebbe emergere dalla bozza de qua, in altri termini, è di natura funzionale: ciò che rileva non è la qualificazione formale del sistema (definito nel capitolato o nel contratto di appalto come “strumento di supporto decisionale”), bensì il peso effettivo che l’output algoritmico esercita sull’esito finale del procedimento. Laddove l’algoritmo, cioè, ordini istanze, assegni punteggi, calcoli soglie di ammissibilità o pre-valuti requisiti soggettivi, esso incide materialmente sulla decisione: la successiva validazione umana – la firma del funzionario responsabile – non ne altera la qualificazione giuridica. Viene in rilievo, in altri termini, un principio di “sostanza sulla forma” che obbliga a una mappatura funzionale del caso d’uso, antecedente a qualsiasi valutazione di conformità. Residua, ovviamente, il filtro dell’art. 6, par. 3, dell’AI Act, che consente l’esclusione dall’alto rischio nelle ipotesi in cui il sistema svolga un compito meramente procedurale, un’attività preparatoria o si limiti a migliorare un’opera umana già compiuta. Sul punto, però, la bozza in oggetto precisa due limiti operativi di estrema importanza: in primo luogo, tale esclusione costituisce un’autovalutazione del fornitore, che deve essere documentata prima della messa in esercizio del sistema; in secondo luogo, l’esclusione non opera qualora il sistema proceda alla profilazione di persone fisiche.

Ora, l’orientamento della Commissione acquista una valenza peculiare se letto in combinato disposto con la disciplina italiana del procedimento amministrativo. Nella prassi delle P.A., la firma del responsabile del procedimento o del dirigente competente è stata sovente interpretata – in modo del tutto autoreferenziale – come prova sufficiente dell’autonomia decisionale umana (sul rapporto tra I.A. e potere, si veda recentemente B. Carotti, Il potere digitale: la nuova opera di Luisa Torchia) e, per ciò solo, come elemento idoneo a escludere la rilevanza provvedimentale del sistema algoritmico sottostante.

Ecco, le linee guida UE supra smentiscono radicalmente questa lettura.

Nella prospettiva “amministrativistica”, i profili di interferenza sono molteplici. Quanto, ad esempio, alla motivazione del provvedimento (art. 3 della l. n. 241/1990), l’utilizzo di un sistema I.A. classificabile come ad alto rischio impone che la motivazione dia conto non soltanto delle ragioni giuridiche e fattuali della decisione, ma altresì dei criteri algoritmici che hanno orientato la valutazione istruttoria: un obbligo già affermato, in nuce, in via pretoria peraltro (cfr. B. Sciuto, Diritti in loop: algoritmi e garanzie a confronto nel procedimento amministrativo). Quindi, l’insufficienza di una motivazione meramente formale – che richiami cioè il sistema I.A. senza esplicitarne il funzionamento e i parametri – integrerebbe senza dubbio un vizio di eccesso di potere per difetto di istruttoria.

Ancora, con riferimento alla partecipazione procedimentale (artt. 7 e 10 della l. n. 241/1990), l’impiego di un sistema ad alto rischio nella fase istruttoria – si pensi alla prevalutazione automatizzata di un’offerta in un appalto pubblico o alla classificazione algoritmica delle domande in materia di prestazioni sociali – pone la questione se e in quale misura l’interessato abbia diritto di conoscere i parametri del sistema e di interloquire su di essi prima che il procedimento si chiuda. Il diritto di accesso agli atti (art. 22 ss. della l. n. 241/1990) e lo stesso accesso civico generalizzato (art. 5 del d.lgs. n. 33/2013) si configurano, in questo quadro, certamente come strumenti di garanzia per la conoscibilità degli algoritmi decisionali, in coerenza con quanto disposto dall’art. 86 dell’A.I. Act in materia di diritto alla spiegazione delle decisioni individuali.

Da ultimo, sotto il profilo della responsabilità amministrativa, la classificazione del sistema come ad alto rischio comporta, de facto, l’applicazione integrale degli obblighi di cui al Titolo III dell’AI Act: valutazione della conformità, registrazione nella banca dati UE, sorveglianza post-commercializzazione, obblighi di trasparenza verso gli utenti. Tali adempimenti si cumulano, invero, con le prescrizioni della l. n. 132/2025, il cui art. 14 qualifica l’I.A. come strumento “di supporto” all’attività provvedimentale, imponendo al contempo conoscibilità e tracciabilità dei sistemi impiegati. La clausola “di supporto” non vale però, alla luce della bozza di linee guida UE, a determinare ex se la non-classificazione come ad alto rischio: conta, ancora una volta, la funzione reale, non l’etichetta formale.

Ciò brevemente detto, muovendo dal piano teorico-giuridico a quello operativo, le linee guida cit. recano almeno tre indicazioni di immediata rilevanza per le amministrazioni italiane e per i fornitori di soluzioni I.A. alla P.A. Prima indicazione: la clausola contrattuale che riserva la decisione finale all’operatore umano non è, di per sé, idonea a spostare la classificazione del sistema. È necessaria cioè una mappatura funzionale del caso d’uso – estesa a ciascuna fase del procedimento in cui il sistema interviene – e la documentazione del ruolo effettivo dell’output nel processo decisionale complessivo. Seconda indicazione: la classificazione deve avvenire prima della messa in esercizio del sistema e deve essere aggiornata ogni volta che il sistema venga modificato in modo significativo o venga impiegato in un contesto procedimentale diverso da quello originariamente valutato. Terza indicazione: le scadenze applicative relative all’Allegato III dell’AI Act – originariamente fissate – potrebbero slittare al 02 dicembre 2027 in esito all’accordo c.d. “Digital Omnibus”attualmente in negoziazione (sul punto, si veda G. Taraborelli, Digital Omnibus: semplificazione normativa o erosione dei diritti fondamentali?); nondimeno, la classificazione dei sistemi rimane il presupposto logico e giuridico di tutti gli adempimenti successivi.

In prospettiva di sistema, adunque, l’orientamento della Commissione – che privilegia la sostanza funzionale sulla qualificazione formale – appare coerente con i più consolidati canoni ermeneutici del diritto nazionale, laddove si valorizza la causa reale dell’atto rispetto alla sua forma esteriore. Esso impone, tuttavia, un cambio di paradigma nella governance interna delle amministrazioni: occorre cioè dotarsi di procedure di classificazione e di audit algoritmico puntuali, integrare le valutazioni di conformità I.A. nei processi di acquisto e nei contratti di servizio, e formare il personale responsabile dei procedimenti sulle implicazioni giuridiche dell’uso di sistemi I.A.

Da tale angolo visuale, quindi, la firma del funzionario, lungi dall’essere il punto di arrivo della riflessione giuridica, ne diventa il punto di partenza: attesta non già l’assenza di un algoritmo rilevante, ma l’avvenuta verifica critica e consapevole del suo output.