Intervista alla Prof.ssa Angela Ferrari Zumbini. Discrezionalità e IA

In occasione dell’evento GoTMaT – Governing Technology to Manage the Transition, tenutosi lo scorso 27 novembre p.v., abbiamo chiesto alla Prof.ssa Ferrari Zumbini un approfondimento sul tema del suo intervento, “Discrezionalità e IA”.

Angela Ferrari Zumbini è Professore Ordinario di Diritto Amministrativo e Pubblico nell’Università di Napoli Federico II. È Principal Investigator di un Progetto di Rilevante Interesse Nazionale (PRIN 2022) dedicato all’analisi comparata dell’utilizzo dell’intelligenza artificiale da parte delle pubbliche amministrazioni, dal titolo “The dark side of algorithms under the comparative lens: automated administrative decisions between efficiency and due process”.

 

La Prof.ssa Angela Ferrari Zumbini

 

Nel Suo intervento ha parlato del rapporto tra discrezionalità amministrativa e sistemi di IA: in che modo l’introduzione di strumenti algoritmici modifica, o rischia di modificare, l’equilibrio tra valutazione umana e automatizzazione delle decisioni pubbliche? 

L’introduzione di sistemi di intelligenza artificiale nell’azione amministrativa costituisce una trasformazione strutturale della funzione decisionale pubblica, poiché l’IA interviene esattamente nella fase in cui la discrezionalità si manifesta: ricostruzione dei fatti, ponderazione degli interessi, valutazioni tecnico-qualitative.

Nel mio intervento ho approfondito principalmente il caso italiano, ma inserendolo nella cornice di una ricerca comparata che sto portando avanti da più di due anni, volta a esaminare l’utilizzo dell’IA da parte delle pubbliche amministrazioni in 23 ordinamenti giuridici (il sito del progetto di ricerca è www.autad.it).

Dalla comparazione dei 23 ordinamenti emerge con chiarezza che l’IA non elimina la discrezionalità amministrativa, ma ne sposta il baricentro, generando tre effetti principali:

1. a) ridefinizione e anticipazione della fase valutativa;
2. b) rischio di automatismi sostanziali;
3. c) trasformazione della responsabilità decisionale.

 

1. a) Anticipazione della discrezionalità

In primo luogo, l’IA (a parte rari casi) non sostituisce la decisione finale, ma anticipa la discrezionalità in una fase preliminare, tecnicamente più complessa: la configurazione del modello algoritmico. Questo include: la scelta delle variabili ritenute rilevanti; la ponderazione dei pesi; la selezione dei dataset; la definizione di soglie, regole e criteri decisionali; la gestione delle eccezioni e dei casi anomali.

In ordinamenti come Germania, Austria e Polonia, ciò è rigidamente limitato dalla riserva di legge: ogni automatizzazione deve essere sorretta da una base legale specifica. In sistemi più aperti — Paesi Bassi, Regno Unito, USA, Estonia — questa fase è oggetto di strumenti di risk governance, come auditing, impact assessment, sandbox.

Il risultato è comune: la discrezionalità si sposta (almeno in parte) dal momento finale della decisione al momento genetico della costruzione della regola tecnica, che di fatto anticipa la scelta di opportunità.

1. b) Rischio di automatismi sostanziali

In secondo luogo, vi è il rischio di un automatismo sostanziale, nel senso che la decisione umana formalmente resta necessaria a valle del procedimento, ma risulta svuotata di reale significato e autonomia valutativa, restando ancorata ed eterodeterminata dal “suggerimento” dell’IA. Nella stragrande maggioranza degli ordinamenti l’autorità pubblica rimane formalmente l’unica titolare del potere di decidere in merito al provvedimento finale, ma il contenuto sostanziale della decisione può risultare fortemente condizionato dalla logica del modello.

Il fenomeno centrale che emerge è il seguente: la decisione resta giuridicamente umana, ma può diventare tecnicamente eterodiretta.

1. c) Ridefinizione della responsabilità decisionale

In nessuno dei 23 ordinamenti considerati nella ricerca la macchina è considerata soggetto responsabile. Tuttavia, l’uso dell’IA rende la responsabilità amministrativa più complessa in quanto è necessario individuare l’autorità responsabile per decisioni totalmente o parzialmente automatizzate.

Ne deriva anche una nuova forma di responsabilità, ovvero la responsabilità per la scelta, l’addestramento e la configurazione dell’algoritmo. Si potrebbe parlare di passaggio (o perlomeno affiancamento) dal concetto di responsabilità sull’atto a responsabilità sul processo tecnico che genera l’atto.

 

In conclusione, l’introduzione dell’IA non comporta la “fine” della discrezionalità, ma la sua trasformazione strutturale: da potere esercitato a valle, nella fase valutativa volta a definire la decisione finale, a potere esercitato (almeno parzialmente) a monte, nella costruzione della regola tecnica e del modello algoritmico.

 

Quali garanzie giuridiche ritiene imprescindibili affinché l’uso dell’IA nella pubblica amministrazione resti compatibile con i principi di trasparenza, motivazione e tutela dei diritti dei cittadini?

L’intelligenza artificiale costituisce una straordinaria opportunità per le amministrazioni pubbliche, poiché può ampliare l’efficienza e l’imparzialità dell’azione amministrativa. Tuttavia, è necessario essere consapevoli e considerare con attenzione i rischi che essa può generare sul piano delle garanzie procedurali e della trasparenza. Per questo motivo, come mostra la comparazione dei 23 ordinamenti analizzati, i tradizionali presidi di legalità — trasparenza, motivazione, sindacabilità — devono essere ripensati e rafforzati, così da risultare adeguati alle peculiarità dei sistemi algoritmici e garantire che l’uso dell’IA rimanga pienamente compatibile con i diritti dei cittadini e con la natura stessa della funzione pubblica.

Sulla base di tale comparazione, queste garanzie possono essere ricondotte a otto pilastri imprescindibili:

1. Trasparenza algoritmica sostanziale

La trasparenza non può limitarsi alla pubblicità dell’esistenza dell’algoritmo. È necessario garantire:

• accesso alle regole di funzionamento, ai criteri decisionali e alla logica del modello;
• conoscibilità dei parametri, delle variabili e dei pesi;
• accesso, nei limiti della sicurezza, al codice sorgente;
• documentazione delle fasi di addestramento e della tipologia di dati utilizzati per l’addestramento.

Trasparenza significa dunque comprensibilità, intellegibilità, ovvero poter comprendere perché l’algoritmo è arrivato a un determinato risultato. Non sempre la comprensibilità potrà essere totale (il noto problema delle black boxes) ma dovrà almeno garantirsi la comprensibilità della logica generale se non del ragionamento specifico.

2. Motivazione rafforzata della decisione

Nei sistemi automatizzati, la motivazione non può essere indebolita, anzi deve al contrario essere rafforzata.

Ciò implica:

• spiegazione della funzione svolta dall’algoritmo nel procedimento;
• illustrazione delle ragioni per cui l’amministrazione condivide o discorda dall’output;
• indicazione dei controlli effettuati sulla correttezza del modello;

3. Supervisione umana significativa (Human in the Loop)

La presenza di un umano non può essere meramente “simbolica”. La supervisione deve essere: attiva, consapevole, responsabile, competente.

Ciò significa che un funzionario deve poter modificare, correggere e annullare l’output e che la decisione finale deve essere realmente riconducibile all’autorità pubblica.

4. Tracciabilità del processo algoritmico

La tracciabilità è la condizione minima per poter esercitare il controllo, il sindacato giurisdizionale e imputare responsabilità.

Nei sistemi più avanzati essa include:

• registrazione delle versioni dell’algoritmo;
• tracciamento dei dati utilizzati;
• documentazione degli interventi umani;
• registri pubblici dei sistemi IA.

Senza tracciabilità, la tutela giurisdizionale è impossibile.

5. Valutazione preventiva del rischio (Algorithmic Impact Assessment)

Tutti i modelli più avanzati prevedono uno strumento di valutazione del rischio prima dell’implementazione.

L’AIA deve considerare:

• rischi di discriminazione e modalità di mitigazione di tali rischi;
• rischi per diritti fondamentali;
• bias nei dataset;
• impatti distributivi;
• proporzionalità dell’automazione;
• alternative meno intrusive.

6. Diritto alla contestazione e alla revisione umana

Il cittadino deve poter:

• contestare l’output;
• ottenere una revisione umana piena;
• accedere alle informazioni necessarie per far valere le proprie ragioni.

7. Audit algoritmici periodici

I sistemi IA devono essere sottoposti a verifiche periodiche per accertare la qualità dei dati, l’assenza di bias strutturali, la corrispondenza alle norme, la correttezza della logica e il persistente rispetto delle finalità pubbliche originarie.

8. Responsabilità pienamente pubblica

l’IA può supportare la decisione, ma la responsabilità deve restare integralmente della pubblica amministrazione.

 

 Guardando all’esperienza comparata, ci sono modelli normativi o amministrativi stranieri che ritiene particolarmente interessanti per guidare la governance dell’IA in Italia nei prossimi anni?

Dall’analisi comparata dei 23 ordinamenti esaminati emergono alcuni modelli che, pur appartenendo a tradizioni giuridiche differenti, offrono spunti molto fecondi per l’evoluzione della governance dell’IA in Italia, soprattutto dopo l’adozione della legge 132/2025.

Direi che i più interessanti, anche per compatibilità “culturale” con il nostro sistema, sono quattro: Spagna, Francia, Paesi Bassi ed Estonia, con un costante riferimento di sfondo al quadro sovranazionale dell’Unione europea.

 

1. Il modello spagnolo

La Spagna è forse il riferimento più vicino all’Italia per struttura ordinamentale e sensibilità costituzionale, ma allo stesso tempo l’ordinamento che è andato più avanti nel costruire un vero statuto giuridico dell’atto amministrativo automatizzato.

Tre elementi sono particolarmente rilevanti per la governance italiana:

1. a) Tipizzazione legislativa dell’atto amministrativo automatizzato

L’art. 41 della Ley 40/2015 definisce l’atto amministrativo automatizzato e ne assicura la piena imputabilità alla PA. Ciò evita ambiguità sulla natura della decisione, e rende chiaro che il “centro di imputazione” del potere resta l’autorità pubblica.

Per l’Italia, che ha sinora definito l’atto amministrativo algoritmico soprattutto in via giurisprudenziale, un simile intervento di “tipizzazione codicistica” (ad es. nella L. 241/1990) sarebbe un completamento naturale della Legge 132/2025.

1. b) Combinazione tra disciplina procedurale e diritti sostanziali

Il Real Decreto 203/2021, sulla procedura elettronica, unito all’art. 23 della Ley 15/2022 sulla non discriminazione, creano una struttura integrata, tra una disciplina tecnica del procedimento digitale e il riconoscimento di diritti procedurali, sostanziali e il divieto di discriminazioni. È un modello in cui trasparenza, antidiscriminazione e imputabilità formano un’architettura coerente.

1. c) Il ruolo delle Comunità Autonome

Le leggi regionali (Galizia, Aragona, Catalogna, Andalusia, Comunità Valenciana) rafforzano il “diritto alla comprensibilità algoritmica”. Per un ordinamento composito come l’Italia, la Spagna offre un precedente utile per immaginare spazi regionali di sperimentazione garantista, ad esempio in sanità o servizi sociali, mantenendo però una cornice statale unitaria.

 

2. Il modello francese

La Francia ha scelto una via diversa ma altrettanto interessante: non definisce rigidamente l’atto automatizzato, ma qualifica l’algoritmo come document administratif soggetto a diritto di accesso e pubblicità delle “règles principales”.

Questo approccio è particolarmente rilevante per l’Italia perché riguarda non solo la disciplina del procedimento amministrativo, ma anche dell’atto amministrativo, e perché traduce la trasparenza algoritmica in strumenti già noti al nostro ordinamento: accesso agli atti, obblighi di pubblicazione, diritto all’informazione.

Applicare coerentemente la logica francese in Italia significherebbe:

• qualificare legislativamente l’algoritmo e il codice sorgente come documenti amministrativi;
• integrare l’accesso “civico generalizzato” e la trasparenza in senso FOIA con specifiche previsioni sugli algoritmi;
• consolidare la giurisprudenza già formata dal Consiglio di Stato in materia di accesso ai codici e alle regole tecniche.

 

3. Il modello olandese

I Paesi Bassi offrono un modello più flessibile, ma molto interessante sul piano organizzativo: l’Algoritmeregister.

Più che sulla base legale, l’attenzione è posta su:

• censimento pubblico dei sistemi algoritmici impiegati dalla PA;
• descrizione delle finalità, dei dati e dei rischi;
• collegamento con pratiche di auditing e valutazione d’impatto.

Per l’Italia, che con la legge 132/2025 ha già introdotto il tema dei registri dei sistemi IA, il modello olandese suggerisce un’evoluzione in due direzioni: da un lato, passare da un registro “interno” a un vero strumento di accountability pubblica, consultabile e comprensibile anche dall’esterno; dall’altro integrare il registro con procedure di Algorithmic Impact Assessment, così da non ridurlo a un mero adempimento formale, ma renderlo un nodo di coordinamento fra legalità, gestione del rischio e controllo democratico.

 

4. Il modello estone

L’Estonia rappresenta il modello di amministrazione “nativamente digitale”. Non è immediatamente trapiantabile in Italia, ma è estremamente utile come orizzonte regolativo.

In Estonia l’automazione non è episodica, bensì strutturale: i servizi pubblici sono concepiti fin dall’inizio per funzionare in modo digitale; la discrezionalità è esercitata a monte, nella progettazione della piattaforma, e non solo nella singola decisione; tracciabilità e interoperabilità sono integrati nell’infrastruttura.

Per l’Italia, il modello estone non è tanto un “format” da copiare, quanto un invito a considerare che la governance dell’IA non può limitarsi alla regolazione del singolo algoritmo, ma deve riguardare l’architettura complessiva dei sistemi informativi pubblici.

In prospettiva, ciò potrebbe influenzare il modo in cui vengono redatti il Piano triennale per l’informatica nella PA, le linee guida AgID, e i futuri interventi di riforma del CAD.

 

5. Il quadro UE come cornice unificante

Infine, l’Unione europea costituisce ovviamente la cornice ordinatrice per tutti i modelli nazionali. Da un lato, l’AI Act introduce un approccio basato sul rischio, con particolari obblighi per i sistemi ad alto rischio usati dalle PA; dall’altro lato il GDPR stabilisce rigidi criteri e requisiti in materia di decisioni automatizzate (art. 22 GDPR).

Per l’Italia, ciò implica che qualsiasi modello di governance dovrà essere costruito come combinazione consapevole di:

• principi interni (L. 241/1990, giurisprudenza amministrativa, L. 132/2025);
• migliori pratiche straniere (Spagna, Francia, Paesi Bassi, Estonia);
• vincoli e opportunità del diritto UE.

 

In conclusione, se dovessi indicare una traiettoria desiderabile per la governance dell’IA in Italia, direi che potrebbe combinare:

• la chiarezza definitoria e le garanzie antidiscriminatorie della Spagna
• la trasparenza documentale e procedimentale della Francia
• la governance organizzativa e i registri pubblici dei Paesi Bassi
• la visione architetturale dell’Estonia
• il tutto incardinato nel quadro vincolante dell’AI Act e del diritto dell’Unione europea.

Non si tratta, dunque, di “importare” un unico modello straniero, ma di costruire un modello italiano di amministrazione algoritmica, che dialoghi virtuosamente con queste esperienze: fermo nei principi, ma capace di apprendere sul piano tecnico-organizzativo.