Quando la PA compra IA senza sapere come farlo
Le nuove linee guida AGID sul procurement di intelligenza artificiale fissano principi ambiziosi. Ma tra l’enunciazione e l’operatività resta un vuoto che nessuna stazione appaltante sa ancora come colmare.
C’è un paradosso al centro della trasformazione digitale della pubblica amministrazione italiana: chi deve acquistare sistemi di intelligenza artificiale non dispone ancora degli strumenti contrattuali per farlo correttamente. E il rischio non è teorico — è operativo, immediato e sanzionabile.
Un documento atteso, con un limite strutturale
Marzo 2026 ha portato un documento che il mercato aspettava da tempo: le prime linee guida italiane per il procurement pubblico di intelligenza artificiale, elaborate dall’agenzia nazionale competente per la digitalizzazione della PA. Il documento si inserisce in un quadro normativo complesso — AI Act, NIS2, Codice dei contratti pubblici, normativa nazionale sull’IA — e rappresenta il primo tentativo organico di tradurre quel quadro in indirizzi per le stazioni appaltanti.
Il problema è nel passaggio successivo. I principi enunciati — risultato, fiducia, trasparenza, responsabilità, proporzionalità, controllo — sono architettonicamente corretti. Ma restano principi. La distanza tra l’enunciazione e la traduzione procedurale e contrattuale è quella che separa un documento utile da uno che produce un effetto opposto a quello atteso: non un innalzamento della qualità del procurement pubblico di IA, ma una legittimazione formale di scelte che restano sostanzialmente non governate.
Il fenomeno che le linee guida non vedono ancora
Mentre il quadro normativo si consolida formalmente, nelle organizzazioni pubbliche e private si afferma un fenomeno parallelo e opposto: l’uso non governato di strumenti di intelligenza artificiale generativa nei processi lavorativi quotidiani. Il termine tecnico è Shadow AI — l’adozione spontanea, diffusa e non dichiarata di modelli e sistemi AI da parte di dipendenti e funzioni aziendali, al di fuori di qualsiasi processo di approvazione, valutazione del rischio o controllo interno.
Nel contesto degli appalti pubblici, le implicazioni sono immediate e concrete. Offerte tecniche redatte con strumenti AI non dichiarati e non conformi all’AI Act. Valutazioni di congruità delle offerte assistite da algoritmi non certificati. Decisioni di gara supportate da sistemi che nessun RUP ha mai formalmente adottato. In ciascuno di questi scenari, il quadro normativo vigente — dall’AI Act al D.Lgs. 36/2023 — espone a responsabilità chi non può dimostrare di aver governato il processo.
Il combinato disposto tra AI Act (obblighi di trasparenza e tracciabilità per i sistemi ad alto rischio), NIS2 (governance della sicurezza informatica) e Codice dei contratti pubblici crea un’area di rischio trasversale che i singoli strumenti normativi, presi isolatamente, non riescono a coprire. La gestione di questo rischio richiede un approccio integrato che ancora manca nella maggioranza delle organizzazioni.
Il mercato che si sta formando
Il parallelo più accurato è con il 2018, quando l’entrata in vigore del GDPR generò una domanda concentrata e urgente di competenze specializzate che il mercato non era ancora in grado di offrire in modo sistematico. Oggi la sovrapposizione di AI Act, NIS2 — con la sua scadenza finale di ottobre 2026 e oltre ventimila organizzazioni italiane nel perimetro — e delle nuove regole sul procurement digitale sta producendo una pressione analoga, ma su un fronte più ampio e tecnicamente più complesso.
La finestra operativa è quella dei prossimi 12-18 mesi. Chi saprà colmare il vuoto tra i principi normativi e la loro traduzione contrattuale — nelle procedure di gara, nei capitolati tecnici, nei sistemi di valutazione — si posizionerà come interlocutore necessario per centinaia di enti e organizzazioni che stanno cercando esattamente quella risposta.
Tre domande che ogni responsabile acquisti dovrebbe porsi
La valutazione del rischio in questo ambito non richiede competenze da ingegnere informatico. Richiede la capacità di rispondere a domande precise: quali sistemi AI vengono già utilizzati nella propria organizzazione, anche informalmente? Chi ha autorizzato il loro uso e con quale processo di valutazione? In caso di contestazione — da parte di un concorrente, di un’autorità di vigilanza, di un giudice amministrativo — si è in grado di documentare che il processo è stato governato?
Per la stragrande maggioranza delle organizzazioni pubbliche e private, la risposta onesta a queste tre domande è no. Non per negligenza, ma per assenza di strumenti interpretativi che traducano il framework normativo in procedure operative concrete.
Comprare IA: un problema di governance prima che di tecnologia
La tendenza delle linee guida — non solo italiane — a strutturarsi come cataloghi di principi riflette una difficoltà reale: legiferare su tecnologie che evolvono più velocemente dei cicli normativi. Ma questa difficoltà non esime le organizzazioni dall’obbligo di darsi regole interne operative. Anzi, in assenza di standard vincolanti sufficientemente dettagliati, la responsabilità di definire procedure adeguate ricade direttamente su chi acquista, su chi usa e su chi supervisiona.
Il procurement di intelligenza artificiale è, prima di tutto, un problema di governance. E la governance si costruisce con metodo, non aspettando che le linee guida diventino abbastanza specifiche da sostituirlo.
Alcune di queste evoluzioni si stanno già traducendo in iniziative concrete e opportunità operative misurabili. Per una lettura mirata e applicabile al proprio contesto professionale — con analisi delle procedure rilevanti, valutazione del posizionamento competitivo e strategia di risposta — è disponibile il servizio di Procurement Intelligence di The Integrity Times.
Scopri il servizio →- AGID, Bozza Linee guida per il procurement di intelligenza artificiale nella PA, marzo 2026
- Regolamento UE 2024/1689 (AI Act), in vigore agosto 2024, applicazione progressiva fino al 2027
- D.Lgs. 138/2024 (recepimento Direttiva NIS2), scadenza finale adempimenti 31 ottobre 2026
- D.Lgs. 36/2023 (Codice dei contratti pubblici), come modificato dal D.Lgs. 209/2024
- Piano Triennale per l’Informatica nella PA 2024-2026, AGID/DTD, aggiornamento 2025
- Filodiritto, L’intelligenza artificiale nel procurement pubblico: principi senza effettività, aprile 2026