La norma UNI 11621-8:2026 e i profili professionali dell'Intelligenza Artificiale: un quadro tecnico-normativo tra AI Act e ordinamento italiano

La norma UNI 11621-8:2026 e i profili professionali dell'Intelligenza Artificiale: un quadro tecnico-normativo tra AI Act e ordinamento italiano

Abstract. Il 30 aprile 2026 è stata pubblicata la norma UNI 11621-8:2026, primo standard europeo a definire in modo sistematico i profili di ruolo professionale nel settore dell'Intelligenza Artificiale. Il contributo ne esamina il contenuto, il fondamento normativo nel Regolamento (UE) 2024/1689 (AI Act) e nella legge 23 settembre 2025, n. 132, e le implicazioni operative per imprese, pubbliche amministrazioni e sistema formativo. L'analisi evidenzia come la norma UNI costituisca lo strumento tecnico che traduce obblighi legislativi astratti in competenze certificate, tracciando un perimetro di responsabilità che incide direttamente sulla governance dei sistemi di IA ad alto rischio.

Il problema di fondo: competenze senza misura

Il dibattito sulla regolazione dell'Intelligenza Artificiale ha prodotto, in pochi anni, una stratificazione normativa di rara densità. L'AI Act, il GDPR applicato ai sistemi automatizzati, le linee guida AGID, il Piano Triennale per l'Informatica nella Pubblica Amministrazione: un impianto regolatorio che cresce verticalmente, per successiva integrazione, senza mai risolvere una questione strutturale rimasta a lungo nell'ombra. Chi deve fare cosa, con quale competenza certificata, e secondo quale standard condiviso? La domanda non è retorica. È la domanda che rimane sospesa ogni volta che una norma impone che i sistemi di IA ad alto rischio siano "sviluppati e gestiti da soggetti dotati di competenze digitali adeguate" — senza definire cosa significhi adeguato, senza un parametro di riferimento condiviso, senza uno strumento che consenta di misurare quella adeguatezza.

È in questo vuoto che si inserisce la norma UNI 11621-8:2026, pubblicata il 30 aprile 2026 dalla Commissione Tecnica UNI/CT 526 – UNINFO, con il coordinamento del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri. Si tratta del primo standard nazionale in Europa a definire in modo sistematico i profili di ruolo professionale operanti nel settore dell'IA: dodici figure, ciascuna articolata secondo missione, compiti principali, risultati attesi, competenze, conoscenze, abilità e indicatori chiave di prestazione (KPI). Un documento tecnico-normativo che colma, almeno parzialmente, il disallineamento tra le prescrizioni del legislatore europeo e la realtà operativa di chi quei sistemi progetta, gestisce e valuta.

La pubblicazione non è un fatto isolato. Si inserisce in un momento preciso dell'evoluzione del quadro regolatorio europeo — quello in cui l'AI Act ha smesso di essere una prospettiva e ha cominciato a essere un obbligo operativo — e in un contesto normativo nazionale che, con la legge 23 settembre 2025, n. 132, ha dato attuazione interna ai principi di alfabetizzazione, formazione e certificazione delle competenze sull'IA. Capire cosa fa questa norma, e perché conta, richiede di ricostruire il filo che collega queste fonti.

Il fondamento normativo: AI Act e legge n. 132/2025

Il Regolamento (UE) 2024/1689 — AI Act — ha introdotto un sistema di classificazione dei sistemi di IA fondato sul rischio, in cui gli oneri più gravosi ricadono sui sistemi definiti ad alto rischio: quelli utilizzati in ambiti quali l'occupazione, l'istruzione, i servizi pubblici essenziali, l'amministrazione della giustizia. Per questi sistemi, il Regolamento impone requisiti di qualità, trasparenza, sorveglianza umana e, appunto, adeguatezza delle competenze di chi li sviluppa e gestisce. L'art. 4 dell'AI Act è esplicito nel prevedere l'obbligo per i fornitori e i deployer di garantire che il personale coinvolto disponga di un livello di competenze in materia di IA sufficiente ad adempiere ai compiti assegnati.

Questo obbligo, nella sua formulazione regolamentare, è necessariamente generico. Il Regolamento non poteva — e non doveva — spingersi a definire profili professionali specifici: non è questo il suo livello di intervento. Il suo compito era tracciare il perimetro normativo; spettava ad altri strumenti — standardizzazione tecnica, normazione professionale, legislazione nazionale di attuazione — riempire quel perimetro di contenuto operativo. La norma UNI 11621-8:2026 è, in questa prospettiva, lo strumento tecnico-normativo che completa l'architettura regolamentare.

Sul piano del diritto interno, la legge n. 132/2025 — che recepisce i principi dell'AI Act nell'ordinamento italiano — promuove percorsi di alfabetizzazione, formazione e certificazione delle competenze sull'IA, allineandosi alla logica della norma UNI nel valorizzare un approccio strutturato alla qualificazione professionale. Il raccordo tra i due livelli — europeo e nazionale — non è puramente formale. Produce effetti concreti: le imprese e le pubbliche amministrazioni che operano con sistemi di IA ad alto rischio possono ora fare riferimento a un quadro di competenze certificate, coerente con entrambi i livelli normativi, per dimostrare l'adempimento degli obblighi previsti dall'AI Act.

Non è un dettaglio secondario. In un sistema dove la violazione degli obblighi dell'AI Act può comportare sanzioni fino al 3% del fatturato mondiale per deployer e fornitori, e fino al 6% per le violazioni dei divieti assoluti previsti dall'art. 5 del Regolamento, disporre di uno standard condiviso per la valutazione delle competenze diventa uno strumento di compliance oltre che di organizzazione del lavoro.

L'architettura della norma: metodologia e struttura dei profili

La norma UNI 11621-8:2026 si inserisce nella famiglia delle UNI 11621, che definisce i profili professionali ICT in Italia. Il riferimento metodologico è la UNI 11621-1, che stabilisce il modello di articolazione dei profili, e l'e-Competence Framework europeo (UNI EN 16234-1), che fornisce il vocabolario condiviso delle competenze digitali a livello continentale. Questo doppio ancoraggio — nazionale ed europeo — è essenziale per comprendere il valore dello standard: non si tratta di una classificazione domestica autoreferenziale, ma di una tassonomia professionale inserita in un sistema di riconoscimento transnazionale.

I dodici profili definiti dalla norma coprono l'intera filiera dell'IA: dalla governance strategica — il Chief AI Officer — alla ricerca di frontiera — l'AI Research Scientist — passando per le figure tecniche specialistiche (AI Algorithm Engineer, AI Deep Learning Engineer, AI Machine Learning Engineer, AI Natural Language Processing Engineer), quelle trasversali di gestione e consulenza (AI Consultant, AI Product Manager), e quelle dedicate alla protezione dei dati e alla sicurezza (AI Data Engineer, AI Data Scientist, AI Security Specialist). Completa il quadro l'AI Prompt Engineer, figura emergente che riflette la centralità dell'interazione con i modelli linguistici di grandi dimensioni nell'attuale ecosistema AI.

Per ciascun profilo, la norma specifica non solo le competenze tecniche ma anche i risultati attesi e i KPI che ne misurano la performance. Questa scelta metodologica è tutt'altro che neutra: spostare il focus dalla descrizione delle attività alla misurazione dei risultati significa costruire uno standard orientato alla valutazione concreta delle prestazioni, non alla mera elencazione di capacità astratte. È una norma pensata per essere usata — dai dipartimenti HR nella selezione e nella valutazione, dagli enti di certificazione nell'erogazione di titoli professionali riconosciuti, dalle pubbliche amministrazioni nella definizione dei profili nei contratti e nelle procedure di affidamento.

Le implicazioni per la pubblica amministrazione

Il documento governativo che accompagna la pubblicazione della norma indica esplicitamente tra i destinatari le pubbliche amministrazioni impegnate nell'attuazione della Strategia Italiana per l'Intelligenza Artificiale 2024–2026 e del Piano Triennale per l'Informatica. Non è una menzione di cortesia: è l'indicazione di un perimetro applicativo che tocca direttamente le scelte organizzative e contrattuali della PA.

Sul versante del procurement, la norma UNI 11621-8:2026 offre un riferimento tecnico che le stazioni appaltanti possono utilizzare nella definizione dei requisiti di qualificazione del personale negli appalti di servizi informatici e di sviluppo o gestione di sistemi di IA. La possibilità di richiedere, come requisito di partecipazione o come criterio di valutazione, la presenza di figure professionali certificate secondo i profili UNI consente di strutturare le gare con un grado di precisione tecnica fino ad ora difficilmente raggiungibile. L'eventuale richiamo alla norma nei capitolati tecnici — in linea con la logica del Codice dei Contratti Pubblici che valorizza gli standard tecnici nella definizione delle specifiche — trasforma lo standard volontario in parametro vincolante di gara.

Sul versante della responsabilità, il tema è più delicato ma altrettanto rilevante. L'AI Act impone che i deployer — categoria nella quale rientra la pubblica amministrazione che utilizza sistemi di IA nelle proprie funzioni — garantiscano che il personale coinvolto nella sorveglianza e nella gestione dei sistemi disponga di competenze adeguate. La norma UNI fornisce ora un parametro di misura di quella adeguatezza. Una PA che utilizzi sistemi di IA ad alto rischio senza verificare che il personale impiegato nella loro gestione corrisponda ai profili di competenza definiti dalla norma rischia di trovarsi in una posizione di inadempimento rispetto agli obblighi dell'AI Act — con le conseguenti implicazioni sul piano della responsabilità amministrativa e contabile.

Non è un rischio teorico. Con l'applicazione progressiva dell'AI Act — le disposizioni sui sistemi ad alto rischio sono pienamente applicabili dal 2026 — le autorità di vigilanza nazionali avranno strumenti e motivi per esaminare la struttura organizzativa delle entità che deploiano questi sistemi. Disporre di una mappa delle competenze interne, allineata a uno standard certificabile, non è solo una buona pratica: è una misura di compliance.

Il sistema di certificazione e la legge n. 4/2013

La norma UNI 11621-8:2026 si rivolge esplicitamente agli organismi di certificazione che operano ai sensi della legge 14 gennaio 2013, n. 4, sulle professioni non regolamentate. Questo raccordo è fondamentale per comprendere il regime giuridico della certificazione. Le professioni dell'IA — con l'eccezione di quelle che si sovrappongono a ordini professionali esistenti — non rientrano nelle professioni regolamentate ai sensi del d.lgs. 206/2007: non esistono albi, non esistono esami di Stato, non esistono abilitazioni obbligatorie. Esistono, per contro, associazioni professionali iscritte nel registro previsto dalla legge n. 4/2013 e organismi di certificazione accreditati secondo la norma UNI CEI EN ISO/IEC 17024.

In questo sistema, la norma UNI svolge la funzione di standard di riferimento per la certificazione: l'ente certificatore valuta il professionista rispetto ai profili definiti dalla norma, e rilascia una certificazione che attesta la corrispondenza tra le competenze del candidato e i requisiti dello standard. La certificazione così ottenuta non produce effetti abilitativi — non è necessaria per esercitare la professione — ma produce effetti probatori e di mercato: consente al professionista di dimostrare, in modo verificabile e riconoscibile, il possesso di competenze allineate a uno standard europeo.

Per le pubbliche amministrazioni e le imprese che devono valutare la qualificazione di professionisti o fornitori, questo sistema offre un punto di riferimento verificabile esternamente, sottratto alla discrezionalità del singolo valutatore. Non è poco, in un mercato dove l'autocertificazione delle competenze è la norma e la verifica indipendente l'eccezione.

Una valutazione critica: ciò che la norma fa e ciò che non può fare

La norma UNI 11621-8:2026 è uno strumento utile e necessario. Ma sarebbe un errore attribuirle funzioni che non ha e che nessuna norma tecnica potrebbe avere. Tre limiti meritano di essere segnalati con chiarezza.

Il primo è strutturale: la norma definisce profili statici in un settore che si muove a velocità esponenziale. I dodici profili individuati rappresentano una fotografia dell'ecosistema professionale AI al momento della redazione. Tra due anni, quella fotografia potrebbe già essere parzialmente obsoleta — nuove figure emergono, competenze si ridefiniscono, ruoli si fondono o si disaggregano. Uno standard tecnico che viene aggiornato con i tempi della normazione tradizionale rischia di rincorrere una realtà che si trasforma più rapidamente. È un limite intrinseco al metodo, non un difetto specifico di questo documento.

Il secondo riguarda l'efficacia del sistema di certificazione. Una norma volontaria produce effetti vincolanti solo se il mercato e le istituzioni la adottano come parametro di riferimento. Senza un'effettiva integrazione nei bandi pubblici, nelle politiche di assunzione delle grandi imprese, nei percorsi curricolari delle università e degli ITS Academy, il rischio è che lo standard rimanga un documento tecnico formalmente ineccepibile ma operativamente marginale. La norma crea gli strumenti; la sua efficacia dipende dall'uso che ne faranno i soggetti destinatari.

Il terzo attiene alla questione della responsabilità. La norma definisce profili di competenza, non regimi di responsabilità. Il fatto che un soggetto sia certificato secondo uno dei dodici profili non determina automaticamente il perimetro della sua responsabilità civile, penale o amministrativa per i danni prodotti da un sistema di IA che ha sviluppato o gestito. Quella questione rimane governata dalle regole generali della responsabilità — che l'AI Act non ha integralmente risolto e che la legislazione italiana di adattamento sta ancora definendo. La norma UNI è uno dei tasselli; non è il quadro completo.

Conclusioni

La pubblicazione della norma UNI 11621-8:2026 è un passaggio rilevante nel processo di strutturazione del quadro normativo sull'Intelligenza Artificiale in Italia. Non perché risolva tutti i problemi aperti — non li risolve — ma perché colma un vuoto specifico e concreto: l'assenza di un linguaggio condiviso e verificabile per le competenze professionali dell'IA, in un contesto normativo che su quelle competenze ha costruito obblighi significativi senza fornire i parametri per misurarle.

Per le imprese, offre uno strumento per strutturare team AI con competenze certificabili e per dimostrare compliance rispetto agli obblighi dell'AI Act. Per le pubbliche amministrazioni, fornisce un riferimento tecnico per le procedure di affidamento e per l'organizzazione interna delle funzioni che coinvolgono sistemi di IA. Per il sistema formativo, delinea un ecosistema professionale rispetto al quale calibrare i curricula. Per gli organismi di certificazione, offre finalmente uno standard di riferimento su cui costruire percorsi di valutazione riconoscibili a livello europeo.

Il primato europeo che l'Italia si è guadagnata con questa pubblicazione non è simbolico: è la conseguenza di una scelta di anticipare la standardizzazione tecnica rispetto all'implementazione piena delle norme di riferimento. In un settore dove la velocità dell'innovazione supera quasi sempre quella della regolazione, arrivare prima con lo standard è una posizione competitiva. Resta ora da vedere se quella posizione verrà effettivamente capitalizzata — nelle politiche formative, nel procurement pubblico, nelle strategie industriali — o se rimarrà un primato di carta.