Bur n. 158 del 28 novembre 2025

Materia: Informatica

Deliberazione della Giunta Regionale n. 1467 del 20 novembre 2025

Approvazione del "Disciplinare per l'adozione e l'utilizzo di Sistemi e Modelli di Intelligenza Artificiale nella Regione del Veneto".

L'Assessore Francesco Calzavara riferisce quanto segue.

Il Regolamento (UE) n. 2024/1689, noto come "AI Act", mira a stabilire un approccio armonizzato a livello europeo per garantire che i sistemi di intelligenza artificiale immessi sul mercato e utilizzati nell'UE siano sicuri, etici e rispettosi dei diritti fondamentali e dei valori dell'Unione.

Il predetto Regolamento, già vigente, ha come obiettivo fondamentale la creazione di un quadro giuridico uniforme per l'intelligenza artificiale (IA) all'interno dell'Unione Europea. Lo scopo è duplice:

• garantire la sicurezza e la protezione dei diritti fondamentali: il Regolamento introduce un approccio basato sul rischio, classificando i sistemi di IA in base al potenziale danno che possono causare (rischio inaccettabile, elevato, limitato e minimo). Questo include il divieto di pratiche di IA considerate a "rischio inaccettabile" (es. sistemi di social scoring) e l'imposizione di requisiti stringenti per i sistemi a "alto rischio" (es. quelli usati in ambito medico o per la selezione del personale), per i quali sono previsti obblighi di supervisione umana, trasparenza e documentazione tecnica;
• promuovere un'innovazione responsabile: il summenzionato Regolamento incoraggia la creazione e l'adozione di sistemi sicuri e affidabili.

In sintesi, l'AI Act si propone di bilanciare la tutela dei cittadini e la promozione dell'innovazione, garantendo che lo sviluppo dell'IA in Europa avvenga in modo etico, sicuro e in linea con i valori dell'Unione.

L'Intelligenza Artificiale, che negli ultimi anni ha assunto un ruolo sempre più centrale nelle politiche pubbliche, rappresenta una tecnologia innovativa con il potenziale di migliorare l'efficienza, la trasparenza e la qualità dei servizi pubblici offerti dalle Amministrazioni pubbliche.

L'IA può infatti automatizzare compiti ripetitivi come la gestione delle pratiche, la compilazione di moduli e la valutazione di documenti. Ciò consente ai dipendenti pubblici di dedicare più tempo a compiti che richiedono un giudizio umano e un'interazione diretta con i cittadini, migliorando la qualità del servizio.

L'IA inoltre può aumentare la trasparenza dei servizi pubblici grazie alla sua capacità di elaborare grandi quantità di dati e fornire informazioni chiare e accessibili. I sistemi basati su IA possono monitorare e tracciare lo stato delle pratiche in tempo reale, rendendo visibile al cittadino ogni fase del processo. Questo riduce l'incertezza e la necessità di richieste di aggiornamento continue.

Si pone in evidenza che il Parlamento ha approvato il 23 settembre 2025 la Legge n. 132/2025 (Gazzetta Ufficiale del 25 settembre), entrata in vigore il 10 ottobre, che andrà ad integrare le norme dell’AI ACT.

L’Amministrazione regionale, pertanto, in attuazione del citato Regolamento europeo, ed in conformità alla normativa nazionale, intende favorire l’adozione e l’uso corretto, trasparente e responsabile delle tecnologie dell’informazione e della comunicazione, anche basate su IA, al fine di efficientare le attività e i processi interni delle strutture amministrative della Giunta regionale, nonché supportare ed innovare l’esercizio delle funzioni amministrative e l’erogazione dei servizi a cittadini e utenti:

• nel rispetto delle norme vigenti e di quelle che saranno adottate a livello nazionale e sovranazionale, nonché in conformità ai principi generali dell’azione amministrativa e tenuto conto dell’evoluzione giurisprudenziale in materia di adozione e utilizzo di algoritmi e sistemi di IA da parte delle pubbliche amministrazioni;
• assicurando che l'utilizzo delle tecnologie sia improntato al rispetto dei principi etici, di legalità, trasparenza, responsabilità, alla tutela dei diritti fondamentali e delle libertà di collaboratori, cittadini, partner, fornitori, utilizzatori e di tutti i soggetti coinvolti nel ciclo di vita dell’IA;
• garantendo una preventiva analisi dei rischi connessi all’automazione dell’attività amministrativa, affinché il rischio derivante dall’adozione di sistemi e modelli di IA sia prontamente identificato e mitigato.

L'utilizzo di tali tecnologie richiede l'adozione di un modello di governance e procedure, sistematico ed integrato, per garantire il coordinamento con le procedure e i presidi interni esistenti, in particolare in materia protezione dei dati personali, sicurezza informatica, gestione documentale, trasparenza, accessibilità e qualità dei servizi digitali.

A tal fine risulta opportuno dotare la pubblica amministrazione regionale di un “Disciplinare per l’adozione e l'utilizzo di Sistemi e Modelli di Intelligenza Artificiale nella Regione del Veneto” (Allegato A) che stabilisca le linee guida, le procedure, i principi generali e le responsabilità per lo sviluppo, l’acquisizione, l'implementazione e l'utilizzo dei sistemi di IA, in conformità con la normativa nazionale ed europea vigente, garantendo, al tempo, un monitoraggio costante degli sviluppi normativi e tecnologici allo scopo di adeguare tempestivamente le proprie regole interne, considerata la velocità dell’innovazione, che richiede un adattamento costante ai cambiamenti imposti dall’incessante evoluzione tecnologica e digitale.

Il documento include un “Glossario e definizioni” (Allegato A1) e “Regole di comportamento” (Allegato A2), applicabili a tutto il personale della Giunta regionale, società ed enti strumentali e soggetti esterni che operano per conto della Giunta regionale (es. consulenti e fornitori).

Nel Disciplinare sono elencati i principi generali a cui deve conformarsi l'uso dell'IA, tra cui trasparenza, qualità e governance dei dati, accuratezza, benessere umano e ambientale, intervento e sorveglianza umana, non discriminazione, accountability, rispetto del diritto d'autore, riservatezza, valutazione del rischio, adozione di standard tecnici, efficienza, innovazione e formazione.

Sono inoltre specificati i principi per i processi decisionali automatizzati che comportano l'uso di dati personali (liceità, minimizzazione, esattezza, limitazione delle finalità e della conservazione, integrità e riservatezza, security by design e by default).

Infine, il documento elenca le pratiche di IA vietate in ottemperanza all' AI Act ed alla normativa nazionale, come l'uso di tecniche subliminali, la distorsione del comportamento sfruttando vulnerabilità, la classificazione sociale, la polizia predittiva, lo scraping non mirato di immagini facciali, l'inferenza delle emozioni sul lavoro e negli istituti di istruzione, la categorizzazione biometrica e l'identificazione biometrica remota in tempo reale in spazi pubblici, salvo eccezioni specifiche.

Quanto alla Governance dell’IA, l’Amministrazione regionale adotta e aggiorna periodicamente la Strategia regionale per l’adozione dell’IA, integrata con gli strumenti di programmazione e coordinata dal Responsabile per la Trasformazione Digitale (RTD). Il Modello di governance dell’IA è articolato su tre livelli:

• strategico: affidato a un “Tavolo di coordinamento” interdirezionale, presieduto dal RTD, dal Data Protection Officer (DPO) e dai Direttori di Area o dai Dirigenti delle Strutture regionali individuati come competenti in relazione ai temi trattati, con il compito di elaborare la strategia, promuovere il coordinamento, valutare le implicazioni e monitorare l'attuazione;
• compliance: presidiato dal “Competence Center per IA”, istituito all’interno della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, con il compito di supportare la governance, istruire la procedura di valutazione dei progetti, definire le modalità operative, predisporre linee guida, organizzare la formazione e monitorare il ciclo di vita delle soluzioni;
• operativo: prevede l'individuazione di “Referenti per l’IA” all'interno delle Aree, con il compito di raccordarsi con il Competence Center, assicurare l'implementazione delle soluzioni, monitorare l'impiego e collaborare alla diffusione della cultura dell'IA.

La formazione del personale è considerata fondamentale e include percorsi obbligatori di alfabetizzazione e formazione specialistica per i ruoli chiave.

I rapporti con le autorità di controllo sono gestiti dal RTD con il supporto del Competence Center. L'Amministrazione regionale può attivare iniziative di supporto per gli Enti locali della Regione, che dovranno preventivamente essere approvate dalla Giunta regionale. 

Quanto alle procedure, ogni Progetto di IA deve essere sottoposto a una procedura formale di valutazione e gestione del rischio, articolata in diverse fasi:

• presentazione dei progetti di IA: la struttura proponente prepara una proposta che il Referente per l'IA verifica preliminarmente per ammissibilità, identificando usi vietati, soluzioni esistenti e vincoli normativi. Tale proposta, dettagliata e corredata da documentazione (analisi del fabbisogno, vincoli di budget e tempi, contesto giuridico, valutazione soluzioni di approvvigionamento), viene poi trasmessa al Competence Center, che effettuerà una valutazione del progetto, definendo requisiti e prescrizioni;
• valutazione e classificazione del livello di rischio: il Competence Center valuta e classifica il rischio secondo le categorie dell'AI Act, conducendo un'analisi integrata e multidisciplinare degli impatti;
• definizione di requisiti e raccomandazioni: il Competence Center definisce requisiti normativi, tecnici e organizzativi in una "Scheda di valutazione" approvata dal RTD, che include la classificazione del rischio, la valutazione di conformità, i requisiti obbligatori, le esigenze formative e raccomandazioni operative;
• implementazione dei requisiti: i requisiti e le raccomandazioni devono essere integralmente recepiti prima dell'adozione del sistema. In caso di appalto, la documentazione di gara deve richiederne il rispetto e gli operatori economici devono fornire documentazione tecnica e contrattuale. La verifica dell'implementazione è a carico del Referente per l'IA, con il supporto del Competence Center;
• monitoraggio: dopo la messa in esercizio, il progetto è monitorato dal Referente per l'IA (primo livello) e dal Competence Center (secondo livello) per garantire conformità e individuare anomalie. Il monitoraggio accompagna tutte le fasi del ciclo di vita;
• valutazione sui Progetti di IA realizzati o in corso di realizzazione: tutti i progetti esistenti devono essere sottoposti retroattivamente alla procedura di valutazione e gestione del rischio.

Sono specificate le procedure per lo sviluppo ex novo di sistemi e modelli di IA e per l'acquisizione di sistemi e modelli di IA proprietari, con obblighi rafforzati per i sistemi ad alto rischio (es. Valutazione dell’Impatto fondamentale sui Diritti - FRIA, sistema di gestione della qualità).

Il Tavolo di coordinamento può intervenire per assicurare coordinamento o dirimere divergenze.

Qualora le sue determinazioni richiedano di garantire uno sviluppo armonico ed omogeneo delle azioni programmate per il conseguimento degli obiettivi fissati dalla Giunta regionale, le questioni oggetto di decisione sono portate altresì all'attenzione del Comitato dei Direttori di Area.

Viene istituito un Registro pubblico dei sistemi di IA a cura del Competence Center, pubblicato nell'area "Amministrazione trasparente", contenente informazioni sui sistemi adottati.

Vengono richiamati i doveri di responsabilità e diligenza dei dipendenti e collaboratori nell'uso etico e consapevole dell'IA, con l'obbligo di partecipare ai programmi di formazione. Il Disciplinare è soggetto a attuazione e aggiornamento periodico a cura del Competence Center. Viene specificato che il Disciplinare non sostituisce le procedure vigenti in materia di protezione dei dati personali. La violazione delle disposizioni può costituire sanzioni disciplinari.

Si pone inoltre in evidenza che, in ottica di trasparenza e responsabilità, l'Amministrazione regionale rende noto e tracciabile l'utilizzo di sistemi di Intelligenza Artificiale generativa per la redazione o il supporto alla redazione di atti, documenti e provvedimenti regionali di varia tipologia, garantendo che tale informazione sia resa disponibile in modo chiaro ai cittadini e agli interessati. Questo si inserisce nel più ampio quadro dei principi di trasparenza e accountability.

Infatti, si afferma sin d'ora il principio, che sarà successivamente declinato con apposite modalità operative indicate dalla Segreteria della Giunta regionale, che nelle proposte di provvedimenti da sottoporre all'approvazione della Giunta regionale e del Presidente della Regione del Veneto, le Strutture regionali che si siano avvalse di sistemi di intelligenza artificiale per le attività correlate al provvedimento proposto, devono darne atto, riportando per quali attività detti sistemi siano stati utilizzati e specificandone le finalità (se di supporto, consultazione o sostitutive dell’attività propria degli uffici per la redazione materiale dell’atto). In ogni caso, le risultanze prodotte dai sistemi di Intelligenza Artificiale devono necessariamente essere sottoposte a supervisione e controllo umano da parte degli uffici competenti e delle risultanze di tale controllo deve parimenti essere dato atto, atteso che i provvedimenti devono essere corredati del visto di legittimità ai sensi dell’art. 6, comma 1, lettera b) del Regolamento regionale 31 maggio 2016, n. 1 “Regolamento per la disciplina delle funzioni dirigenziali della Giunta regionale e delle modalità di conferimento degli incarichi, ai sensi dell'articolo 30 della legge regionale 31 dicembre 2012, n. 54 'Legge regionale per l'ordinamento e le attribuzioni delle strutture della Giunta regionale in attuazione della legge regionale statutaria 17 aprile 2012, n. 1 'Statuto del Veneto'' e sue successive modificazioni”.

Ciò premesso, con il presente provvedimento si approvano - come parti integranti dello stesso – il “Disciplinare per l’adozione e l'utilizzo di sistemi e modelli di Intelligenza Artificiale nella Regione del Veneto” (Allegato A), i relativi Allegati “Glossario e definizioni” (Allegato A1) e “Regole di comportamento” (Allegato A2) e si incarica il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict dell’esecuzione del presente atto.

Si intende col presente provvedimento procedere inoltre alla costituzione:

• del “Tavolo di coordinamento” interdirezionale, presieduto dal RTD, che lo coordina, dal Data Protection Officer (DPO) e dai Direttori di Area o dai Dirigenti delle Strutture regionali individuati come competenti in relazione ai temi trattati, con il compito di elaborare la strategia, promuovere il coordinamento, valutare le implicazioni e monitorare l'attuazione;
• del “Competence Center per IA”, istituito all’interno della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, con il compito di supportare la governance, istruire la procedura di valutazione dei progetti, definire le modalità operative, predisporre linee guida, organizzare la formazione e monitorare il ciclo di vita delle soluzioni.

Infine, un “Referente per l’IA” sarà individuato all’interno di ogni Area con il compito di raccordarsi con il Competence Center, accompagnare l'implementazione delle soluzioni, monitorare l'impiego e collaborare alla diffusione della cultura dell'IA. Il relativo nominativo sarà comunicato al “Competence Center per IA” presso la Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

VISTO l'art. 2, comma 2 della Legge regionale n. 54 del 31/12/2012;

VISTA la Legge n. 241 del 07/08/1990 e ss.mm.ii, recante "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi" ed in particolare l'art. 15;

VISTO il Regolamento (UE) n. 2024/1689, che stabilisce regole armonizzate sull'intelligenza artificiale (“AI Act”);

VISTA la Legge n. 132 del 23/09/2025 “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”;

VISTO il D.Lgs n. 82 del 7/03/2005 e s.m.i. recante “Codice dell’amministrazione digitale” (CAD)

VISTE le Linee guida della Commissione europea sulle pratiche di intelligenza artificiale (IA) vietate stabilite dal Regolamento (UE) 2024/1689 del 4 febbraio 2025 e le Linee guida della Commissione europea sulla definizione di un sistema di intelligenza artificiale stabilita dal Regolamento (UE) 2024/1689 del 6 febbraio 2025;

VISTO il Piano Triennale per l'Informatica nella Pubblica amministrazione 2024-2026 – Aggiornamento 2025 (ai sensi del DPCM del 3 dicembre 2024);

VISTE le “Linee guida per l’adozione di IA nella pubblica amministrazione” ai sensi del D.P.C.M. 12 gennaio 2024, recante “Piano triennale per l’informatica nella pubblica amministrazione 2024-2026”;

VISTA la Legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.

delibera

1. di approvare le premesse quale parte integrante e sostanziale del presente provvedimento;

2. di disciplinare l'utilizzo dell'Intelligenza Artificiale (IA) nei procedimenti amministrativi e nelle attività della Regione del Veneto;

3. di approvare il “Disciplinare per l’adozione e l'utilizzo di Sistemi e Modelli di Intelligenza Artificiale nella Regione del Veneto” (Allegato A), i relativi Allegati “Glossario e definizioni” (Allegato A1) e “Regole di comportamento” (Allegato A2), parti integranti e sostanziali del presente provvedimento;

4. di disporre la costituzione:
   • del “Tavolo di coordinamento” interdirezionale, presieduto dal RTD, che lo coordina, dal Data Protection Officer (DPO) e dai Direttori di Area o dai Dirigenti delle Strutture regionali individuati come competenti in relazione ai temi trattati, con il compito di elaborare la strategia, promuovere il coordinamento, valutare le implicazioni e monitorare l'attuazione;
   • del “Competence Center per IA”, istituito all’interno della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, con il compito di supportare la governance, istruire la procedura di valutazione dei progetti, definire le modalità operative, predisporre linee guida, organizzare la formazione e monitorare il ciclo di vita delle soluzioni;

5. di stabilire che all'interno di ciascuna Area della Regione del Veneto sarà individuato un “Referente per l’IA”, che avrà il compito di raccordarsi con il Competence Center, accompagnare l'implementazione delle soluzioni, monitorare l'impiego e collaborare alla diffusione della cultura dell'Intelligenza Artificiale;

6. di stabilire che l'utilizzo di Intelligenza Artificiale generativa per la redazione o il supporto alla redazione di atti, documenti e provvedimenti della Giunta regionale sia reso trasparente e noto al pubblico e agli interessati in conformità al Disciplinare di cui al punto 3 precisando che le Strutture regionali che se ne avvalgano devono darne esplicita evidenza nelle proposte di provvedimento, indicando le attività per cui tali sistemi sono stati utilizzati e le relative finalità (di supporto, consultazione o sostitutive dell’attività degli uffici);

7. di disporre, da parte dei diversi soggetti contemplati dall'Allegato A al presente provvedimento, l'applicazione rigorosa di quanto previsto dal medesimo;

8. di stabilire che la Regione del Veneto può attivare iniziative di supporto per gli Enti locali della Regione, previa approvazione da parte della Giunta regionale; 

9. di incaricare il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, dell'esecuzione del presente atto;

10. di dare atto che il presente provvedimento non comporta oneri a carico della Regione del Veneto;

11. di pubblicare il presente atto nel Bollettino ufficiale della Regione.

Torna indietro