Il correttivo al codice appalti, la Gestione Informativa Digitale e l’Intelligenza Artificiale

L’elemento che, probabilmente, risulterà come il più connotante sarà l’introduzione dell’ambiente di condivisione dei dati, definito ora nel codice, specie laddove questo, oltre a essere strutturale per ogni stazione appaltante o ente concedente, sarà messo a disposizione dalle amministrazioni regionali e provinciali a gestione autonome delle altre amministrazioni pubbliche territoriali.

Ciò consente di riflettere sul tema dell’Intelligenza Artificiale (specialmente sui modelli linguistici multimodali) che, in verità, il codice menziona negli articoli di legge dedicati alla fase dell’affidamento entro la gestione del ciclo di vita digitale del contratto pubblico e al funzionamento delle piattaforme di approvvigionamento digitale, con una particolare attenzione alla detenzione dei codici sorgente.

Di là della necessità prospettica di integrare le piattaforme di approvvigionamento digitale e gli ambienti di condivisione dei dati, argomento su cui il correttivo retrocede in omaggio al principio di realtà, la diffusione capillare dei metodi e degli strumenti della Gestione Informativa Digitale in un tessuto committente che, considerato nella sua generalità, appare a essa ancora piuttosto estraneo, potrebbe di per se stessa determinare la crescita del contenzioso su base digitale (si possono immaginare, ad esempio, i riservisti digitali) e alimentare la giurisprudenza.

Quel che, tuttavia, più interessa in questa sede è il fatto che, a breve termine, non oltre il prossimo lustro, la disseminazione di agenti di Intelligenza Artificiale a supporto diretto e attivo di tutte le pratiche tecnico-amministrative relative alla gestione del contratto pubblico (incluse quelle attinenti alla modellazione informativa, ovvero al cosiddetto BIM) potrebbe esercitare una forte azione di supplenza, non solo di supporto, nei confronti di funzionari e di dirigenti attivi nelle stazioni appaltanti e negli enti concedenti, privi delle necessarie competenze.

Quindi il vero tema appare essere la capacità della Pubblica Amministrazione di dare piena esecuzione all’art. 30 del nuovo codice dei contratti. Il legislatore, nel prevedere l’uso di procedure automatizzate nel ciclo di vita dei contratti pubblici, mediante il ricorso all’utilizzo di soluzioni tecnologiche, ivi incluse l’intelligenza artificiale e le tecnologie dei registri distribuiti, tra esse la più nota la c.d. blockchain, tiene a precisare che ciò avvenga «…nel rispetto delle specifiche disposizioni in materia…».
Il quadro normativo è, però, fortemente composito, e prevede una costante necessità di armonizzazione fonti nazionali, europee ed internazionali, ma è altresì caratterizzato da contenuti di natura programmatica, espressivi di principi utili agli operatori tutti per orientarsi nell’elaborazione ed uso di sistemi e modelli di IA.

Le due fonti di maggiore riferimento, allo stato dell’arte, appaiono l’AI Act europeo entrato in vigore nel 2024, e da applicarsi nei singoli Stati membri entro due anni, nonché a livello domestico il disegno di legge 1146, presentato dal governo il 20 maggio 2024 e oggi all’esame della Commissione Parlamentare AI per l’informazione, guidata da Padre Paolo Benanti, che registra, secondo molti addetti ai lavori, un ritardo nell’approvazione della legge.

Sulle ragioni, vi sono diverse ipotesi o se si vuole, mere illazioni; certo è che la commissione europea ha inviato osservazioni, ritenendo che i 25 articoli non fossero compliant con il regolamento su alcuni punti, quali ad esempio il diritto d’autore, ma altresì sullo spinoso tema delle Agenzie. Secondo l’AI Act, ogni singolo Stato dovrà istituire o designare come autorità nazionale competente, almeno un’autorità di notifica ed una di vigilanza sul mercato. Tra i plurimi compiti di tali enti, vi è altresì l’obbligo di garantire di disporre di risorse, tecniche e finanziarie ed umane adeguate, queste ultime anche dotate di competenze verticali sulla protezione dei dati personali e la cybersicurezza.

Nel nostro ordinamento, tali due ruoli dovrebbero essere ricoperti rispettivamente da AgiD (Agenzia per l’Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale); però, anche nel documento emanato dalla prima Autorità, titolato “Strategia Italiana per l’IA 2024-26”, si precisa che sarà necessario raccordarsi anche con altre realtà regolatorie, quali il Garante della privacy, l’AGCM (Autorità Garante della Concorrenza e del Mercato) per la tutela dei consumatori e la disciplina del mercato dei servizi digitali, anche alla luce dell’emanazione del Digital Market Act, l’AGCOM (Autorità per le garanzie nelle comunicazioni) per il contrasto ai contenuti dannosi di cui al Digital Service Act, e la Banca D’Italia e la Consob per la finanza.

Nello stesso documento si attribuisce ad AgiD, il ruolo di semplificare il fenomeno ivi definito di una over regulation.

Ritornando al correttivo, il legislatore è intervenuto su cinque articoli dei diciotto aventi a oggetto la digitalizzazione, e segnatamente agli articoli 23 e 24 si attuano politiche volte a favorire l’interoperabilità dei dati, indicando in primis le stazioni appaltanti, quali soggetti qualificati quanto l’Anac, di poter segnalare all’AgiD le anomalie o disfunzionalità del requisito, ai fini delle irrogazione delle sanzioni previste dal codice dell’amministrazione digitale; in secundis con riferimento all’interoperabilità dei dati da versarsi nel FVOE (Fascicolo Virtuale Operatore Economico), si indica un criterio di prevalenza delle norme speciali previste dal codice dei contratti rispetto ad altre e diverse fonti disciplinanti le singole banche dati, per impedire che i conflitti normativi potessero limitare il versamento dei dati.

All’articolo 26 poi, quanto alle regole tecniche per la certificazione delle piattaforme di approvvigionamento digitale, si attribuisce ad AgiD il ruolo di definire le modalità, con specifico riferimento anche alla sicurezza delle informazioni, e conseguentemente viene coinvolta anche Acn, di concerto con l’Anac, la Presidenza del Consiglio dei Ministri ed il Dipartimento per la trasformazione digitale, così come previsto al comma 1, del nuovo articolo 226 bis.

Appare chiaro che gli interventi legislativi sono conseguenti all’utilizzo della tecnologia, e quindi alla percezione dei rischi inerenti l’uso della medesima, e che tale processo possa risultare molto complesso, ma parimenti l’intento espresso dal nuovo codice dei contratti di volere semplificare ed efficientare la macchina amministrativa deve necessariamente avvalersi dell’uso dell’IA, soprattutto per automatizzare tutta una serie di processi, favoriti dall’utilizzo della gestione informativa digitale.

Il percorso è sfidante, considerando che l’impianto normativo europeo è tutto declinato sulla valutazione ed assunzione del rischio del soggetto che sviluppa ed utilizza la tecnologia e sulla responsabilità di quest’ultimo di porre in essere le adeguate misure per la mitigazione dello stesso.

Non sarà facile, in quanto, a parere degli scriventi, esiste un tema di fondo di delicata trattazione che è l’acquisizione dei dati per l’addestramento dei modelli, sia in termini di modalità, che di qualificazione degli stessi.

Nei documenti normativi citati, si indicano tutti i diritti fondamentali che non possono essere violati, e tra essi la riservatezza dei dati. A confutazione della complessità e criticità del tema, stia l’emanazione di un recentissimo provvedimento, dd. 18 dicembre 2024, a firma dell’EDPB (European Data Protection Board), avente ad oggetto la disciplina per l’effettiva anonimizzazione del dato. Ivi, viene rafforzata la responsabilità del soggetto che sviluppa il modello, ma altresì di chi lo implementa senza avere adeguatamente verificato, che “a monte” siano state poste in essere tutte le attività necessarie e sufficienti per l’acquisizione legittima dei dati e per la loro anonimizzazione, pena la dichiarazione di illegittimità del trattamento.

In conclusione, il provvedimento legislativo in commento, ulteriormente esprime l’intento del Legislatore verso un eco-sistema digitalizzato di tutte le funzione della Pubblica Amministrazione e nel suo significato di imprimere un indirizzo educativo, anche mediante l’assunzione di obblighi, vedi la conferma dell’obbligatorietà dell’utilizzo della gestione informativa digitale, sebbene con una modifica della soglia economica dell’appalto da uno a due milioni, ma al contempo manifesta la necessità di affidare alle Autorità un ruolo sempre maggiore nell’ausilio all’utilizzo della tecnologia, proprio nella consapevolezza delle potenziali criticità, ma altresì di una immaturità digitale dell’utenza, a cui dover supplire.

Non a caso, il primo obiettivo del documento di indirizzo strategico sopracitato, è la formazione attraverso la quale passa il futuro della macchina amministrativa nazionale.

 

Angelo Luigi Camillo Ciribini è ordinario all’Università degli Studi di Brescia

Chiara Micera è titolare dello Studio Legale Micera