La rapida diffusione, nel corso del 2025, dei servizi di intelligenza artificiale generativa ha posto il sistema universitario italiano di fronte a esigenze nuove e urgenti, che i tradizionali cicli di procurement pubblico non sempre riescono ad assorbire con la necessaria rapidità. Chatbot, assistenti alla ricerca, strumenti di supporto alla didattica, sistemi di analisi documentale: in pochi mesi queste soluzioni sono passate dall’essere oggetto di sperimentazione accademica a essere utilizzate, spesso in modo non governato, da docenti, ricercatori, personale tecnico-amministrativo e studenti, spesso mediante account personali e senza alcuna valutazione preliminare della conformità normativa.
Il Gruppo ICT della CRUI ha raccolto, nell’ambito delle interlocuzioni con i Rettori e con i Delegati ICT degli Atenei aderenti, l’esigenza di disporre di un quadro di valutazione sistematico e giuridicamente fondato in ordine all’adottabilità, da parte delle università italiane, dei principali servizi di intelligenza artificiale commerciali.

Il presente documento costituisce la nota introduttiva al Quadro Sinottico di compliance NIS2/GDPR di Provider AI e ne illustra il perimetro, la metodologia, le scelte classificatorie e i limiti. Il Quadro stesso è concepito come strumento di lavoro a uso istituzionale, non come parere legale né come valutazione vincolante ai fini dell’adozione degli strumenti di AI: resta responsabilità di ciascun Ateneo condurre le verifiche specifiche e, ove necessario, la DPIA di cui all’art. 35 GDPR.