Molti enti pubblici sono bloccati in un loop di attesa sulle linee guida AGID, mentre i dipendenti usano già strumenti AI non autorizzati. Formazione stratificata, governance interna e strumenti differenziati per ruolo sono le tre mosse concrete per costruire una base solida C’è una frase che chiunque lavori nellatrasformazione digitale della PAconosce a memoria. La senti nei corridoi dei Comuni, durante i convegni, nelle riunioni di progetto. Cambia leggermente ogni volta, ma il senso è sempre lo stesso: Detto così, suona come una lamentela. In realtà è unargomento difensivoperfettamente costruito. Perché è vero. Per anni, in molti enti, gli strumenti non c’erano davvero. Non c’eraformazione, non c’era unapolicy, non c’era nemmeno un account condiviso su qualche piattaforma AI. Il dipendente che non innovava poteva legittimamente indicare una responsabilità organizzativa: l’ente non lo aveva messo nelle condizioni di farlo. Quel tempo sta per finire. E questa è una buona notizia, anche se cambierà qualcosa nel modo in cui parliamo diresponsabilità individualeall’interno della PA. Prima di capire come uscirne, vale la pena riconoscere il meccanismo. Gli enti che oggi non hanno ancora avviato un percorso strutturato sull’AI non sono necessariamente pigri o disinteressati. Molti sono semplicemente intrappolati in unloop logicoche si autoalimenta: Il problema è che mentre l’ente aspetta, i dipendenti non aspettano. UsanoChatGPTsul telefono personale, chiedono aClaudenelle versioni consumer, incollano delibere su piattaforme AI senza sapere cosa succede a quei dati.Quello che in letteratura si chiamashadow AI, l’uso di strumenti diintelligenza artificialenon autorizzati, non tracciati, non governati, è già dentro i Comuni italiani. Non è un rischio futuro. È una realtà presente. Lelinee guida AGID sull’AIsono ancora in bozza al momento in cui scriviamo. Probabilmente quando leggerete questo articolo saranno uscite, o forse ci sarà già una versione 2.0. Ma aspettarle per iniziare è come aspettare il manuale di primo soccorso prima di soccorrere qualcuno che sta male davanti a voi. Lagestione del rischionon si fa aspettando le istruzioni: si fa iniziando a costruire le condizioni per agire bene. Esiste unmodello operativoche permette a qualsiasi ente, indipendentemente dalla dimensione, dal budget e dallo stato di avanzamento digitale, di costruire una base solida per l’adozione dell’AI. Lo chiamoLivello 1, perché è la precondizione di tutto ciò che verrà dopo. È composto da tre elementi che si rafforzano a vicenda:formazione stratificata,governance interna, estrumenti differenziati per ruolo. Non è necessario averli tutti e tre perfetti prima di partire. È necessario lavorarci in parallelo, sapendo che ciascuno abilita gli altri. Il primo errore che vedo fare agli enti che si avvicinano all’AI è trattare la formazione come un evento singolo e uniforme. Si organizza un webinar, si mandano tutti i dipendenti, si mette una spunta nel registro della formazione. Fine. Risultato: nessuno ha imparato nulla di applicabile, e il dirigente che ha organizzato il tutto si sente a posto la coscienza. Laformazione sull’AI efficaceè stratificata. Non perché vogliamo creare gerarchie, ma perché le esigenze sono genuinamente diverse a seconda del ruolo, del livello di responsabilità e delle attività quotidiane. Un modello realistico si articola su quattro livelli. Il primo è laformazione di base, destinata a tutti i dipendenti senza eccezioni. Non si tratta di insegnare a programmare, né di spiegare come funziona un transformer. Si tratta di fornire la capacità di orientarsi: cosa è l’AI generativa, come interagire con uno strumento in modo consapevole, cosa non fare, come riconoscere un output inaffidabile. Sono quattro ore di formazione, massimo otto. Ma sono indispensabili perché senza di esse ogni strumento dato in mano ai dipendenti diventa un’arma spuntata o, peggio, rischiosa. Il secondo livello è laformazione intermedia, che ha senso raggiunga almeno il 40-50% del personale. Qui si entra nel pratico:prompting efficace, uso degli strumenti in specifici ambiti lavorativi (redazione atti, gestione delle comunicazioni, analisi dati, ricerca normativa), valutazione critica degli output. Questo è il livello in cui si costruisce lacompetenza operativa reale, quella che cambia le abitudini di lavoro quotidiane. Il terzo livello è quello degliAI Champion: figure che non sono necessariamente informatici o RTD, ma che sviluppano una padronanza approfondita degli strumenti e diventano punti di riferimento interni per colleghi e uffici. Ogni ente dovrebbe puntare ad avere almeno un AI Champion per area o per servizio. Sono le persone che trasformano la formazione incultura organizzativa. Il quarto livello, e questo è il più spesso dimenticato, è laformazione strategica per i decisori: sindaci, assessori, segretari comunali, dirigenti. Qui non si parla di come usare un prompt. Si parla di come l’AI cambia il quadro delle responsabilità, dei rischi legali e reputazionali, delle opportunità di investimento, delle implicazioni per lagestione del personale, come cambia il lavoro. Un dirigente che non ha mai partecipato a un momento formativo sull’AI non può prendere decisioni consapevoli in materia. E troppo spesso è esattamente quello che succede: il vertice dell’ente manda gli altri a formarsi e resta fuori dal processo. Vale la pena dirlo chiaramente: unsegretario comunaleo un dirigente o una PO o un amministratore che non hanno mai ragionato sulle implicazioni dell’AI per laresponsabilità dirigenzialeè un punto di vulnerabilità per l’ente. Non per cattiva volontà, ma per mancanza di frame. La formazione strategica colma quel gap. Torniamo allashadow AI. Il problema non è che i dipendenti usino strumenti AI: il problema è che lo facciano senza che l’ente sappia cosa, come e con quali dati. In assenza di unapolicy interna, ogni comportamento è tecnicamente non regolato. E in un contesto normativo che comprende ilGDPR, ilAI Acteuropeo, e le norme sull’accesso agli atti, questo non è una posizione comoda. La risposta giusta non è vietare tutto nell’attesa di un quadro normativo perfetto. La risposta giusta è adottare unregolamento o linee guida interne sull’uso dell’AI, anche in forma semplice, anche provvisoria, anche consapevoli che andrà aggiornata. Un documento di questo tipo deve rispondere ad alcunedomande minime: quali strumenti AI sono autorizzati per uso lavorativo? Quali categorie di dati non possono essere inseriti in piattaforme AI esterne? Chi è responsabile di verificare la correttezza degli output prima che vengano usati in atti ufficiali? Come si gestisce la trasparenza verso i cittadini quando un servizio coinvolge processi AI? Non servono trenta pagine di giurisdizione. Bastanotre o quattro pagine operative, scritte in linguaggio comprensibile, validate dal segretario comunale, approvate con delibera di giunta. L’effetto non è solo normativo: è anche culturale. Un ente che ha una policy sull’AI è un ente che ha preso posizione. Che ha deciso di governare un fenomeno invece di subirlo. Le linee guida AGID, quando arriveranno nella versione definitiva, serviranno come riferimento nazionale e aiuteranno ad armonizzare gli approcci. Ma non esimono gli enti dall’adottare unagovernance propria. Anzi, chi avrà già una policy interna sarà avvantaggiato: avrà già sperimentato, avrà già capito i punti critici, e potrà aggiornare invece di partire da zero. Dare a tutti lo stesso strumento AI è una scelta comprensibile ma limitante. La tentazione di distribuire una licenzaMicrosoft 365 Copilota tutta l’organizzazione e considerare il problema risolto è forte. Ma non funziona così. Glistrumenti AInon sono tutti uguali, e soprattutto non servono tutti allo stesso modo a persone con livelli diversi di competenza e obiettivi diversi. Una strategia efficace prevede unadifferenziazione basata sul profilo utente. Per il livello base, tutti i dipendenti, ha senso fornire uno strumento integrato nell’ecosistema già in uso:Microsoft Copilotper chi lavora con la suite Office,GoogleGeminiper chi è nel mondo Google Workspace. Strumenti sicuri dal punto di vista della gestione dei dati in ambito enterprise, accessibili senza richiedere competenze avanzate, integrati nei flussi di lavoro esistenti. Il vantaggio è l’abbassamento dellabarriera di accesso: l’AI non è una cosa separata, è dentro la mail, dentro il documento, dentro il calendario. Per il livello intermedio e per gliAI Champion, ha senso aggiungere strumenti con capacità più avanzate e interfacce più flessibili:Perplexityper la ricerca e la verifica di informazioni con fonti citate,Claudeper il ragionamento complesso, la redazione di documenti articolati, l’analisi di testi lunghi. Questi strumenti richiedono un uso più consapevole e per questo vanno associati aformazione intermedia, non si danno senza contesto. La differenziazione degli strumenti non è elitismo: èpedagogia. Dare uno strumento avanzato a chi non ha ancora le basi per valutarne gli output è controproducente. Dare solo uno strumento base a chi potrebbe fare molto di più è uno spreco di potenziale. Costruire il Livello 1, formazione stratificata, governance interna, strumenti differenziati, non è la fine del percorso. È la fine del periodo in cui si naviga a vista. Un ente che ha completato il Livello 1 ha ottenutotre risultati concreti. Prima cosa: ha ridotto i rischi legati allashadow AI. Non li ha azzerati, la shadow AI non sparirà mai completamente, ma li ha ridimensionati perché ha dato alternative legittimate e ha definito cosa è ammesso e cosa no. Seconda cosa: ha posizionato l’ente rispetto all’ecosistema territoriale. In un momento in cui si moltiplicano le convenzioni tra enti, i tavoli di coordinamento digitale, le iniziativePNRRche richiedono capacità di gestione dati e processi, un ente con unamaturità AI documentataè un interlocutore più forte. Terza cosa: ha creato le condizioni per ilLivello 2. Il Livello 2 è