Scadenze, adempimenti e procedure operative per l’attuazione dell’AI Act
Documento operativo per dirigenti scolastici, DSGA, DPO/RPD, animatori digitali e figure di sistema
| Finalità del documento
Il presente documento fornisce un quadro operativo per l’introduzione e la gestione dei sistemi di intelligenza artificiale nelle istituzioni scolastiche. L’obiettivo è tradurre le principali scadenze normative in azioni concrete, verificabili e sostenibili, nel rispetto dell’AI Act, del GDPR, della normativa nazionale e delle linee guida ministeriali. |
Indice
- Premessa e ambito di applicazione
- Principi di riferimento per la scuola
- Calendario delle scadenze e stato di applicazione
- Cosa deve fare la scuola entro ciascuna scadenza
- Ruoli e responsabilità interne
- Classificazione dei sistemi di IA in ambito scolastico
- Procedura operativa per introdurre o autorizzare un sistema di IA
- Documentazione minima da adottare
- Formazione e alfabetizzazione IA
- Privacy, GDPR e tutela dei minori
- Acquisti, contratti e rapporti con i fornitori
- Monitoraggio, audit e gestione degli incidenti
- Piano di attuazione a 30, 60, 90 giorni
- Allegati operativi
- Riferimenti normativi essenziali
1. Premessa e ambito di applicazione
L’intelligenza artificiale è già presente nella vita scolastica: strumenti generativi, assistenti alla scrittura, ambienti di apprendimento adattivi, funzioni integrate nei registri elettronici, servizi cloud, strumenti di traduzione, sintesi, analisi documentale e supporto amministrativo. La scuola non può affrontare questa trasformazione come un insieme di iniziative individuali e non presidiate. È necessario adottare un modello di governance chiaro, proporzionato e documentabile.
Il presente documento è rivolto alle istituzioni scolastiche statali e paritarie che intendono utilizzare, acquistare, sperimentare o regolamentare sistemi di IA nella didattica, nell’organizzazione, nell’amministrazione e nella comunicazione istituzionale. È pensato per una lettura operativa da parte di dirigente scolastico, DSGA, DPO/RPD, animatore digitale, team per l’innovazione, figure di sistema, referenti privacy, responsabili di plesso e coordinatori didattici.
| Principio guida
La scuola può utilizzare l’IA solo se l’uso è coerente con la funzione educativa, proporzionato rispetto alle finalità, trasparente per gli interessati, presidiato da supervisione umana e compatibile con la protezione dei dati personali, dei minori e dei diritti fondamentali. |
2. Principi di riferimento per la scuola
- Centralità della persona: L’IA deve supportare il lavoro educativo e amministrativo, non sostituire la responsabilità professionale di docenti, dirigenti e personale scolastico.
- Supervisione umana: Le decisioni rilevanti su apprendimento, valutazione, orientamento, inclusione, disciplina e procedimenti amministrativi devono restare affidate a persone competenti e responsabili.
- Minimizzazione dei dati: Devono essere trattati solo i dati necessari. Nei prompt e negli strumenti generativi non devono essere inseriti dati personali, dati sanitari, certificazioni, voti o informazioni identificative non indispensabili.
- Trasparenza: Studenti, famiglie e personale devono sapere quando e per quali finalità viene usato un sistema di IA, quali dati sono trattati e quali garanzie sono previste.
- Equità e non discriminazione: La scuola deve prevenire bias e trattamenti ingiustificatamente differenziati, con particolare attenzione a minori, studenti con disabilità, BES, DSA e situazioni di fragilità.
- Sicurezza e affidabilità: Devono essere adottate misure tecniche e organizzative adeguate: account istituzionali, configurazioni sicure, tracciabilità, controllo degli accessi, conservazione controllata e revisione periodica.
- Documentabilità: Ogni scelta significativa deve essere motivata, documentata e verificabile: strumenti usati, finalità, rischi, misure adottate, ruoli, autorizzazioni e controlli.
3. Calendario delle scadenze e stato di applicazione
Le scadenze riportate di seguito sono organizzate in modo operativo per le scuole. Alla data di redazione del presente documento, maggio 2026, alcune scadenze sono già operative. Per le disposizioni sui sistemi ad alto rischio occorre considerare anche l’accordo provvisorio raggiunto il 7 maggio 2026 tra Consiglio dell’Unione europea e Parlamento europeo nell’ambito del pacchetto Omnibus VII / Digital Omnibus on AI. Tale accordo prevede il rinvio di alcune date, ma necessita di formale adozione per modificare il calendario vigente. Per prudenza amministrativa, le scuole devono comunque prepararsi secondo il calendario vigente, monitorando gli aggiornamenti normativi.
| Data | Cosa accade | Stato | Cosa deve fare la scuola |
| 1 agosto 2024 | Entrata in vigore dell’AI Act | Già operativa | La scuola deve conoscere il quadro regolatorio e avviare una prima mappatura degli usi dell’IA. |
| 2 febbraio 2025 | Applicazione dei capi I e II dell’AI Act: definizioni, divieti e alfabetizzazione IA | Già operativa | Vietare le pratiche a rischio inaccettabile; pianificare, avviare e documentare misure proporzionate di alfabetizzazione IA per il personale e per le figure che usano o gestiscono sistemi di IA per conto della scuola. |
| 2 agosto 2025 | Applicazione di disposizioni su modelli di IA per finalità generali, governance europea, autorità e sanzioni | Già operativa | Verificare l’uso di strumenti generativi e LLM; rafforzare controllo dei fornitori, informative e trasparenza come buona pratica immediata, distinguendo tali presidi dagli obblighi dell’art. 50 applicabili secondo il calendario vigente. |
| 10 ottobre 2025 | Entrata in vigore della legge 23 settembre 2025, n. 132 | Già operativa | Coordinare il regolamento d’istituto con i principi nazionali su IA, minori, scuola, PA e autorità competenti. |
| 2 agosto 2026 | Applicazione generale dell’AI Act e, nel testo vigente, degli obblighi per molti sistemi ad alto rischio di cui all’allegato III | Scadenza imminente nel testo vigente | Completare registro IA, policy, procedure di autorizzazione, verifiche GDPR, documentazione e valutazioni d’impatto per sistemi critici; assicurare formazione specifica al personale coinvolto nell’uso di sistemi IA ad alto rischio o comunque rilevanti. |
| 2 dicembre 2027 | Possibile nuova data per sistemi IA ad alto rischio autonomi, se l’accordo Omnibus VII / Digital Omnibus on AI sarà formalmente adottato | Da monitorare | Non sospendere la preparazione: usare l’eventuale rinvio per completare valutazioni, contratti, piano formativo documentato e monitoraggio. |
| 2 agosto 2028 | Possibile nuova data per sistemi IA ad alto rischio incorporati in prodotti regolamentati, se l’accordo Omnibus VII / Digital Omnibus on AI sarà formalmente adottato | Da monitorare | Verificare eventuali prodotti o servizi acquistati che integrano IA in componenti regolamentate. |
| 2 agosto 2030 | Termine specifico previsto dall’art. 111 per sistemi IA ad alto rischio destinati a essere utilizzati da autorità pubbliche, già immessi sul mercato o messi in servizio prima delle date applicative pertinenti, salvo modifiche significative | Da valutare caso per caso | Censire eventuali sistemi preesistenti; documentare versione, finalità e modifiche; non considerare la deroga come esonero dai presidi di sicurezza e privacy. |
4. Cosa deve fare la scuola entro ciascuna scadenza
4.1 Entro e dal 2 febbraio 2025: divieti e alfabetizzazione IA
Questa scadenza è già operativa. La scuola deve trattarla come adempimento permanente.
Ai fini dell’alfabetizzazione IA, l’adempimento decorre dal 2 febbraio 2025 e riguarda l’adozione di misure ragionevoli e proporzionate. Non è previsto dall’AI Act un monte ore minimo uniforme, né una certificazione obbligatoria, né la conclusione di un corso generale entro il 2 agosto 2026. La scuola deve invece poter dimostrare di aver pianificato, avviato e documentato misure formative e informative adeguate al proprio contesto, ai sistemi utilizzati, ai ruoli coinvolti e ai rischi per studenti, famiglie e personale.
| Ambito | Azione richiesta |
| Divieti assoluti | Adottare una direttiva interna che vieti l’uso di sistemi di IA per pratiche a rischio inaccettabile: manipolazione dannosa, sfruttamento di vulnerabilità, social scoring, riconoscimento delle emozioni in ambito scolastico salvo eccezioni strettissime previste dalla norma, categorizzazioni biometriche vietate e altri usi vietati dall’art. 5. |
| Uso di IA generativa | Stabilire che nessun docente o ufficio inserisca nei prompt nomi, cognomi, codici fiscali, dati sanitari, certificazioni, PEI, PDP, voti, giudizi, note disciplinari o informazioni riconducibili a studenti e personale, salvo base giuridica e valutazione preventiva adeguata. |
| Alfabetizzazione IA | Pianificare, avviare e documentare misure formative e informative proporzionate per DS, DSGA, docenti, ATA, animatore digitale, team innovazione e referenti privacy. L’obbligo non richiede la conclusione di un corso minimo unico entro il 2 agosto 2026. |
| Comunicazione interna | Diffondere una circolare operativa che spieghi cosa è consentito, cosa è vietato, a chi chiedere autorizzazione e come segnalare incidenti o usi impropri. |
| Evidenze documentali | Conservare calendario formativo, presenze, materiali, policy interne, circolari, registro degli strumenti e verbali del gruppo di lavoro. |
4.2 Entro e dal 2 agosto 2025: strumenti generativi, governance e fornitori
Dal 2 agosto 2025 si applicano, tra le altre, le disposizioni relative ai modelli di IA per finalità generali, alla governance europea e al sistema sanzionatorio. Per le scuole, ciò non comporta automaticamente tutti gli obblighi di trasparenza dell’art. 50, ma rende opportuno rafforzare fin da subito informative, controllo dei fornitori e regole interne sull’uso di chatbot, LLM e strumenti generativi.
| Ambito | Azione richiesta |
| Mappatura degli strumenti | Aggiornare l’inventario degli strumenti IA usati in didattica, amministrazione, comunicazione e servizi agli utenti, distinguendo strumenti istituzionali, strumenti acquistati, strumenti gratuiti e funzioni IA integrate in piattaforme già in uso. |
| Controllo dei modelli generativi | Verificare se gli strumenti utilizzano modelli di IA per finalità generali o LLM. Per ogni strumento occorre acquisire condizioni d’uso, informativa privacy, modalità di addestramento, conservazione dei prompt, localizzazione dei dati e opzioni di disattivazione. |
| Trasparenza verso utenti | Come buona pratica immediata e in coerenza con GDPR, linee guida MIM e principi di trasparenza, informare studenti, famiglie e personale quando interagiscono con chatbot, assistenti virtuali o contenuti generati o modificati con IA in contesti istituzionali. Gli obblighi specifici dell’art. 50 AI Act vanno applicati secondo il calendario vigente. |
| Contratti e nomine | Verificare i contratti con i fornitori. Se il fornitore tratta dati personali per conto della scuola, deve essere presente un atto ai sensi dell’art. 28 GDPR. Va verificata anche la conformità cloud e SaaS quando pertinente. |
| Misure minime | Usare preferibilmente account istituzionali; disattivare cronologia, addestramento sui dati dell’utente e funzioni accessorie non necessarie; limitare accessi e privilegi; documentare le configurazioni adottate. |
4.3 Dal 10 ottobre 2025: coordinamento con la legge nazionale n. 132/2025
| Ambito | Azione richiesta |
| Principi nazionali | Aggiornare regolamento d’istituto e policy IA alla luce dei principi di uso antropocentrico, trasparente, sicuro e responsabile. |
| Minori | Prestare particolare attenzione agli usi che coinvolgono studenti minorenni. Per gli studenti minori di 14 anni, quando l’accesso a tecnologie di IA comporta trattamento di dati personali, occorre verificare il consenso di chi esercita la responsabilità genitoriale, nel rispetto del GDPR e del Codice privacy. Per tutti i minori, l’informazione deve essere chiara, semplice e adeguata all’età e al contesto scolastico. |
| Autorità competenti | Tenere conto del ruolo nazionale di AgID e ACN, ferme le competenze del Garante per la protezione dei dati personali. Per le scuole, ciò implica maggiore attenzione a sicurezza, qualità dei servizi digitali, protezione dati e documentazione tecnica. |
| Procedure interne | Allineare PTOF, regolamento d’istituto, regolamento privacy, patto educativo di corresponsabilità e piano di formazione. |
4.4 Entro il 2 agosto 2026: messa in sicurezza del sistema scolastico
Nel testo vigente dell’AI Act questa è la scadenza centrale per l’applicazione generale del regolamento e per molte disposizioni relative ai sistemi ad alto rischio. Anche in presenza di un eventuale rinvio formale di alcuni obblighi, la scuola dovrebbe utilizzare questa data come termine interno per disporre almeno di un assetto minimo di governance.
Per quanto riguarda la formazione, il 2 agosto 2026 non va interpretato come termine generale di conclusione della formazione minima sull’IA. Entro tale data, per i sistemi di IA ad alto rischio o comunque critici eventualmente utilizzati in ambito scolastico, la scuola deve assicurare che il personale coinvolto abbia ricevuto una formazione adeguata e specifica rispetto al sistema utilizzato, alle sue finalità, ai rischi connessi, alle modalità di sorveglianza umana e alle procedure interne di controllo.
Le misure organizzative proposte nel presente documento sono, in parte, più ampie degli obblighi strettamente previsti dall’art. 26 AI Act. Esse sono adottate come presidi di buona amministrazione, sicurezza, accountability e tutela dei minori, secondo un criterio di proporzionalità.
| Ambito | Azione richiesta |
| Registro dei sistemi IA | Approvare e aggiornare un registro d’istituto dei sistemi IA, con finalità, responsabile interno, fornitore, dati trattati, categoria di rischio, base giuridica, misure di sicurezza, utenti autorizzati e stato delle valutazioni. |
| Classificazione del rischio | Classificare ogni sistema come vietato, alto rischio, rischio limitato o rischio minimo. Ogni uso in valutazione, ammissione, orientamento, proctoring, profilazione o personalizzazione significativa deve essere esaminato con particolare attenzione. |
| Policy IA d’istituto | Adottare una policy approvata dagli organi competenti, integrata nel PTOF ove opportuno, che disciplini uso didattico, amministrativo e comunicativo dell’IA. |
| DPIA e valutazioni d’impatto | Con il DPO/RPD, valutare se occorre una DPIA ai sensi dell’art. 35 GDPR. La valutazione d’impatto sui diritti fondamentali di cui all’art. 27 AI Act non va intesa come obbligo generalizzato per ogni strumento IA: deve essere verificata quando la scuola, quale organismo di diritto pubblico o soggetto che eroga un servizio pubblico, intenda utilizzare un sistema IA ad alto rischio rientrante nell’art. 6, par. 2 e nell’allegato III, con particolare attenzione ai casi dell’allegato III, punto 3, relativi a istruzione e formazione professionale. |
| Supervisione umana | Definire chi controlla gli output, con quali criteri, in quali tempi, con quale facoltà di correzione o rifiuto. Nessun output IA deve determinare automaticamente voti, giudizi, provvedimenti, orientamenti o decisioni amministrative rilevanti. |
| Informative | Aggiornare informative privacy e comunicazioni a famiglie, studenti e personale. Le informative devono essere comprensibili e proporzionate, non meramente formali. |
| Formazione | Assicurare che sia attivo e documentato un piano di alfabetizzazione IA differenziato per ruoli. Per i sistemi ad alto rischio o critici, prevedere formazione specifica sul sistema, sui rischi, sulla sorveglianza umana e sulle procedure interne. |
| Audit e monitoraggio | Prevedere almeno una verifica annuale su strumenti in uso, criticità, incidenti, efficacia didattica, equità, reclami e aggiornamenti contrattuali. |
4.5 Dal 2 dicembre 2027 e dal 2 agosto 2028: eventuale calendario modificato
Il 7 maggio 2026 è stato raggiunto un accordo provvisorio tra Consiglio dell’Unione europea e Parlamento europeo per rinviare l’applicazione di alcune regole sui sistemi ad alto rischio: 2 dicembre 2027 per sistemi autonomi e 2 agosto 2028 per sistemi incorporati in prodotti regolamentati. Fino alla formale adozione e pubblicazione delle modifiche, il riferimento giuridico resta il testo vigente. La scuola non deve quindi rinviare le attività di preparazione, ma può prevedere un aggiornamento del presente documento dopo la pubblicazione definitiva.
| Indicazione prudenziale
Per le istituzioni scolastiche è opportuno mantenere il 2 agosto 2026 come scadenza interna di messa in sicurezza organizzativa: registro, policy, informative, controllo fornitori, procedura di autorizzazione e prima classificazione del rischio devono essere pronti entro tale data. La formazione va intesa come processo pianificato, avviato, documentato e aggiornabile; per i sistemi ad alto rischio o critici deve essere specifica rispetto ai ruoli e alle modalità d’uso. |
4.6 Entro il 2 agosto 2030: sistemi IA ad alto rischio destinati all’uso da parte di autorità pubbliche
| Ambito | Azione richiesta |
| Censimento dei sistemi legacy | Individuare eventuali sistemi IA ad alto rischio destinati a essere utilizzati da autorità pubbliche, già immessi sul mercato o messi in servizio prima delle date di applicazione pertinenti, soprattutto se integrati in piattaforme amministrative, orientative o valutative. |
| Documentazione della versione | Conservare evidenza della versione, della data di attivazione, delle finalità e delle eventuali modifiche effettuate. |
| Modifiche significative | Se il sistema subisce modifiche sostanziali di finalità, funzionamento o impatto, la scuola deve rivalutare immediatamente la conformità e non attendere il 2030. |
| Presidi comunque necessari | Anche quando si applica un periodo transitorio, restano necessari privacy, sicurezza, trasparenza, minimizzazione, supervisione umana e controllo dei fornitori. La transizione al 2030 non deve essere interpretata come esonero dai presidi organizzativi e documentali. |
5. Ruoli e responsabilità interne
| Figura | Responsabilità operative |
| Dirigente scolastico | È responsabile dell’indirizzo organizzativo e dell’adozione di misure di governance. Promuove il gruppo di lavoro IA, autorizza gli usi significativi, garantisce il raccordo con organi collegiali, PTOF, regolamenti e comunicazioni istituzionali. |
| DSGA | Presidia acquisti, contratti, atti amministrativi, rapporti con fornitori, conservazione documentale, gestione degli accessi del personale amministrativo e coerenza con procedure di segreteria. |
| DPO/RPD | Supporta la valutazione dei rischi privacy, la DPIA, le informative, le nomine a responsabile del trattamento, la verifica dei fornitori e la gestione di incidenti che coinvolgono dati personali. Non sostituisce le decisioni del titolare, ma deve essere coinvolto tempestivamente. |
| Animatore digitale | Supporta mappatura degli strumenti, formazione, accompagnamento didattico, repository di pratiche, sperimentazioni controllate e raccordo con team per l’innovazione. |
| Team per l’innovazione e figure di sistema | Collaborano alla valutazione didattica, alla documentazione dei casi d’uso, alla formazione tra pari, al monitoraggio dell’impatto e alla raccolta di criticità. |
| Docenti | Mantengono responsabilità pedagogica e valutativa. Usano l’IA in modo trasparente, non inseriscono dati personali non necessari, dichiarano gli usi rilevanti e verificano criticamente gli output. |
| Personale ATA | Usa strumenti IA solo se autorizzati, per finalità istituzionali, con account e configurazioni approvate. Non carica dati personali, documenti riservati o pratiche amministrative in servizi non autorizzati. |
| Studenti | Possono usare strumenti IA secondo regole chiare di integrità, citazione, responsabilità, rispetto della privacy e prevenzione del plagio. |
| Famiglie | Devono ricevere informazione chiara sugli usi dell’IA che coinvolgono studenti, dati personali o attività educative rilevanti. |
6. Classificazione dei sistemi di IA in ambito scolastico
| Categoria | Esempi scolastici | Comportamento richiesto |
| Pratiche vietate | Riconoscimento delle emozioni in ambito scolastico per finalità disciplinari o valutative; social scoring; manipolazione dannosa; sfruttamento di vulnerabilità di minori; categorizzazioni biometriche vietate. | Non usare. Bloccare acquisti, sperimentazioni e accessi. Segnalare al dirigente e al DPO/RPD. |
| Alto rischio | Sistemi che incidono su ammissione, assegnazione a percorsi, valutazione dei risultati di apprendimento, orientamento, monitoraggio di prove, profilazione o decisioni che influenzano significativamente il percorso formativo. | Valutazione preventiva, controllo del fornitore, documentazione, DPIA se necessaria, eventuale valutazione d’impatto sui diritti fondamentali nei casi previsti, supervisione umana e monitoraggio. |
| Rischio limitato | Chatbot informativi, generatori di testi o immagini, assistenti virtuali, strumenti che interagiscono con utenti o generano contenuti senza incidere direttamente su decisioni critiche. | Trasparenza, informativa, regole d’uso, divieto di dati personali non necessari, verifica configurazioni e account. Gli obblighi specifici dell’art. 50 si applicano secondo il calendario vigente. |
| Rischio minimo | Correttori ortografici, filtri antispam, traduttori generici, funzioni di produttività senza trattamento significativo di dati scolastici. | Uso consentito con ordinaria prudenza, sicurezza informatica e rispetto del GDPR se sono trattati dati personali. |
7. Procedura operativa per introdurre o autorizzare un sistema di IA
- Proposta: chi intende usare o acquistare uno strumento IA compila una scheda sintetica: finalità, utenti, dati trattati, fornitore, benefici attesi, rischi e contesto d’uso.
- Prima classificazione: animatore digitale o referente individuato effettua una classificazione preliminare del rischio e verifica se lo strumento è già autorizzato.
- Valutazione privacy e sicurezza: DPO/RPD, DSGA e referente tecnico verificano dati trattati, basi giuridiche, account, localizzazione, log, conservazione, misure di sicurezza e rapporto con il fornitore.
- Valutazione didattica e organizzativa: si verifica se lo strumento è utile, proporzionato, inclusivo, accessibile e coerente con PTOF, curricolo, valutazione e bisogni della scuola.
- Decisione: il dirigente scolastico autorizza, nega o subordina l’uso a condizioni specifiche. Nei casi rilevanti coinvolge organi collegiali o gruppo di lavoro IA.
- Informazione: prima dell’uso, studenti, famiglie e personale ricevono le informazioni necessarie.
- Monitoraggio: dopo l’attivazione si registrano criticità, incidenti, reclami, efficacia, impatto sugli apprendimenti, equità e conformità.
- Revisione: almeno una volta l’anno, o in caso di modifica dello strumento, si aggiorna la valutazione.
8. Documentazione minima da adottare
| Documento | Contenuto | Responsabile operativo |
| Registro dei sistemi IA | Elenco aggiornato degli strumenti IA autorizzati, in uso o in sperimentazione. | Dirigente scolastico con supporto animatore digitale, DSGA e DPO/RPD. |
| Policy IA d’istituto | Regole generali per uso didattico, amministrativo e comunicativo. | Dirigente scolastico e organi competenti. |
| Scheda di valutazione caso d’uso | Finalità, utenti, dati, benefici, rischi, misure, responsabile interno. | Proponente e gruppo di lavoro IA. |
| Checklist GDPR/AI Act | Verifica di dati, base giuridica, rischio, trasparenza, sicurezza, supervisione umana. | DPO/RPD, DSGA, animatore digitale. |
| DPIA | Valutazione d’impatto sulla protezione dei dati quando richiesta. | Titolare del trattamento con supporto DPO/RPD. |
| Valutazione d’impatto sui diritti fondamentali | Valutazione degli impatti su dignità, non discriminazione, protezione dati, libertà, inclusione e diritti di minori e persone vulnerabili, nei casi previsti dall’art. 27 AI Act. | Dirigente scolastico con DPO/RPD e figure competenti. |
| Informative | Comunicazioni chiare a famiglie, studenti e personale. | Dirigente scolastico con DPO/RPD. |
| Registro formazione IA | Percorsi, presenze, materiali, destinatari e competenze attese. | Dirigente scolastico, animatore digitale, segreteria. |
| Registro incidenti e segnalazioni | Errori, output discriminatori, data breach, uso improprio, reclami e azioni correttive. | Dirigente scolastico, DPO/RPD, DSGA. |
9. Formazione e alfabetizzazione IA
L’alfabetizzazione IA non coincide con un corso tecnico sull’uso di strumenti generativi. È la capacità dell’organizzazione scolastica di comprendere opportunità, limiti, rischi e responsabilità connessi all’uso dell’IA. La formazione deve essere differenziata per ruolo.
In termini documentali, la scuola dovrebbe conservare il piano di formazione, le circolari di avvio, i materiali utilizzati, i registri di presenza o altre evidenze equivalenti. L’obiettivo non è attestare un adempimento formale unico, ma dimostrare un processo continuo, proporzionato e aggiornabile in relazione all’evoluzione degli strumenti e dei rischi.
| Destinatari | Contenuti minimi |
| Dirigente scolastico | Governance, responsabilità, AI Act, GDPR, valutazione del rischio, policy, comunicazione istituzionale, gestione degli incidenti. |
| DSGA e personale amministrativo | Uso sicuro negli uffici, dati personali, contratti, fornitori, documenti amministrativi, protocollazione, segretezza d’ufficio, account istituzionali. |
| DPO/RPD e referenti privacy | DPIA, fornitori, basi giuridiche, minimizzazione, trasferimenti, conservazione, informative, incidenti, valutazione di impatto. |
| Animatore digitale e team innovazione | Classificazione degli strumenti, sperimentazione controllata, accompagnamento docenti, repository, prompt sicuri, monitoraggio. |
| Docenti | Progettazione didattica, uso critico, valutazione, integrità accademica, inclusione, bias, tutela dati studenti, citazione dell’uso di IA. |
| Studenti | Uso consapevole, limiti degli output, verifica delle fonti, citazione, divieto di sostituzione del lavoro personale, privacy, deepfake, responsabilità digitale. |
| Famiglie | Informazione chiara sugli usi scolastici, garanzie, limiti, ruolo educativo e canali di segnalazione. |
10. Privacy, GDPR e tutela dei minori
L’uso dell’IA in ambito scolastico comporta rischi specifici perché coinvolge minori, dati educativi, informazioni relative a fragilità, valutazioni e percorsi formativi. La scuola deve applicare il principio di minimizzazione: ciò che non è necessario non deve essere raccolto, caricato, condiviso o conservato.
10.1 Regole operative sui dati
- Non inserire in strumenti generativi gratuiti o non autorizzati nomi, cognomi, codici fiscali, documenti scolastici, certificazioni, PEI, PDP, voti, giudizi, note disciplinari o dati sanitari.
- Usare preferibilmente account istituzionali e strumenti contrattualizzati.
- Disattivare, se possibile, cronologia, memorizzazione dei prompt, addestramento sui dati dell’utente e profilazione.
- Separare dati identificativi da materiali didattici quando non è necessario identificare lo studente.
- Non usare output IA come unica base per valutazioni, provvedimenti o decisioni amministrative.
- Informare famiglie e studenti in modo comprensibile, soprattutto quando sono coinvolti dati personali o minori.
- Coinvolgere il DPO/RPD prima di attivare strumenti che trattano dati personali in modo sistematico, automatizzato o innovativo.
10.2 DPIA e valutazione d’impatto sui diritti fondamentali
La DPIA è richiesta quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In ambito scolastico, la soglia di attenzione è più alta per la presenza di minori e dati educativi. La valutazione d’impatto sui diritti fondamentali prevista dall’AI Act ha un perimetro più ampio: non riguarda solo la privacy, ma anche dignità, non discriminazione, libertà, equità, inclusione, accessibilità, tutela dei minori e diritto all’istruzione. Non è però un obbligo generalizzato per ogni strumento IA: va verificata nei casi previsti dall’art. 27 AI Act, con particolare attenzione ai sistemi ad alto rischio dell’allegato III, punto 3.
| Criterio pratico
Ogni volta che uno strumento IA incide su valutazione, orientamento, assegnazione a percorsi, personalizzazione significativa, monitoraggio durante prove o trattamento di dati sensibili, la scuola deve sospendere l’attivazione automatica e aprire una valutazione preventiva con DPO/RPD e gruppo di lavoro IA. |
11. Acquisti, contratti e rapporti con i fornitori
Prima di acquistare o attivare un servizio IA, la scuola deve verificare almeno i seguenti elementi:
- identità del fornitore e sede del trattamento dei dati;
- ruolo privacy del fornitore: titolare autonomo, responsabile del trattamento o sub-responsabile;
- presenza dell’atto ex art. 28 GDPR, ove necessario;
- documentazione tecnica e funzionale dello strumento;
- modalità di conservazione di input, prompt, output e log;
- uso dei dati per addestramento o miglioramento del modello;
- possibilità di disattivare funzioni non necessarie;
- misure di sicurezza, autenticazione, controllo accessi e cifratura;
- conformità cloud/SaaS, ove pertinente;
- procedure di assistenza, incident response, esportazione e cancellazione dati;
- garanzie di trasparenza, supervisione umana, audit e aggiornamento.
12. Monitoraggio, audit e gestione degli incidenti
La governance dell’IA non si conclude con l’approvazione di una policy. Ogni sistema deve essere monitorato durante l’uso, perché strumenti, fornitori, funzionalità e rischi possono cambiare rapidamente.
| Attività | Frequenza | Contenuto |
| Monitoraggio ordinario | Almeno annuale | Verifica strumenti autorizzati, utenti, finalità, dati trattati, formazione, criticità, reclami e modifiche contrattuali. |
| Monitoraggio straordinario | Quando cambia lo strumento o emerge un rischio | Rivalutazione immediata di conformità, privacy, sicurezza e impatto didattico. |
| Incidenti privacy | Immediato | Coinvolgere DPO/RPD, valutare data breach, documentare e notificare se richiesto dal GDPR. |
| Incidenti algoritmici | Immediato | Output discriminatori, errati, dannosi o non spiegabili devono essere registrati, analizzati e corretti. |
| Audit interno | Almeno annuale | Controllo di registro, policy, formative, DPIA, contratti, informative e accessi. |
| Riesame della policy | Annuale o dopo modifiche normative | Aggiornamento di regolamento, PTOF, informative e procedure. |
13. Piano di attuazione a 30, 60, 90 giorni
| Orizzonte | Azioni |
| Primi 30 giorni | Costituire gruppo di lavoro IA; nominare referenti interni; censire strumenti in uso; emanare circolare su divieti e uso dei prompt; avviare registro IA; coinvolgere DPO/RPD. |
| Entro 60 giorni | Classificare gli strumenti; predisporre policy IA; verificare contratti e fornitori; aggiornare informative; programmare e avviare formazione per ruoli; individuare casi ad alto rischio o critici. |
| Entro 90 giorni | Approvare policy e registro; documentare l’avvio del piano di alfabetizzazione IA; avviare DPIA o valutazioni d’impatto necessarie; pubblicare indicazioni per famiglie e studenti; definire monitoraggio e repository interno. |
| Entro l’anno scolastico | Integrare IA in PTOF e piano di formazione; realizzare moduli studenti; attivare comunità di pratica; effettuare audit; aggiornare la documentazione sulla base di nuove norme e linee guida. |
14. Allegati operativi
14.1 Scheda minima per autorizzare un uso IA
| Campo | Indicazioni |
| Nome dello strumento | Indicare denominazione, versione e fornitore. |
| Finalità | Descrivere lo scopo didattico, amministrativo o comunicativo. |
| Destinatari | Docenti, studenti, famiglie, personale ATA, amministrazione. |
| Dati trattati | Specificare se sono presenti dati personali, dati di minori, dati particolari o documenti riservati. |
| Categoria di rischio | Vietato, alto rischio, rischio limitato, rischio minimo. |
| Base giuridica e informativa | Indicare il presupposto del trattamento e la comunicazione agli interessati. |
| Supervisione umana | Indicare chi verifica output e decisioni. |
| Misure di sicurezza | Account, log, conservazione, accessi, disattivazioni, cifratura. |
| Valutazioni richieste | DPIA, valutazione d’impatto sui diritti fondamentali, verifica DPO/RPD, verifica fornitore. |
| Decisione | Autorizzato, autorizzato con condizioni, non autorizzato, rinviato. |
14.2 Checklist di conformità rapida
□ Lo strumento è stato inserito nel registro IA?
□ È stata definita una finalità chiara e legittima?
□ È stata effettuata la classificazione del rischio?
□ Il DPO/RPD è stato coinvolto quando necessario?
□ Sono stati verificati contratto, fornitore e trattamento dati?
□ Sono stati esclusi usi vietati o non proporzionati?
□ È chiaro chi esercita la supervisione umana?
□ Studenti, famiglie e personale sono informati?
□ Il personale coinvolto è formato?
□ Sono previste misure di sicurezza e monitoraggio?
□ È prevista una revisione periodica?
14.3 Regole essenziali per studenti e docenti
| Regola | Applicazione pratica |
| Dichiarare l’uso dell’IA | Quando l’IA contribuisce in modo significativo a un elaborato, lo studente deve indicarlo secondo le regole definite dalla scuola. |
| Non delegare il pensiero | L’IA può supportare ricerca, revisione e organizzazione, ma non sostituire comprensione, rielaborazione personale e responsabilità dell’autore. |
| Verificare fonti e contenuti | Ogni output deve essere controllato. L’IA può produrre errori, riferimenti inesistenti o informazioni non aggiornate. |
| Proteggere dati e persone | Non inserire dati personali propri o altrui, immagini di compagni, informazioni sensibili o documenti scolastici. |
| Rispettare equità e accessibilità | Le attività didattiche devono evitare vantaggi indebiti per chi ha accesso a strumenti più avanzati a pagamento. |
| Mantenere la responsabilità docente | Il docente decide criteri, valutazione, uso consentito e modalità di citazione. |
15. Riferimenti normativi essenziali
- Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale.
- AI Act, art. 3: definizioni rilevanti, inclusi sistema di IA, provider e deployer.
- AI Act, art. 4: alfabetizzazione IA.
- AI Act, art. 5: pratiche vietate.
- AI Act, art. 6: classificazione dei sistemi IA ad alto rischio.
- AI Act, art. 26: obblighi dei deployer di sistemi IA ad alto rischio.
- AI Act, art. 27: valutazione d’impatto sui diritti fondamentali per determinati deployer e sistemi IA ad alto rischio.
- AI Act, art. 49: registrazione nella banca dati UE dei sistemi IA ad alto rischio, con obblighi differenziati per provider e, nei casi previsti, deployer pubblici.
- AI Act, art. 50: obblighi di trasparenza per determinati sistemi IA.
- AI Act, art. 111 e art. 113: disposizioni transitorie, entrata in vigore e applicazione.
- AI Act, allegato III, punto 3: sistemi IA ad alto rischio nei settori istruzione e formazione professionale.
- Regolamento (UE) 2016/679, GDPR, in particolare artt. 5, 12, 13, 14, 25, 28, 30, 32, 35.
- Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018, n. 101.
- Legge 23 settembre 2025, n. 132, disposizioni e deleghe al Governo in materia di intelligenza artificiale, in particolare artt. 1, 3, 4 e 20.
- Ministero dell’istruzione e del merito, Linee guida per l’introduzione dell’intelligenza artificiale nelle istituzioni scolastiche, versione 1.0, 2025, quale documento ministeriale di indirizzo e accompagnamento operativo.
- Comunicazioni ufficiali dell’Unione europea sul pacchetto Omnibus VII / Digital Omnibus on AI, da monitorare fino alla formale adozione e pubblicazione nella Gazzetta ufficiale dell’Unione europea.
| Avvertenza finale
Il presente documento ha finalità organizzativa e di supporto operativo. Non sostituisce il parere del DPO/RPD, le valutazioni del titolare del trattamento, le indicazioni delle autorità competenti o eventuali atti successivi del Ministero. Deve essere aggiornato in caso di modifiche normative, linee guida nazionali o indicazioni ufficiali dell’Unione europea. |
Gianfranco Bordoni – Maggio 2026
© 2026 Gianfranco Bordoni. Il documento può essere utilizzato e adattato dalle istituzioni scolastiche per finalità formative, organizzative e amministrative interne, con citazione della fonte.