La legge sull’IA stabilisce un quadro normativo basato sul rischio per i sistemi di intelligenza artificiale nell’Unione europea, che ha un impatto diretto sulle istituzioni educative come schieratori di strumenti di intelligenza artificiale. Le scuole devono rispettare gli obblighi relativi a pratiche proibite, sistemi ad alto rischio e trasparenza, in particolare quando utilizzano l’IA per l’ammissione, le valutazioni di apprendimento o il monitoraggio comportamentale. Il regolamento si integra con i requisiti GDPR esistenti, imponendo valutazioni coordinate del rischio, supervisione umana e misure di protezione dei dati per le applicazioni di intelligenza artificiale che coinvolgono gli studenti.
Gli istituti scolastici devono affrontare scadenze graduali di conformità, gli obblighi immediati per la formazione all’alfabetizzazione e le restrizioni sulle tecnologie di rilevamento delle emozioni. Il ruolo del Data Protection Officer (DPO) diventa centrale nella mappatura degli strumenti di intelligenza artificiale, nella classificazione dei rischi e nella garanzia di valutazioni di impatto integrate. Le scuole devono inoltre aggiornare le politiche sulla privacy e implementare la formazione continua del personale per allinearsi con l’evoluzione delle linee guida normative da parte delle autorità dell’UE e nazionali.
Collana STEM & Intelligenza Artificiale a Scuola
Pubblicazione tecnico-normativa · Compliance AI Act
AI Act e Istituzioni Scolastiche
Ruoli, obblighi del deployer, sistemi ad alto rischio nell’istruzione e il ruolo del DPO fra AI Act e GDPR
A cura di G. Ianniello – Responsabile della Protezione dei Dati (DPO)
Anno scolastico 2026/2027 — aggiornato al quadro applicativo del Regolamento (UE) 2024/1689
1. Premessa e finalità del documento
Il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio, noto come AI Act, disciplina in modo organico l’immissione sul mercato, la messa in servizio e l’utilizzo dei sistemi di intelligenza artificiale nell’Unione Europea, con un approccio basato sul rischio (risk-based approach). Le istituzioni scolastiche, quali soggetti che utilizzano sistemi di IA nell’esercizio della propria attività istituzionale, rientrano a pieno titolo fra i destinatari di questo Regolamento, possono assumere, a seconda del ruolo concretamente svolto, la qualifica di deployer (utilizzatori) e, in casi specifici, anche quella di provider quando sviluppino internamente strumenti di IA o ne modifichino sostanzialmente la finalità d’uso .
Il presente documento si rivolge a Dirigenti Scolastici, Responsabili della Protezione dei Dati (DPO), animatori digitali e referenti per la transizione digitale, e ha l’obiettivo di offrire una lettura operativa e coordinata dell’AI Act, del GDPR (Regolamento UE 2016/679) e delle Linee guida ministeriali, per orientare le scelte organizzative dell’istituto in materia di adozione di strumenti di IA, con particolare attenzione ai sistemi impiegati in ambito didattico e amministrativo.
2. Il quadro normativo e la tempistica di applicazione
L’AI Act è entrato in vigore il 1° agosto 2024, ma la sua applicazione è scaglionata nel tempo secondo un calendario che ogni istituto scolastico deve tenere presente per pianificare correttamente gli adempimenti:
- 2 febbraio 2025: entrano in applicazione le disposizioni sulle pratiche di IA vietate (art. 5) e sull’obbligo di alfabetizzazione in materia di intelligenza artificiale (art. 4).
- 2 agosto 2025: entrano in applicazione le disposizioni relative ai modelli di IA per finalità generali (General Purpose AI, GPAI) e le norme sulla governance.
- 2 agosto 2026: entra in applicazione la gran parte del Regolamento, incluse le disposizioni sui sistemi di IA ad alto rischio di cui all’Allegato III (fra cui, come si vedrà, rientra il settore dell’istruzione) e gli obblighi di trasparenza dell’art. 50.
- 2 agosto 2027: termine ultimo per la piena applicazione delle disposizioni relative ai sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti già regolamentati da altre normative di armonizzazione dell’Unione (Allegato I).
Alla data di redazione del presente documento, le istituzioni scolastiche sono pertanto già pienamente soggette agli obblighi relativi alle pratiche vietate e all’alfabetizzazione all’IA, e si trovano nella fase di adeguamento organizzativo in vista della piena applicazione delle disposizioni sui sistemi ad alto rischio, per le quali è opportuno avviare fin da ora le attività di ricognizione e valutazione descritte nel presente documento.
Nota operativa: la Commissione Europea ha pubblicato una bozza di linee guida sulla classificazione dei sistemi ad alto rischio, sottoposta a consultazione pubblica mirata nel corso del 2026; le scuole e i loro DPO dovrebbero monitorare gli sviluppi di tali linee guida, poiché forniranno criteri operativi più puntuali per l’applicazione della deroga di cui all’art. 6, par. 3, del Regolamento. La disciplina continuerà a essere precisata mediante linee guida, atti di esecuzione e orientamenti dell’AI Office e dell’AI Board.
3. I ruoli soggettivi: la scuola come deployer di sistemi di IA
L’AI Act distingue diverse figure soggettive, le principali delle quali, per il contesto scolastico, sono:
- Provider (fornitore): la persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali, o che lo fa sviluppare, e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio (art. 3, par. 3).
- Deployer (utilizzatore): la persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, salvo il caso in cui il sistema sia utilizzato nel corso di un’attività personale non professionale (art. 3, par. 4).
Nella generalità dei casi, l’istituto scolastico che adotta uno strumento di IA sviluppato da terzi (una piattaforma di apprendimento adattivo, un software di correzione automatica, un chatbot educativo, un sistema di proctoring per gli esami) opera come deployer. È tuttavia importante che il DPO e il Dirigente Scolastico prestino attenzione a una circostanza specifica, prevista dall’art. 25 del Regolamento: qualora l’istituto modifichi la finalità prevista (intended purpose) di un sistema di IA rispetto a quanto dichiarato dal fornitore originario, può, in determinate circostanze, determinare l’assunzione degli obblighi propri del provider. È il caso, ad esempio, di un modello linguistico generico, non pensato dal fornitore per finalità valutative, che venga impiegato dalla scuola per correggere e valutare gli elaborati degli studenti: un simile utilizzo può comportare una riqualificazione del ruolo soggettivo dell’istituto, con un aggravio significativo di obblighi.
4. Le pratiche di intelligenza artificiale vietate rilevanti per la scuola (art. 5)
L’articolo 5 dell’AI Act individua un elenco chiuso di pratiche di IA considerate a rischio inaccettabile e pertanto vietate in modo assoluto sul territorio dell’Unione. Fra queste, almeno due meritano un’attenzione specifica da parte delle istituzioni scolastiche in fase di valutazione e acquisto di strumenti digitali:
4.1 Divieto dideduzionedelle emozioni negli ambienti scolastici
È vietata l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA per dedurre le emozioni di una persona fisica negli ambienti di lavoro e negli istituti di istruzione, salvo le limitate eccezioni previste dal Regolamento per motivi medici o di sicurezza. Il DPO assiste il Dirigente che deve pertanto valutare con particolare rigore qualunque proposta commerciale che presenti funzionalità di “rilevamento dell’attenzione”, “analisi dello stato emotivo” o “monitoraggio del coinvolgimento” degli studenti tramite webcam, sensori biometrici o altri strumenti, verificando puntualmente se rientri o meno nell’ambito di applicazione del divieto e nelle eventuali, tassative eccezioni.
4.2 Divieto di sistemi di scoring sociale
È altresì vietata la valutazione o classificazione di persone fisiche sulla base del loro comportamento sociale o di caratteristiche personali, quando ciò comporti un trattamento pregiudizievole o sfavorevole ingiustificato o sproporzionato rispetto al comportamento originario. Sebbene questa fattispecie sia più tipica di contesti extra-scolastici, il principio deve orientare con cautela l’eventuale adozione, da parte dell’istituto, di strumenti di IA per il monitoraggio comportamentale o disciplinare degli studenti.
5. I sistemi di IA ad alto rischio nel settore dell’istruzione (Allegato III)
Il punto 3 dell’Allegato III dell’AI Act individua espressamente il settore dell’istruzione e della formazione professionale come ambito in cui alcuni sistemi di IA sono considerati, in via presuntiva, ad alto rischio. Nello specifico, sono classificati ad alto rischio i sistemi di IA destinati a:
- Determinare l’accesso, l’ammissione o l’assegnazione di persone fisiche agli istituti di istruzione e formazione professionale a tutti i livelli.
- Valutare i risultati dell’apprendimento, compreso l’utilizzo di tali risultati per orientare il processo di apprendimento delle persone fisiche.
- Valutare il livello di istruzione adeguato che una persona riceverà o a cui potrà accedere, nell’ambito o all’interno degli istituti di istruzione e formazione professionale.
- Monitorare e rilevare comportamenti vietati degli studenti durante le prove, nel contesto o all’interno di istituti di istruzione e formazione professionale (è il tipico caso dei sistemi di proctoring automatizzato per gli esami).
L’art. 6, par. 3, del Regolamento prevede una deroga: un sistema che rientra formalmente in una delle categorie dell’Allegato III può non essere considerato ad alto rischio se non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, in particolare quando non influisce in modo sostanziale sull’esito di un processo decisionale o quando svolge un compito procedurale limitato. È tuttavia essenziale ricordare che l’ultimo capoverso dell’art. 6 stabilisce un’eccezione all’eccezione: un sistema rientrante nell’Allegato III è sempre considerato ad alto rischio (salvo eventuali chiarimenti interpretativi delle autorità competenti) quando effettua la profilazione di persone fisiche ai sensi dell’art. 4, punto 4, del GDPR. Questo significa che molti strumenti di analytics didattica “adattiva”, che costruiscono profili individuali degli studenti per personalizzare contenuti o percorsi, difficilmente potranno beneficiare della deroga.
5.1 Un criterio pratico di valutazione
Come evidenziato anche da recenti analisi tecnico-giuridiche, uno stesso strumento software può essere o non essere ad alto rischio a seconda dell’uso concreto che l’istituto ne fa. Un modello linguistico generico utilizzato da un docente per preparare materiali didattici non rientra, di norma, nell’Allegato III. Lo stesso strumento, utilizzato per correggere e attribuire un voto agli elaborati degli studenti, rientra invece con elevata probabilità nella categoria ad alto rischio. Il DPO assiste il Dirigente che dovrebbe quindi guidare una valutazione caso per caso, fondata sulla finalità d’uso effettiva e non sulla sola natura tecnica dello strumento.
6. Gli obblighi del deployer per i sistemi ad alto rischio (art. 26)
Quando un istituto scolastico impiega, come deployer, un sistema di IA classificato ad alto rischio, l’art. 26 dell’AI Act individua una serie di obblighi specifici, fra cui:
- Adottare misure tecniche e organizzative adeguate per garantire l’utilizzo del sistema conformemente alle istruzioni per l’uso fornite dal provider.
- Affidare la sorveglianza umana (human oversight) a persone fisiche che dispongano della competenza, della formazione e dell’autorità necessarie.
- Garantire che i dati di input pertinenti e sotto il proprio controllo siano adeguati rispetto alla finalità prevista del sistema.
- Monitorare il funzionamento del sistema sulla base delle istruzioni per l’uso e, se necessario, informare il provider e l’autorità di vigilanza in caso di rischio individuato.
- Conservare automaticamente i log generati dal sistema, per un periodo adeguato, quando tali log siano sotto il proprio controllo.
- Informare i lavoratori (e, per analogia funzionale, le rappresentanze degli studenti e delle famiglie, ove pertinente) prima della messa in servizio o dell’utilizzo di un sistema di IA ad alto rischio sul luogo di lavoro.
- Nei casi previsti dal Regolamento, effettuare una valutazione d’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment, FRIA) prima della messa in uso del sistema, obbligo che l’art. 27 dell’AI Act pone in capo, fra gli altri, agli organismi di diritto pubblico quali sono le istituzioni scolastiche.
Il DPO assiste il Dirigente che dovrebbe promuovere, per ogni sistema ad alto rischio individuato, una FRIA integrata con la valutazione d’impatto sulla protezione dei dati (DPIA) già richiesta dal GDPR, evitando duplicazioni documentali e costruendo un unico processo di valutazione del rischio, coerente e tracciabile, fermo restando che la responsabilità della conduzione e dell’adozione delle misure resta in capo al Titolare del trattamento.
7. L’obbligo di alfabetizzazione in materia di IA (art. 4)
L’articolo 4 dell’AI Act, già pienamente in vigore dal 2 febbraio 2025, impone a provider e deployer di adottare misure per garantire, per quanto possibile, un livello sufficiente di alfabetizzazione in materia di intelligenza artificiale del proprio personale e delle altre persone che si occupano del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, tenendo conto delle loro conoscenze tecniche, esperienza, istruzione e formazione, nonché del contesto di utilizzo previsto. Per un istituto scolastico, ciò si traduce concretamente in:
- Percorsi formativi obbligatori per il personale docente e amministrativo che utilizza strumenti di IA, differenziati per ruolo e livello di responsabilità.
- Formazione specifica per i membri del team digitale, dell’ufficio di segreteria coinvolto in eventuali procedure di ammissione automatizzate, e per il personale che gestisce dati relativi agli esami.
- Documentazione delle attività formative svolte, quale evidenza di adempimento dell’obbligo, utile anche in sede di eventuale verifica da parte delle autorità competenti.
Questo obbligo si integra naturalmente con le due pubblicazioni divulgativo-pedagogiche di questa stessa collana, dedicate rispettivamente alla scuola primaria e alla secondaria di primo grado, che offrono strumenti concreti per l’alfabetizzazione all’IA rivolta, con la necessaria trasposizione didattica, anche agli studenti.
8. Interazione con il GDPR: una lettura integrata e non sovrapposta
L’AI Act non sostituisce né deroga al GDPR, ma si applica in aggiunta ad esso: l’art. 2, par. 7, dell’AI Act chiarisce espressamente che il Regolamento lascia impregiudicato il diritto dell’Unione in materia di protezione dei dati personali. Per le istituzioni scolastiche, ciò significa che ogni trattamento di dati personali effettuato per mezzo di, o in connessione con, un sistema di IA deve rispettare integralmente i principi del GDPR, in particolare:
- Liceità, correttezza e trasparenza del trattamento, con particolare rigore quando gli interessati sono minori (art. 5, par. 1, lett. a, e art. 8 GDPR).
- Minimizzazione dei dati: i sistemi di IA, per loro natura “data-hungry”, vanno configurati e utilizzati limitando la raccolta ai soli dati strettamente necessari alla finalità didattica o amministrativa perseguita.
- Limitazione della finalità: dati raccolti per un sistema di IA didattico non possono essere riutilizzati per finalità ulteriori e incompatibili senza una nuova base giuridica.
- Obbligo di valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR, che nella prassi delle autorità di controllo è generalmente considerato necessario per i trattamenti che coinvolgono dati di minori realizzati tramite tecnologie innovative come l’IA, specie se comportano profilazione o processi decisionali automatizzati.
- Diritto degli interessati (e, per i minori, di chi esercita la responsabilità genitoriale) a ricevere un’informativa chiara sull’uso di sistemi di IA e, nei casi di decisioni basate unicamente su trattamento automatizzato con effetti giuridici o similmente significativi, il diritto a ottenere l’intervento umano, ai sensi dell’art. 22 GDPR.
9. Il ruolo del DPO: una proposta di processo operativo
Alla luce del quadro delineato, si propone un processo operativo articolato in fasi, che il DPO può presidiare in stretto raccordo con il Dirigente Scolastico e il team digitale dell’istituto:
9.1 Fase 1 — Censimento e mappatura
Costituire e mantenere aggiornato un registro degli strumenti di IA effettivamente in uso o in fase di valutazione presso l’istituto, distinto ma coordinato con il registro dei trattamenti già previsto dal GDPR, indicando per ciascuno strumento: finalità dichiarata dal fornitore, finalità d’uso effettiva presso l’istituto, categorie di dati trattati, presenza di funzionalità di profilazione, presenza di dati relativi a minori.
9.2 Fase 2 — Classificazione del rischio
Per ciascuno strumento censito, effettuare la classificazione secondo i criteri dell’art. 5 (pratiche vietate: eventuale non adottabilità immediata), dell’Allegato III (presunzione di alto rischio) e dell’art. 6, par. 3 (eventuale deroga), documentando le motivazioni della classificazione operata.
9.3 Fase 3 — Valutazione integrata FRIA/DPIA
Per gli strumenti classificati ad alto rischio, condurre una valutazione d’impatto integrata che copra sia i profili di protezione dei dati (DPIA ex art. 35 GDPR) sia i profili di impatto sui diritti fondamentali (FRIA ex art. 27 AI Act), coinvolgendo ove opportuno rappresentanze del personale e delle famiglie.
9.4 Fase 4 — Adozione delle misure di sorveglianza umana
Individuare formalmente le figure incaricate della sorveglianza umana su ciascun sistema ad alto rischio, assicurandone competenza e formazione adeguata, e definire procedure chiare per la gestione di eventuali malfunzionamenti o esiti anomali del sistema.
9.5 Fase 5 — Informativa e trasparenza
Aggiornare le informative privacy dell’istituto per dar conto, in modo chiaro e comprensibile anche a un pubblico non tecnico, dell’uso di sistemi di IA, distinguendo fra strumenti a rischio minimo e strumenti ad alto rischio, e assicurando il rispetto dell’obbligo di trasparenza dell’art. 50 dell’AI Act quando gli studenti interagiscono direttamente con un sistema di IA (obbligo di informarli che stanno interagendo con un’IA, salvo che ciò risulti evidente).
9.6 Fase 6 — Formazione e alfabetizzazione continua
Pianificare percorsi formativi periodici per il personale, differenziati per ruolo, e promuovere, in coordinamento con i referenti didattici, percorsi di alfabetizzazione all’IA rivolti agli studenti, secondo l’impostazione delineata nelle pubblicazioni pedagogiche di questa collana.
9.7 Fase 7 — Monitoraggio e aggiornamento
Monitorare l’evoluzione del quadro normativo, in particolare le linee guida della Commissione Europea sulla classificazione dei sistemi ad alto rischio e gli eventuali atti di indirizzo del Ministero dell’Istruzione e del Merito e del Garante per la protezione dei dati personali, aggiornando di conseguenza il registro e le valutazioni effettuate.
10. Checklist sintetica per l’istituto scolastico
- È stato costituito un registro degli strumenti di IA in uso, distinto e coordinato con il registro dei trattamenti GDPR?
- Per ciascuno strumento è stata verificata l’eventuale ricorrenza di pratiche vietate ai sensi dell’art. 5 AI Act?
- Per ciascuno strumento è stata effettuata la classificazione del rischio secondo l’Allegato III e l’art. 6, par. 3?
- Per gli strumenti ad alto rischio è stata condotta una valutazione d’impatto integrata (FRIA/DPIA)?
- Sono stati individuati i soggetti incaricati della sorveglianza umana, con formazione adeguata?
- Le informative privacy sono state aggiornate per dar conto dell’uso di sistemi di IA?
- È stato pianificato un piano di formazione del personale ai sensi dell’art. 4 AI Act, con relativa documentazione?
- Sono stati coinvolti gli organi collegiali e le famiglie nell’informazione sull’uso didattico dell’IA?
- È stato attivato un canale di monitoraggio degli aggiornamenti normativi (Commissione Europea, MIM, Garante privacy)?
11. Conclusioni
L’AI Act introduce, per le istituzioni scolastiche, un livello di responsabilità organizzativa che si aggiunge, senza sostituirla, a quella già derivante dal GDPR. Il progressivo ingresso in vigore delle disposizioni relative ai sistemi ad alto rischio, previsto per il 2 agosto 2026, rende urgente avviare fin da ora un percorso strutturato di censimento, classificazione e valutazione degli strumenti di IA effettivamente utilizzati nella didattica e nell’amministrazione scolastica. Il ruolo del DPO, in stretto raccordo con il Dirigente Scolastico, risulta centrale non solo per assicurare la conformità normativa, ma per costruire una cultura organizzativa dell’IA fondata su trasparenza, proporzionalità e tutela effettiva dei diritti degli studenti, in particolare dei minori, coerentemente con lo spirito complessivo del Regolamento europeo.
NON PERRDERTI LA LETTURA DI
Intelligenza Artificiale e STEM nella Scuola Secondaria di Primo Grado
Intelligenza Artificiale e STEM nella Scuola Primaria
Bibliografia e riferimenti normativi
Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act), Gazzetta Ufficiale dell’Unione Europea, L 2024/1689.
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR).
Ministero dell’Istruzione e del Merito, Linee guida per l’introduzione dell’Intelligenza Artificiale nelle istituzioni scolastiche, 2025.
Commissione Europea, bozza di Linee guida sulla classificazione dei sistemi di IA ad alto rischio ai sensi dell’art. 6 e dell’Allegato III dell’AI Act, consultazione pubblica mirata, 2026.
Garante per la protezione dei dati personali, provvedimenti, FAQ e vademecum in materia di intelligenza artificiale, protezione dei dati e minori, www.garanteprivacy.it.
European Data Protection Board (EDPB), orientamenti sull’interazione fra AI Act e GDPR.
Comitato Europeo per l’Intelligenza Artificiale (AI Board) e Ufficio per l’IA della Commissione Europea, materiali informativi sull’attuazione del Regolamento.
UNESCO, Guidance for Generative AI in Education and Research, Parigi, 2023.
