di Marco Di Giacomo

Le recenti Linee guida del Ministero dell’Istruzione e del Merito orientano la scuola verso un’intelligenza artificiale inclusiva, sicura, capace di personalizzare l’apprendimento, semplificare la burocrazia, formare docenti e studenti rendendoli protagonisti attivi e responsabili, non semplici utilizzatori passivi di tecnologie. Il documento non offre un elenco di applicazioni IA permesse e/o vietate come molti si aspettavano, ma definisce criteri generali, stabilendo che spetta al Dirigente Scolastico la verifica dei possibili sistemi di IA da adottare nella scuola.

Al riguardo è previsto che i sistemi di IA debbano essere adottati in modo sicuro, etico e conforme alle normative europee e nazionali, precisando che «la selezione del fornitore di sistemi IA deve basarsi su standard di sicurezza internazionali, come le certificazioni ISO/IEC 27001, e le qualificazioni particolarmente rilevanti nel contesto italiano, quali ad esempio la certificazione AgID per i servizi SaaS».

A una prima lettura le Linee guida possono sembrare restrittive, escludendo strumenti diffusi tipo ChatGPT, come diversi commentatori hanno già notato. In realtà, la situazione è più articolata.

È importante anzitutto chiarire che la qualificazione dei sistemi IA da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), che ha assunto il ruolo un tempo di AgID richiamata nel testo delle Linee guida, riguarda l’affidabilità delle infrastrutture cloud su cui i modelli IA funzionano, non la conformità di ogni singola applicazione IA. Ogni progetto scolastico che prevede lo sviluppo o l’uso di strumenti IA deve quindi essere valutato caso per caso.

Le Linee guida delineano implicitamente due ambiti. Sul fronte dei servizi amministrativi e dell’utilizzo dell’IA per semplificare i processi interni, le Istituzioni scolastiche devono servirsi esclusivamente di servizi cloud qualificati ACN. In tale ambito, eventuali certificazioni internazionali richiamate (es. ISO/IEC 27001 o equivalenti) non sostituiscono il sistema di qualificazione nazionale, che resta vincolante anche per le scuole, come previsto dal Codice dell’Amministrazione Digitale (D.Lgs. 82/2005) e dal Regolamento ACN di qualificazione dei servizi cloud per la PA.

Per l’uso didattico la situazione è più complessa. I docenti possono servirsi anche di strumenti non qualificati, purché non inseriscano dati personali. Diversamente, quando l’intelligenza artificiale è messa a disposizione degli studenti, occorre ricorrere ad ambienti sicuri e, preferibilmente, certificati.

Il problema è che nel Catalogo ACN non compaiono modelli di IA come ChatGpt di OpenAi, Claude AI di Anthropic o altri utilizzabili dagli Istituti Scolastici. Per questa ragione l’uso diretto di tali applicazioni potrebbe non essere ritenuto conforme. Le scuole possono tuttavia accedervi in modo corretto tramite i canali Enterprise/Education offerti da fornitori già qualificati.

In pratica, la stessa applicazione può essere conforme o meno in base alla modalità di erogazione e all’uso. Per esempio, la versione consumer di OpenAI (accessibile sul sito chatgpt.com) può essere impiegata per attività didattiche senza dati personali, mentre per i servizi scolastici che trattano dati personali è preferibile (e spesso richiesto) utilizzare la versione enterprise erogata tramite Azure OpenAI di Microsoft, che rientra tra i servizi forniti su cloud qualificati ACN.

Al riguardo va considerato che quando si adottano piattaforme qualificate come Microsoft 365  o Google Workspace che forniscono applicazioni IA quali Copilot e Gemini, la sicurezza e la conformità tecnica restano in capo al fornitore, mentre la scuola in qualità di “deployer” deve garantire un uso corretto, trasparente e conforme al Regolamento generale sulla protezione dei dati personali (GDPR), al Regolamento UE 2024/1689(AI Act) e al nuovo quadro nazionale introdotto dal recente disegno di legge sull’intelligenza artificiale approvato il 17 settembre 2025, che rafforza gli obblighi di vigilanza e tutela dei minori.

Diverso è il caso in cui la scuola sviluppi una propria applicazione basata su interfaccia API di fornitori terzi, ad esempio un assistente virtuale per le famiglie o studenti: qui diventa, a seconda i casi, titolare o contitolare del trattamento e deve rispettare pienamente GDPR e AI Act, affidandosi a infrastrutture qualificate ACN, predisponendo eventuali DPIA (Valutazione d’impatto sulla protezione dei dati), policy interne, informative privacy, e definire ruoli e responsabilità.

Fuori da questo perimetro, per sviluppare applicazioni IA le scuole possono avvalersi di modelli di LLM gratuiti open source (per esempio LLaMA, Mistral, Gemma e DeepSeek), ma in tal caso la conformità dipende dall’ambiente di esecuzione: cloud qualificato, data center certificato o server locale della scuola. Tuttavia, gli adempimenti in materia di privacy e conformità possono variare notevolmente a seconda se si tratti dello sviluppo di applicazioni per attività interne o di laboratorio, oppure di applicazioni che la scuola intende utilizzare coinvolgendo studenti, famiglie, terzi o da rendere pubblicamente accessibili.

 Per le applicazioni didattiche semplici, come editor grafici, quiz o giochi educativi con funzioni di IA, la scuola deve valutare caso per caso i rischi e le garanzie del fornitore, privilegiando soluzioni con certificazioni di privacy, sicurezza e conformità. Gli adempimenti sono invece minimi quando l’applicazione non tratta dati personali degli studenti, restando comunque fermi gli obblighi di trasparenza verso famiglie e alunni e di supervisione da parte dei docenti.

 Particolare attenzione meritano i sistemi classificati come “ad alto rischio”, come quelli che incidono sulla valutazione del rendimento o sull’accesso a percorsi formativi. Qui le scuole devono attivare valutazioni d’impatto DPIA e FRIA (Valutazione d’impatto sui diritti fondamentali), formare il personale, predisporre documentazione tecnica e garantire che la decisione finale resti sempre sotto la supervisione umana.

È invece vietato alle scuole l’uso di software che analizzano espressioni, voci o gesti degli studenti per dedurne attenzione o stato emotivo. Non saranno quindi ammessi strumenti di riconoscimento emotivo né piattaforme che integrino funzioni di profilazione biometrica già oggetto di divieto nel nuovo AI Act e contestate in vari Paesi europei.

Alla luce delle Linee guida e della recente normativa nazionale ed europea, i Dirigenti Scolastici sono chiamati come primo passo a mappare i diversi ambiti di utilizzo dell’IA nella scuola (amministrazione, didattica, valutazione ecc.), così da distinguere correttamente gli obblighi di conformità e gli adempimenti richiesti per ciascun ambito e per ciascun tipo di applicazione IA.

Il Ministero prevede di integrare nella piattaforma “Unica” una sezione dedicata all’IA, con tool specifici per supportare i Dirigenti Scolastici nella verifica degli adempimenti che, come abbiamo accennato, risultano oggettivamente complessi.