Consiglio di Stato: serve il consenso della PA e una limitazione all’automazione decisionale per l’impiego dell’Intelligenza artificiale negli appalti pubblici.

La recente sentenza n. 8092/2025 del Consiglio di Stato offre un segnale molto chiaro a chi opera nel settore degli appalti: l’intelligenza artificiale può entrare nelle gare pubbliche, ma solo se la pubblica amministrazione la conosce, la comprende e la autorizza espressamente. Il caso nasce da una gara per servizi di pulizia e sanificazione in strutture del Servizio sanitario nazionale, in cui l’impresa aggiudicataria aveva dichiarato di utilizzare strumenti di IA, tra cui ChatGPT-4, per organizzare e gestire le prestazioni. L’impresa concorrente ha contestato la valutazione della commissione, mettendo in discussione – in filigrana – la liceità stessa dell’uso di queste tecnologie nell’esecuzione del contratto. Il Consiglio di Stato ha respinto il ricorso, ma ha colto l’occasione per richiamare alcuni principi fondamentali: l’amministrazione non può limitarsi a “subire” l’innovazione proposta dagli operatori economici, deve valutarla, approvarla e restare in controllo del modo in cui viene utilizzata.

Questo orientamento si innesta su un quadro normativo che nel frattempo è diventato piuttosto articolato. Il nuovo Codice dei contratti pubblici (d.lgs. 36/2023) incoraggia le stazioni appaltanti ad automatizzare i propri processi anche mediante intelligenza artificiale, ma pone condizioni precise: la PA deve poter accedere alla documentazione tecnica che spiega come funziona il sistema, deve garantire che le decisioni automatizzate siano comprensibili, non discriminatorie e mai del tutto “cieche”, cioè lasciate all’algoritmo senza la possibilità di intervento umano. La successiva legge 132/2025 ribadisce che la macchina ha solo un ruolo di supporto: la responsabilità del provvedimento resta sempre in capo alla persona fisica che lo firma. In altre parole, l’IA può assistere, ma non sostituire l’amministrazione.

Quando l’utilizzo di IA comporta il trattamento di dati personali – come spesso accade nei servizi sanitari o nella gestione di grandi volumi di informazioni sugli utenti – si aggiunge un ulteriore livello di vincoli. La normativa richiede che gli operatori economici dichiarino espressamente il trattamento dei dati e ottengano il consenso nei canali previsti, ma ciò non basta. L’amministrazione deve verificare che i sistemi utilizzati siano conformi ai principi del GDPR: liceità, trasparenza, minimizzazione, sicurezza. Inoltre, deve essere messa in condizione di sapere se, dove e come vengono utilizzati algoritmi o modelli di IA, e di intervenire se emergono rischi o criticità.

Il messaggio complessivo che emerge dalla sentenza e dalla nuova normativa è piuttosto netto: nei contratti pubblici l’uso dell’intelligenza artificiale non è una scelta unilaterale dell’impresa, né un semplice dettaglio tecnico nascosto nell’offerta. È un elemento che incide sul modo in cui il servizio viene reso e sulla posizione giuridica degli utenti, e per questo richiede un consenso consapevole e un controllo continuo da parte della PA. Le stazioni appaltanti, dal canto loro, non possono più limitarsi a valutare prezzi e punteggi tecnici in astratto: devono sviluppare competenze per comprendere le soluzioni di IA proposte, introdurre nei bandi clausole che regolano in modo chiaro il loro utilizzo e assicurarsi che l’innovazione tecnologica resti sempre al servizio dell’interesse pubblico, non il contrario.