Linee guida IA nelle scuole: cosa prevede il MIM

Linee guida per l’IA nelle scuole: la guida completa al documento del MIM (e cosa cambia davvero per dirigenti, docenti e studenti)

Le linee guida per l’introduzione dell’intelligenza artificiale nelle scuole pubblicate dal Ministero dell’istruzione e del merito sono il primo documento ufficiale che dice agli istituti italiani come adottare l’IA senza improvvisare. Non sono una circolare che obbliga o vieta: sono una cornice di riferimento che traduce regole europee complesse — l’AI Act, il GDPR — in passi operativi pensati per chi gestisce una scuola tutti i giorni. Chi cerca una sintesi onesta del documento, senza linguaggio da convegno, è nel posto giusto.

Lavoriamo a contatto con il mondo della certificazione delle competenze digitali, e una cosa è chiara fin dalla prima lettura: questo testo sposta il problema dall'”se” usare l’IA al “come” usarla bene. Vale la pena leggerlo per intero, ma se hai poco tempo questa guida ne ricostruisce ogni parte con parole semplici, mantenendo i riferimenti normativi dove servono.

Che cos’è il documento del MIM e a chi parla

Il documento si intitola Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche, versione 1.0, anno 2025. È firmato il 9 agosto 2025, come allegato al DM n. 166. Si rivolge a quattro tipi di lettori ben precisi: dirigenti scolastici, personale amministrativo, docenti e studenti. Ognuno ci trova indicazioni tagliate sul proprio ruolo.

La logica di fondo è dichiarata subito. Il Ministero non vuole frenare l’innovazione né lasciarla al caso. Vuole governarla. Per questo fissa principi e requisiti — etici, tecnici e normativi — e rimanda a futuri decreti ministeriali per la parte di dettaglio applicativo. È, in sostanza, l’impalcatura su cui poggeranno le regole più operative che arriveranno dopo.

Una precisazione che vale la pena fare in apertura, perché il documento non poteva includerla: il testo cita più volte il disegno di legge nazionale sull’IA come ancora in discussione parlamentare. Quel disegno di legge è diventato realtà. Il DDL 1146 è stato approvato in via definitiva dal Senato il 17 settembre 2025 ed è oggi la Legge 23 settembre 2025, n. 132, in vigore dal 10 ottobre 2025. Chi legge le linee guida oggi deve tenerlo presente: la cornice nazionale che il MIM dava per imminente esiste già.

Da dove nasce la strategia

Le linee guida non sono un’invenzione isolata. Si appoggiano su una catena di documenti che parte dall’Europa e arriva all’Italia. C’è l’AI Act, il regolamento europeo sull’intelligenza artificiale, che è il riferimento giuridico vincolante. Ci sono le raccomandazioni dell’UNESCO sull’etica dell’IA del 2021. Ci sono le linee guida etiche della Commissione europea per gli educatori. E c’è la Strategia italiana per l’intelligenza artificiale 2024-2026 elaborata da AgID e dal Dipartimento per la trasformazione digitale.

A queste si aggiungono la Convenzione del Consiglio d’Europa su intelligenza artificiale, diritti umani, democrazia e stato di diritto del settembre 2024 e gli “Orientamenti etici per un’IA affidabile” del gruppo di esperti della Commissione europea. Non è un elenco decorativo: ognuno di questi testi lascia un’impronta precisa nelle linee guida. Dall’UNESCO arriva l’idea che ogni Paese sviluppi programmi di etica dell’IA a tutti i livelli scolastici, garantendo l’accessibilità alle persone con disabilità. Dalla Commissione europea arriva l’obbligo, per le scuole, di custodire i dati in modo riservato e sicuro nel rispetto del GDPR. Dal Consiglio d’Europa arriva la metodologia HUDERIA per valutare gli impatti sui diritti, che il MIM richiama più volte come riferimento operativo.

Il filo conduttore di tutta questa documentazione è una parola che ritorna ossessivamente nel testo: approccio antropocentrico. Significa che la macchina resta uno strumento e la persona resta al centro. Non è retorica: come vedremo, da questo principio discendono obblighi concreti. È anche il motivo per cui il documento è cauto fino alla prudenza — preferisce indicare paletti chiari piuttosto che entusiasmarsi per le potenzialità della tecnologia.

Il modello a quattro pilastri

Il Ministero costruisce il proprio modello di introduzione dell’IA su quattro pilastri. Vale la pena conoscerli perché ricompaiono in tutto il documento e ne sono l’ossatura.

Il primo pilastro sono i principi di riferimento: i valori generali che devono guidare ogni scelta. Il secondo sono i requisiti di base, divisi in etici, tecnici e normativi. Il terzo è il framework di implementazione, cioè il metodo operativo per portare un progetto dall’idea al monitoraggio. Il quarto è la comunicazione e governance, che collega le scuole al Ministero attraverso la piattaforma Unica.

È una struttura che procede dal generale al pratico: prima i valori, poi le condizioni da rispettare, poi il “come si fa”, infine il “come ci si coordina”. Affronteremo ogni pilastro nell’ordine.

I sei principi di riferimento

I principi di riferimento sono sei. Non sono slogan: il documento li àncora a precisi articoli della Costituzione e della Carta dei diritti fondamentali dell’UE.

La centralità della persona è il principio capofila. L’uomo deve mantenere un ruolo centrale e insostituibile nel governo dei sistemi di IA. Tradotto: nessuna decisione che incida sugli studenti può essere lasciata interamente a un algoritmo.

L’equità chiede che l’IA garantisca pari accesso a tutti e che venga monitorata lungo l’intero ciclo di vita per individuare e correggere eventuali distorsioni. È qui che entra il tema dei bias, su cui torneremo: un sistema addestrato male può riprodurre discriminazioni, e la scuola ha l’obbligo di accorgersene.

L’innovazione etica e responsabile stabilisce un paletto importante. L’IA deve sostenere l’apprendimento critico e creativo senza sostituire l’impegno, la riflessione e l’autonomia di chi studia. È un’idea che il documento ripete in più punti: la tecnologia arricchisce, non rimpiazza.

La sostenibilità viene declinata su tre assi — sociale, economico e ambientale. Non basta che un sistema funzioni: deve essere economicamente sostenibile per la scuola e a impatto ecologico contenuto.

La tutela dei diritti e delle libertà fondamentali mette al primo posto la protezione dei dati personali. I dati di studenti e personale vanno trattati con i principi di privacy by design e privacy by default, cioè con la massima tutela impostata fin dalla progettazione e attiva per impostazione predefinita.

Infine la sicurezza dei sistemi: infrastrutture e dati protetti da accessi non autorizzati, guasti, manipolazioni e attacchi informatici.

Sei principi, una direzione sola. Se dovessi riassumerli in una frase: la scuola può usare l’IA solo a condizione di restarne padrona.

L’AI Act spiegato per le scuole

Qui il documento entra nel tecnico, e conviene seguirlo con attenzione perché è la parte che più spesso viene fraintesa.

La scuola come “deployer”

Quando una scuola adotta un sistema di IA, secondo l’AI Act assume il ruolo di deployer. È un termine preciso: indica chi utilizza un sistema di IA sotto la propria autorità nell’ambito di un’attività professionale. Non chi lo sviluppa (quello è il fornitore), ma chi lo mette in uso. Gli obblighi della scuola dipendono da questo ruolo.

I tre livelli di rischio

L’AI Act classifica i sistemi in base al rischio, e per le scuole questa classificazione non è teorica. Esistono sistemi a rischio minimo o nullo, liberi da obblighi normativi, per cui è solo consigliata l’adozione di codici di condotta. Esistono sistemi a rischio limitato, che interagiscono direttamente con le persone e impongono un dovere di trasparenza: l’utente deve sapere che sta parlando con un’IA. E poi ci sono i sistemi ad alto rischio, ed è qui che la scuola deve drizzare le antenne.

L’allegato III dell’AI Act considera ad alto rischio, nel settore istruzione, i sistemi usati per determinare l’accesso o l’ammissione a un istituto, per valutare i risultati dell’apprendimento, per stabilire il livello di istruzione adeguato a una persona e per monitorare comportamenti vietati durante le prove. Sono proprio le funzioni più “delicate” della vita scolastica. Se una scuola adotta uno di questi sistemi, scattano obblighi pesanti: tra cui una valutazione d’impatto sui diritti fondamentali, di cui parleremo.

Pratiche vietate in assoluto (art. 5 AI Act)

L’articolo 5 dell’AI Act elenca pratiche proibite senza eccezioni. Niente tecniche subliminali o manipolative. Niente social scoring, cioè classificazione delle persone in base al comportamento sociale con effetti penalizzanti. Niente categorizzazione biometrica per dedurre razza, opinioni politiche, fede religiosa o orientamento sessuale.

E un divieto specifico per la scuola, che merita di essere sottolineato perché tocca un’illusione diffusa: è vietato il riconoscimento delle emozioni degli studenti nelle istituzioni educative, salvo motivi medici o di sicurezza. Quindi tutti quei software che promettono di “leggere” l’attenzione o lo stato d’animo della classe sono fuori legge in ambito scolastico. È uno dei punti più netti dell’intero impianto, e uno di quelli che più facilmente verrebbe violato in buona fede da chi non conosce la norma.

I requisiti etici: la supervisione umana prima di tutto

Il documento dedica un capitolo ai requisiti etici dell’IA, e ne individua quattro.

Il primo è l’intervento e sorveglianza umana. In tutte le situazioni che impattano sugli studenti, l’uomo deve poter intervenire, correggere, fermare. Il dirigente scolastico, supportato da figure designate, ha qui un ruolo strategico: guida l’uso consapevole, monitora i processi, interviene quando qualcosa va storto.

Il secondo è la trasparenza e spiegabilità. Chi usa un sistema di IA deve capire come funziona e quali implicazioni ha. La scuola deve conservare la documentazione sui sistemi adottati, così da consentire audit e verifiche delle autorità. Il documento è qui sorprendentemente schietto su un punto: i modelli linguistici di grandi dimensioni, gli LLM, producono output apparentemente sicuri e autorevoli ma a volte sbagliati o privi di rigore, con il rischio di diffondere falsi riferimenti. È una cautela sacrosanta, e la vedremo tornare nel tema delle “allucinazioni”.

Il terzo requisito sono i criteri per evitare discriminazioni. Qui il nemico ha un nome: il bias. Bisogna curare la qualità dei dati di addestramento e dotarsi di sistemi di controllo che individuino e correggano le distorsioni prima che producano danni.

Il quarto è l’attribuzione di ruoli e responsabilità, e introduce una figura che torna in tutto il testo.

Il dirigente scolastico al centro

Il documento è esplicito: la responsabilità primaria nella governance dei sistemi di IA è del dirigente scolastico. Spetta a lui definire i ruoli, promuovere un uso etico e consapevole, garantire che ogni soluzione adottata sia accompagnata da una valutazione d’impatto e da un monitoraggio continuo. Può farsi affiancare da figure di riferimento, ma la regia è sua.

Non solo. Le decisioni strategiche vanno prese in modo condiviso, con un coinvolgimento differenziato degli utenti. Se il sistema riguarda la didattica, vanno coinvolti studenti e famiglie attraverso gli organi collegiali. Se riguarda la pianificazione o l’amministrazione, vanno coinvolti il personale e le sue rappresentanze, nel rispetto della libertà di insegnamento. Per scelte di ampia portata, si suggeriscono consultazioni anche a livello territoriale. È un modello partecipativo, non calato dall’alto.

I requisiti tecnici: come scegliere e usare gli strumenti

Sul fronte tecnico il documento dà indicazioni che ogni dirigente dovrebbe stampare e tenere sul tavolo prima di firmare un contratto.

Sulla scelta del fornitore, la certificazione del fornitore non è un dettaglio. Il testo richiama standard internazionali come la ISO/IEC 27001 per la sicurezza delle informazioni e qualificazioni rilevanti nel contesto italiano, come la certificazione AgID per i servizi SaaS. Si raccomanda inoltre di scegliere fornitori che offrano garanzie adeguate, ad esempio l’adesione al Data Privacy Framework. La sicurezza, insomma, si verifica prima di comprare, non dopo l’incidente.

Sulla gestione dei dati, il documento spinge verso ambienti controllati, dove il trattamento avviene solo in ambito scolastico e sotto il controllo diretto della scuola. È un’indicazione che pesa: significa diffidare degli strumenti “aperti” che mandano i dati chissà dove.

C’è poi un passaggio importante e poco citato: il diritto di non partecipazione. Studenti e famiglie devono poter decidere se i propri dati possano essere usati per addestrare i sistemi di IA. Questa scelta non deve mai penalizzare l’accesso agli strumenti didattici. E con gli LLM il documento raccomanda prudenza estrema: inserire i prompt senza dati personali identificabili, disattivare la cronologia delle conversazioni e i servizi accessori non necessari, evitare profilazione e tracciamento. Tradotto in pratica per un docente: non incollare nomi, cognomi o dati sensibili degli alunni dentro un chatbot.

La protezione dei dati personali: il cuore normativo (e il più impegnativo)

Se c’è una sezione che separa una scuola conforme da una che rischia sanzioni, è questa. Il documento dedica al GDPR il capitolo più lungo e dettagliato, perché ogni volta che un sistema di IA tratta dati personali la scuola agisce come titolare del trattamento.

I principi del GDPR applicati all’IA

Tutto parte dall’articolo 5 del GDPR: liceità, correttezza e trasparenza; limitazione della finalità (i dati raccolti per uno scopo non si usano per altro); minimizzazione dei dati (solo quelli necessari); esattezza; limitazione della conservazione; integrità e riservatezza. Sono i pilastri di sempre, ma applicati a una tecnologia che per natura tende a divorare dati. Il documento insiste su un punto: meglio ancora se la scuola usa dati sintetici — dati artificiali che riproducono le caratteristiche di quelli reali senza esporre persone vere — e tecnologie che migliorano la privacy, le cosiddette PET (Privacy-Enhancing Technologies).

Un’attenzione particolare riguarda i minori. Il GDPR li definisce soggetti “vulnerabili”, meritevoli di protezione rafforzata. Ogni scuola deve valutarne la specifica fragilità prima di trattarne i dati.

Gli adempimenti concreti del titolare

Il documento elenca, uno per uno, gli obblighi che ogni istituto deve assolvere con il supporto del proprio DPO (il Data Protection Officer). Li riassumo perché sono la vera “to-do list” della conformità.

Serve una base giuridica chiara e conoscibile per ogni trattamento. Serve una DPIA, la valutazione d’impatto sulla protezione dei dati, da fare *prima* di iniziare il trattamento: descrive il trattamento, ne valuta necessità e proporzionalità, individua i rischi e le misure per gestirli. Il documento è chiaro: visto il carattere innovativo dell’IA e il volume di dati in gioco, la DPIA è praticamente sempre necessaria, e nel dubbio va comunque fatta.

Se il sistema è ad alto rischio, la DPIA va integrata con la FRIA, la valutazione d’impatto sui diritti fondamentali prevista dall’articolo 27 dell’AI Act. La FRIA descrive i processi in cui il sistema è usato, le categorie di persone coinvolte, i rischi specifici e le misure di sorveglianza umana. Il documento suggerisce di tenere conto anche del modello HUDERIA del Consiglio d’Europa, una metodologia per valutare l’impatto dei sistemi di IA su diritti umani, democrazia e stato di diritto.

Servono poi le informative agli interessati, scritte in un linguaggio comprensibile — il Garante raccomanda che siano leggibili anche dai minori. Serve la nomina dei soggetti autorizzati al trattamento (il personale docente e amministrativo) e la nomina dei responsabili del trattamento quando si usano fornitori esterni, con i contratti previsti dall’articolo 28 del GDPR. Servono misure tecnico-organizzative adeguate al rischio, da progettare in anticipo. Serve la tenuta del registro delle attività di trattamento. E in caso di data breach, la violazione va notificata al Garante senza ingiustificato ritardo, ove possibile entro 72 ore, e comunicata agli interessati.

C’è anche un dettaglio operativo che molti ignorano: per i servizi basati su IA usati dai minori, il Garante ha indicato l’opportunità di un age gate, un sistema che, sulla base dell’età dichiarata, escluda gli infratredicenni e i minorenni privi del consenso di chi esercita la responsabilità genitoriale.

Sopra tutti questi adempimenti aleggia il principio di responsabilizzazione (accountability) del GDPR. Il Considerando 74 mette in capo alla scuola la responsabilità per ogni trattamento svolto direttamente o per suo conto. Tradotto: se un fornitore esterno combina un guaio con i dati, l’istituto non si tira fuori dicendo “ce ne siamo affidati a loro”. Se non riesce a dimostrare di aver adottato misure adeguate, ne risponde lui. È un punto che dovrebbe far riflettere ogni dirigente prima di firmare un contratto al ribasso con un fornitore che non offre garanzie verificabili.

È una mole di lavoro consistente. E qui sta uno dei nodi più discussi del documento: scaricare tutti questi adempimenti su scuole spesso prive di competenze interne dedicate rischia di tradursi, nella realtà, in conformità solo sulla carta. Ne riparliamo alla fine, perché è la critica più seria che si può muovere all’impianto.

Come si introduce l’IA a scuola: il metodo in cinque fasi

Il terzo pilastro è il framework di implementazione. Il MIM propone un percorso in cinque fasi, applicabile a qualunque progetto. È un classico ciclo di project management, calato sulla scuola.

La prima fase è la Definizione. Si individuano le aree dove l’IA può servire, si valuta la maturità digitale dell’istituto (infrastrutture, competenze, processi), si selezionano i casi d’uso più promettenti analizzandone benefici, rischi e fattibilità. Per ogni caso si identifica il bisogno reale e si mappano gli stakeholder. Il documento insiste molto sulla progettazione partecipata: un progetto calato dall’alto fallisce.

La seconda fase è la Pianificazione. Si costruisce il piano di progetto — milestone, team, ruoli, costi, modalità di monitoraggio — e soprattutto un piano di gestione dei rischi. Ogni rischio va valutato per gravità e probabilità, con attenzione particolare ai minori. Anche qui torna la metodologia HUDERIA come riferimento.

La terza fase è l’Adozione. Il sistema entra in funzione, ma con approccio graduale: prima un perimetro ristretto, poi l’estensione se i risultati sono positivi. Fondamentali, in questa fase, un piano di comunicazione e un piano di formazione del personale.

La quarta fase è il Monitoraggio, che corre in parallelo all’adozione. Ha una doppia natura: gestionale (l’avanzamento del progetto) e tecnica (gli output del sistema, le anomalie, gli eventuali data breach da segnalare). Va prevista una rivalutazione periodica dei rischi.

La quinta fase è la Conclusione: verifica dei risultati, analisi delle lezioni apprese, valorizzazione e riconoscimento del team. Il documento incoraggia a condividere le pratiche di successo con altre scuole.

È un metodo solido. Il rischio, prevedibile, è che diventi burocrazia fine a se stessa in istituti che faticano già a gestire l’ordinario. Ma l’alternativa — adottare l’IA senza metodo — è peggiore.

Esempi pratici per ogni ruolo

La parte più concreta e leggibile del documento sono gli esempi di applicazione divisi per destinatario. Li riassumo perché aiutano a capire di cosa si sta parlando davvero.

Per il dirigente scolastico

L’IA può confrontare i documenti programmatici dell’istituto — RAV, Piano di Miglioramento, PTOF, Programma annuale — e segnalare incongruenze. Può supportare la pianificazione della formazione dei docenti, l’organizzazione degli orari e la formazione delle classi nel rispetto delle norme di sicurezza. Può aiutare a redigere e personalizzare le comunicazioni verso famiglie, studenti e territorio, modulando tono e lunghezza.

Per il personale amministrativo

Qui i vantaggi sono i più immediati e meno controversi. Chatbot per smistare le richieste frequenti su orari, iscrizioni e certificazioni. Sistemi di mailing per gestire le comunicazioni periodiche a scadenza fissa, come la circolare sulla copertura assicurativa. Strumenti per la gestione dell’inventario e dei beni mobili. È l’automazione del lavoro ripetitivo di back office, dove l’errore umano costa tempo e l’IA fa risparmiare ore.

Per il docente

L’IA può aiutare a creare materiali didattici differenziati a partire dallo stesso contenuto, adattandoli al livello e al ritmo dei singoli studenti — con un’attenzione esplicita ai casi di disabilità o disturbi dell’apprendimento, dove va integrato quanto previsto dal PEI o dal PDP. Può generare simulazioni, mappe concettuali, quiz interattivi. Può supportare la stesura delle rubriche di valutazione e il tutoraggio nelle attività cooperative. Il documento ribadisce: serve un docente con competenze digitali e senso critico, non un docente sostituito.

Per lo studente

L’IA può stimolare la curiosità personalizzando l’apprendimento, aiutare a scomporre problemi complessi, suggerire fonti di approfondimento, rendere la didattica più accessibile con supporto multilingue e trascrizione automatica, fornire feedback immediati. Ma il documento mette un paletto fondamentale: lo studente va educato a valutare criticamente ciò che l’IA produce, consapevole delle allucinazioni dell’IA, cioè dei risultati che non corrispondono alla realtà. La fonte suggerita da un chatbot non è oro colato, e lo studente deve impararlo. È, di fatto, un’estensione naturale dell’educazione civica digitale e del framework DigComp 2.2.

Mitigare i rischi: dalla protezione dei dati ai sistemi ibridi

Il documento dedica un paragrafo specifico alla mitigazione dei rischi, con un approccio gerarchico mutuato da HUDERIA: prima si previene, poi si riduce ciò che non si è potuto prevenire, infine — solo se il danno si verifica — si ripristina e si compensa.

Le azioni suggerite spaziano dalla protezione dei dati ai programmi di manutenzione regolare, dalla progettazione etica degli algoritmi (con auditing dei dati di addestramento per scovare i bias) alle tecniche di spiegabilità che rendono comprensibili le decisioni del sistema. Su quest’ultimo punto il documento cita una sentenza della Corte di giustizia UE del febbraio 2025 secondo cui, in un processo decisionale automatizzato, l’interessato ha diritto a una spiegazione concreta della logica applicata.

Due raccomandazioni meritano di essere isolate. La prima è l’integrazione di sistemi ibridi: l’IA automatizza il ripetitivo, ma l’aspetto umano resta centrale, e non deve mai sostituire l’interazione diretta con studenti e docenti. La seconda è l’interazione sociale: l’uso dell’IA va alternato a momenti di apprendimento collaborativo, per contrastare l’isolamento e prevenire una dipendenza eccessiva dalla tecnologia. È il segnale che il Ministero teme — giustamente — l’effetto “studente solo davanti allo schermo”.

Consapevolezza e pensiero critico: la vera posta in gioco educativa

C’è un capitolo del documento — quello sulla consapevolezza e responsabilità nell’uso dell’IA — che a una lettura veloce sembra un riempitivo etico, e invece è il cuore pedagogico di tutto il testo.

Il Ministero parte da una constatazione scomoda: gli studenti rischiano di usare l’IA per saltare il lavoro, non per amplificarlo. Copiare un tema, far risolvere un problema, delegare il pensiero. È l’uso improprio che il documento teme apertamente, perché ha “possibili ricadute negative sui curricula e sui percorsi di crescita personale”. L’antidoto non è il divieto, che sarebbe inapplicabile, ma la formazione del pensiero critico. Lo studente va guidato — tenuto conto del grado di scuola che frequenta — a comprendere potenzialità e limiti della tecnologia, a riconoscere le allucinazioni dell’IA, cioè i risultati che suonano plausibili ma sono falsi, e a valutare in autonomia ciò che legge.

È qui che le linee guida diventano, di fatto, un programma di cittadinanza digitale. Il documento richiama esplicitamente la Legge 92/2019 sull’educazione civica e il framework DigComp 2.2, in particolare la competenza che riguarda la capacità di valutare criticamente la credibilità e l’affidabilità delle fonti digitali. Non è un dettaglio accademico: è la competenza che separa uno studente che usa l’IA da uno che ne è usato.

E il peso ricade sui docenti. Il testo è chiaro: per svolgere la propria funzione educativa, gli insegnanti devono essere costantemente aggiornati e padroneggiare gli strumenti necessari a un uso sicuro e costruttivo dell’IA. Non si può chiedere a un docente di formare al senso critico studenti su una tecnologia che lui stesso non conosce. È il motivo per cui, nelle scuole più serie, la prima voce di spesa di un progetto di IA non è il software: è la formazione delle persone.

Il quarto pilastro chiude il cerchio. Il Ministero non vuole solo dare regole, vuole monitorare come vengono applicate. Lo strumento è un servizio digitale sulla piattaforma Unica, attraverso cui le scuole potranno consultare le linee guida in forma interattiva, accedere a materiale operativo per gli adempimenti privacy, censire le proprie sperimentazioni compilando una scheda progetto e vedere cosa fanno gli altri istituti.

Gli Uffici Scolastici Regionali avranno un ruolo di supporto territoriale. Il Ministero potrà monitorare l’andamento tramite una dashboard e fare verifiche a campione, anche con attività di audit sulla conformità. È un modello di governance che vuole trasformare le buone pratiche delle singole scuole in patrimonio condiviso. Funzionerà se la piattaforma sarà usabile davvero; resterà lettera morta se diventerà l’ennesimo portale da compilare per dovere.

Cosa significa tutto questo per chi si occupa di certificazione delle competenze

Arrivati in fondo, emerge il filo rosso del documento. Il MIM ripete in ogni capitolo che l’IA a scuola funziona solo se le persone sanno usarla: dirigenti formati alla governance, docenti con competenze digitali e senso critico, studenti capaci di valutare le fonti. La parola che ricorre è una: formazione.

Questo è il punto in cui le linee guida incontrano il lavoro di chi certifica le competenze digitali. L’AI Act stesso, all’articolo 4, impone a fornitori e deployer di garantire un livello sufficiente di alfabetizzazione in materia di IA del proprio personale. Per una scuola “deployer” non è un suggerimento: è un obbligo. E il modo più solido per dimostrare di averlo assolto è documentare percorsi formativi e competenze in modo verificabile — il terreno dei framework europei come DigComp per i cittadini e DigCompEdu per gli educatori.

Chi opera nel mondo della certificazione legge questo documento come una conferma: la conformità non si esaurisce nel comprare il software giusto e firmare la DPIA. Passa dalle persone. Una scuola che certifica le competenze digitali del proprio personale non sta facendo un esercizio di immagine; sta costruendo la base difendibile su cui poggia tutto il resto — la sorveglianza umana, la spiegabilità, la capacità di accorgersi di un bias o di un’allucinazione. Per approfondire i framework di riferimento, vedi la nostra guida a DigCompEdu e le certificazioni per le competenze digitali.

Gli errori più comuni che il documento aiuta a evitare

Dopo anni a osservare come le organizzazioni adottano nuove tecnologie, alcuni errori si ripetono con una regolarità quasi noiosa. Le linee guida, lette nel modo giusto, sono un buon vaccino contro i più frequenti.

Il primo errore è partire dallo strumento invece che dal bisogno. Si compra un software perché “fa IA”, e solo dopo ci si chiede a cosa serva. Il metodo in cinque fasi del MIM ribalta l’ordine: prima si individua il bisogno reale, poi si valuta se l’IA è la risposta. Sembra ovvio, ma è l’errore numero uno.

Il secondo è trattare la DPIA come un adempimento da spuntare a cose fatte. La valutazione d’impatto va condotta *prima* del trattamento, non per mettersi a posto con la coscienza dopo. Una DPIA scritta a posteriori non protegge nessuno e, in caso di controllo, è facilmente smascherabile.

Il terzo è incollare dati personali degli studenti dentro un chatbot pubblico. Capita più di quanto si creda: un docente che chiede a un LLM di “scrivere il PDP di Mario Rossi, che ha questo e quel disturbo”. In un colpo solo si violano minimizzazione, finalità e, potenzialmente, il trattamento di categorie particolari di dati. Il documento insiste proprio su questo: niente dati identificabili nei prompt.

Il quarto è confondere la conformità con la tecnologia. Comprare il sistema certificato ISO 27001 è necessario ma non sufficiente. Senza persone formate, senza ruoli definiti, senza sorveglianza umana, anche lo strumento migliore diventa un rischio. La conformità è un processo che coinvolge persone, non un prodotto che si acquista.

Il quinto, infine, è il più sottile: delegare il giudizio. Fidarsi dell’output dell’IA perché “suona giusto”. Vale per gli studenti con le allucinazioni, ma vale anche per un dirigente che si fida ciecamente di un sistema che riorganizza gli orari o di un’analisi automatica dei documenti programmatici. La macchina propone, l’uomo decide e verifica. È il principio antropocentrico applicato al quotidiano.

Vale la pena chiudere con una valutazione, non con un riassunto. Le linee guida del MIM hanno un pregio raro nei documenti istituzionali: sono leggibili e operative. Il modello a quattro pilastri e il metodo in cinque fasi danno a un dirigente una bussola vera. Il divieto netto sul riconoscimento delle emozioni e l’insistenza sulla supervisione umana mostrano un’attenzione concreta ai rischi.

Ma c’è un limite serio, e sarebbe disonesto non dirlo. L’intero impianto poggia su una mole di adempimenti — DPIA, FRIA, registri, nomine, informative, audit — che presuppone competenze giuridiche e tecniche che la maggior parte delle scuole italiane non ha all’interno. Il documento lo riconosce a metà, rimandando al supporto del DPO e a futuri decreti, ma il rischio concreto è una conformità di facciata: moduli compilati per dovere, mentre nella pratica l’IA viene usata senza le tutele che il testo prescrive. Le linee guida indicano la destinazione giusta; restano da costruire i mezzi per arrivarci, soprattutto per gli istituti più piccoli e meno attrezzati. È su questo divario — tra l’ambizione del documento e le risorse reali delle scuole — che si giocherà la sua effettiva applicazione.

Domande frequenti

Le linee guida del MIM sull’IA sono obbligatorie per le scuole?

Le linee guida sono una cornice di riferimento, non una norma sanzionatoria autonoma. Diventano vincolanti nella misura in cui richiamano obblighi già esistenti, come quelli dell’AI Act e del GDPR, che le scuole devono rispettare a prescindere. I dettagli applicativi saranno definiti da futuri decreti ministeriali.

Una scuola può usare ChatGPT con gli studenti?

Sì, ma con cautele precise. Gli LLM vanno usati senza inserire dati personali identificabili degli studenti, disattivando cronologia e tracciamento, e con un age gate per i minorenni. Inoltre va garantito il diritto di non partecipazione all’addestramento e va educato lo studente a riconoscere le possibili allucinazioni del sistema.

Cos’è la DPIA e quando serve per l’IA a scuola?

La DPIA è la valutazione d’impatto sulla protezione dei dati prevista dal GDPR. Va fatta prima di iniziare un trattamento. Per i sistemi di IA il documento la considera quasi sempre necessaria, vista la novità della tecnologia e il volume di dati trattati. Se il sistema è ad alto rischio, va integrata con la FRIA dell’AI Act.

Quali usi dell’IA sono vietati nelle scuole?

L’AI Act vieta in modo assoluto il riconoscimento delle emozioni degli studenti negli istituti (salvo motivi medici o di sicurezza), il social scoring, la categorizzazione biometrica per dedurre dati sensibili e le tecniche manipolative. Questi divieti valgono indipendentemente dalle linee guida.

Chi è responsabile dell’uso dell’IA in una scuola?

Il dirigente scolastico ha la responsabilità primaria nella governance dei sistemi di IA. Quando il sistema tratta dati personali, la scuola agisce come titolare del trattamento, con il supporto del DPO. I fornitori esterni vanno nominati responsabili del trattamento secondo l’articolo 28 del GDPR.

Le linee guida tengono conto della nuova legge italiana sull’IA?

Solo in parte. Il documento è firmato il 9 agosto 2025 e cita il disegno di legge come ancora in discussione. Quel testo è poi diventato la Legge 132/2025, in vigore dal 10 ottobre 2025, che individua tra l’altro AgID e ACN come autorità nazionali e dedica attenzione anche al settore della formazione.

Fonti:

Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche