A cosa prestare attenzione: alla ricerca di un equilibrio tra prospettive nuove e compliance
In questo articolo ti parliamo delle implicazioni legali dell’uso di sistemi di Intelligenza Artificiale (d’ora in poi, IA - nota 1) in azienda e nelle attività professionali.
Indice dei contenuti:
Sistemi di IA consentiti e vietati
L’utilizzo di sistemi di IA nel lavoro sta diventando ormai una scelta strategica per realtà di ogni dimensione: dai sistemi di riconoscimento facciale ai sistemi per il linguaggio naturale (NPL - ad esempio usati per chatbot, traduzioni, sintesi vocale, analisi e produzione di testi come ChatGPT), dai robot per compiti fisici alle analisi predittive in finanza, previsioni meteo, nella medicina o nella gestione aziendale.
Perché l’IA non è solo OpenAI o Gemini e o altri nomi conosciuti, ma un settore in forte crescita ovunque e con innumerevoli applicazioni nella nostra vita quotidiana oltreché un pilastro dell’economia (vedi le recenti vicende legate al valore di NVIDIA a seguito dell’annuncio di DeepSeek).
L’uso sempre più diffuso di sistemi di IA può essere una grande opportunità ma pone anche l’urgenza di varie riflessioni, etiche e giuridiche, per realtà di ogni dimensione affinché sia curata la compliance dell’organizzazione che produce o usa un sistema di IA.
Non sempre possiamo fare tutto ciò che ci viene in mente. In tema di IA questo è ancor più vero per i rilevanti impatti che può avere nella vita delle persone.
Un primo tema che si pone è se l’uso di un determinato sistema è possibile.
Hai sicuramente sentito parlare dell’AI Act (nota 2) ossia il Regolamento europeo che, in base a un approccio basato sul rischio (nota 3), classifica i sistemi di IA e il loro utilizzo in quattro categorie:
1. sistemi con un rischio inaccettabile e quindi vietati (nota 4) (es. sistemi che danno alle persone un punteggio sociale - c.d. social scoring -, sistemi di categorizzazione biometrica per classificare individualmente le persone, sistemi che usano tecniche subliminali, sistemi di riconoscimento delle emozioni)
2. sistemi ad alto rischio, vengono distinti in due categorie:
(i) quelli destinati a essere usati come componenti di sicurezza di un prodotto a certe condizioni
Per questa categoria sono previsti:(ii) quelli riportati all’allegato III dell’AI Act (es. software medici basati sull'IA, sistemi di reclutamento e gestione del personale, sistemi per la valutazione dell’affidabilità creditizia).
- determinati requisiti dei sistemi come la costruzione di un sistema di gestione dei rischi, l’utilizzo di dati di alta qualità, l’adozione di adeguata documentazione tecnica, l’implementazione di misure di supervisione umana, requisiti di trasparenza, robustezza e sicurezza dei sistemi- specifici obblighi preventivi e di monitoraggio in capo ai fornitori (es. garantire che il sistema rispetti i requisiti previsti), agli importatori, ai distributori e agli utilizzatori (obblighi più onerosi se svolgono servizi di natura pubblica) (nota 5)
3. sistemi a rischio limitato (es. i chatbot). Per determinati sistemi vi è l’obbligo principale di trasparenza (nota 6): ad esempio, gli utenti devono essere informati “in maniera chiara e distinguibile al più tardi al momento della prima interazione o esposizione” che stanno interagendo con una macchina e alcuni contenuti generati dall'IA devono essere etichettati come tali4. sistemi a rischio minimo (es. videogiochi), per i quali il Regolamento non prevede obblighi particolari per le imprese, salva la facoltà di dotarsi di codici di condotta volontari.
È quindi fondamentale capire di quale sistema di IA stiamo parlando, così da valutare se e con quale modalità è possibile implementarlo e usarlo.
Contratti
Superato il tema della fattibilità, un secondo tema fondamentale riguarda il contenuto dei contratti con fornitori e partner relativi ai sistemi di IA.
Gli aspetti specifici delle clausole contrattuali dipendono dal tipo di rapporto con il fornitore o il partner. In particolare:
1. fornitori di sistemi di IA. Se il contratto riguarda lo sviluppo o la fornitura di sistemi di IA, andranno previste clausole che regolino, ad esempio:
- la conformità normativa del sistema (es. AI Act, GDPR)
- le responsabilità in caso di errori, malfunzionamenti o danni
- gli aggiornamenti futuri
2. partner che collaborano a progetti innovativi. Nei progetti di sviluppo congiunto o nelle partnership che prevedono l’uso di sistemi di IA, si dovranno regolamentare ad esempio:
- la proprietà intellettuale dei sistemi sviluppati
- le rispettive responsabilità in caso di problemi
- la gestione e la condivisione dei dati durante e dopo la collaborazione
3. fornitori e partner che utilizzano sistemi di IA. Se il fornitore o il partner usa l’IA come parte delle sue attività per fornire un servizio o un prodotto, il contratto potrebbe prevedere ad esempio:
- la garanzia che l’IA utilizzata sia conforme alle normative
- che i dati siano utilizzati in maniera corretta
- che ci sia trasparenza sui sistemi utilizzati e sul loro impatto
Avere un contratto ben fatto è fondamentale non solo per garantire il rispetto delle norme, ma anche come solida base della costruzione di un rapporto di fiducia.
Diritto d'autore
Ma chi è l’autore dell’opera generata, in parte o in tutto, dall’IA? La persona o il sistema di IA? E ancora: da dove provengono, come sono stati raccolti, possono essere quindi utilizzati i dati usati per l’addestramento dell’IA e quindi per l’elaborazione del risultato? Nel caso, chi è responsabile per le violazioni del diritto d’autore?
Questi sono alcuni dei grandi temi da tenere presente quando consideriamo l’uso dell’IA rispetto al diritto d’autore. Ci avevi pensato?
Sono temi che richiedono riflessione e aprono sfide, anche normative, soprattutto perché l’AI Act non prevede nulla e rimanda la questione alle normative esistenti. Qui lasciamo solo un paio di spunti.
Da un primo punto di vista, al momento la tutela del diritto d’autore richiede l’intervento umano: un’opera, per essere protetta, deve essere originale e rappresentare l’espressione della personalità di un autore umano. Quindi, se una persona usa un sistema di IA come strumento, ma contribuisce con un apporto creativo significativo, l’opera potrebbe essere protetta e il diritto d'autore spetterebbe a quella persona, mentre oggi non pare immaginabile che spetti all’IA.
A gennaio 2025 il Copyright Office degli USA ha pubblicato le sue Linee guida in cui ha negato il riconoscimento del copyright per quelle parti dell’opera create dall’IA senza un rilevante intervento umano. Secondo le indicazioni dell’Ufficio, per valutare se ci sono i presupposti per l’autore dell’opera creata con l’IA per avere il riconoscimento del diritto d’autore occorre principalmente valutare il ruolo che ha avuto il sistema di IA nella creazione dell’opera. Sarà interessante stare a vedere quali saranno gli sviluppi e se ci saranno reazioni e prese di posizione da parte degli artisti.
D’altra parte, il tema è più che attuale, perché ci sono già stati casi noti di opere prodotte utilizzando sistemi di IA.
Case history
Nel 2016, Sony ha pubblicato la canzone Daddy’s Car, la cui melodia e accordi erano stati creati tramite l’IA con il programma Flow Machines. Il testo era stato scritto da una persona umana, Benoît Carré, che aveva anche scelto lo stile Beatles. La macchina aveva fatto una parte del lavoro, ma la composizione e la scelta dello stile sono state attribuite al compositore che è stato riconosciuto come autore dell’opera.
Un secondo tema legato al diritto d’autore è il rispetto dei diritti d’autore di terzi nella creazione della nuova opera.
A rigore, occorrerebbe verificare l’origine dei dati di addestramento e sapere se l’IA è stata addestrata su contenuti protetti da diritto d’autore e, in questo caso, se ci sono le necessarie autorizzazioni (nota 7).
Certamente occorre essere sicuri che il risultato generato dall’IA rispetti gli eventuali diritti d’autore di terzi. Perché se un contenuto generato dall’IA viola i diritti di terzi, potrebbero esserci delle responsabilità: in capo a chi è questione ancora non ben delineata, ma non è da escludersi anche in capo al semplice utente che ha utilizzato l’IA.
Privacy
L’utilizzo di strumenti IA può implicare il trattamento di dati personali. Anzi, gli strumenti di IA si basano proprio sui dati, anche personali, per apprendere.
Questo potrebbe esporre i dati a un uso improprio, a manipolazioni o a violazioni a seguito di attacchi informatici (che sfruttano le vulnerabilità per infiltrarsi nei server di un qualche sistema di IA e sottrarre i dati inseriti dagli utenti).
Nell’uso degli strumenti di IA è, quindi, fondamentale prestare cura ad alcuni profili relativi al trattamento dei dati personali, tra cui:
- che il sistema di IA usato sia fornito da aziende che rispettano la normativa sulla protezione dei dati e che il sistema utilizzato rispetti anche il GDPR (a partire dai suoi principi: trasparenza, minimizzazione, …)
- come e dove il sistema archivia i dati e che siano quindi presenti contratti con i fornitori del servizio
- che sia stata data agli interessati un’informativa chiara e precisa conforme alla normativa (ad esempio, hai mai letto l’informativa privacy di ChatGPT su come OpenAI raccoglie e utilizza i dati personali? E quella di DeepSeek? Ti è tutto chiaro?)
- se è possibile pseudonimizzare o anonimizzare i dati che si introducono: ridurre al minimo l’identificabilità delle persone garantisce maggiore sicurezza
- che il sistema non introduca bias o errori che potrebbero causare discriminazioni o iniquità nei processi decisionali automatizzati: se i dati utilizzati per “addestrare” l’IA contengono pregiudizi, il sistema potrebbe causare a sua volta trattamenti iniqui
- se è necessario fare la valutazione d’impatto sulla protezione dei dati (DPIA).
Il tema IA e protezione dei dati personali sono fortemente connessi: basti ricordare la sanzione che il Garante privacy italiano ha dato il 2.11.2024 a OpenAI di 15 milioni di euro per varie violazioni privacy. Il Garante ha anche ordinato a OpenAI di fare una campagna per informare le persone in merito al trattamento dei dati fatto da ChatGPT e a come opporvisi. O i vari provvedimenti adottati sempre dal Garante rispetto ai sistemi di IA che fanno uso di dati biometrici o alle “videocamere intelligenti”, al controllo degli studenti o al controllo dei lavoratori.
Questo testimonia anche il ruolo del Garante per la protezione dei dati nella governance dei sistemi di IA e nella tutela dei diritti delle persone fisiche, affinché i benefici dell’IA siano sempre realizzati in modo etico.
Note:
1 - AI ACT - Regolamento UE 2024/1689, entrato in vigore il 1.8.2024. Si applicherà dal 2.8.2026, ad eccezione di alcune previsioni (es. dal 2.2.2025 sono già sanzionabili i divieti dei sistemi a rischio inaccettabile e gli obblighi di formazione). L'AI Act mira a promuovere lo sviluppo e la diffusione responsabili dell'intelligenza artificiale nell'UE e si applica ai soggetti (pubblici e privati) stabiliti o non stabiliti nel territorio dell’UE, se forniscono beni o servizi a consumatori dell’Unione o li utilizzano in UE.
Si applica a vari operatori della catena del valore: fornitori, deployer (utilizzatori nell’ambito di un’attività professionale), importatori, distributori, produttori, rappresentanti autorizzati. Per ulteriori informazioni, guarda qui.
Tieni presente che in Italia c’è anche un d.d.l. sull’intelligenza artificiale, approvato il 23.4.2024, al momento di pubblicazione di questo articolo fermo in discussione al Senato.
2 - Ai sensi dell'AI Act, un sistema di Intelligenza Artificiale è “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali” (art.3, par.1, n.1.).
Il 6.2.2025 la Commissione UE ha pubblicato una bozza dei primi orientamenti sulla definizione del sistema di IA per facilitare l'applicazione delle norme della prima legge sull'IA e dare prime indicazioni sulla definizione del sistema di IA.
3 - Il rischio è definito dall’AI Act come “la combinazione della probabilità del verificarsi di un danno e la gravità dello stesso” (art.3, n.2)
4 - Previsione già applicabile dal 2.2.2025: cfr. nota 1
5 - Per i sistemi di IA elencati all’allegato III gli obblighi saranno efficaci dal 2.8.2026, mentre per gli altri sistemi ad alto rischio dal 2.8.2027
6 - Art.50 AI Act (Obblighi di trasparenza per i fornitori e i deployers di determinati sistemi di IA)
7 - L’art. 53, par.1, c) dell’AI Act stabilisce che “i fornitori di modelli di IA per finalità generali …attuano una politica volta ad adempiere al diritto dell'Unione in materia di diritto d'autore e diritti ad esso collegati e, in particolare, a individuare e rispettare, anche attraverso tecnologie all'avanguardia, una riserva di diritti espressa a norma dell'articolo 4, paragrafo 3, della direttiva (UE) 2019/790 ” (ossia la Direttiva Copyright). Pertanto, l’addestramento dei modelli di IA per finalità generali per uno scopo commerciale dovrebbe potere avvenire con opere protette dal diritto d’autore se l’accesso a queste opere è legittimo e il titolare dei diritti d’autore non ha espresso il proprio diniego tramite un sistema di opt-out. Per gli interessati al tema, si vedrà come avverrà concretamente.
