Il 10 luglio 2025, la Commissione dell’Unione Europea ha reso pubblico il documento denominato General-Purpose AI Code of Practice (GPAI)[1], il cui testo – dopo l’approvazione degli Stati Membri e della stessa Commissione prevista per il 2 agosto 2025 – entrerà in vigore nell’anno 2026 avuto riguardo ai nuovi modelli di intelligenza artificiale e a partire dal 2027 per quelli già esistenti.
Indice degli argomenti
Il framework normativo del general-purpose AI code of practice
Si tratta di un atto esplicativo di alcune disposizioni dell’AI Act[2], assimilabile a un codice di condotta vincolante per i firmatari, che è stato suddiviso in tre capitoli:
- il primo riguarda la disciplina della trasparenza, essendo destinato agli sviluppatori dei sistemi di IA che, attraverso la compilazione di specifici moduli, debbono provare la correttezza dei dati raccolti e trattati;
- il secondo concerne il rispetto del diritto d’autore da parte degli stessi fornitori di modelli di intelligenza artificiale;
- il terzo concerne le regole atte a evitare i rischi sistemici dei modelli di IA più avanzati.
Il nostro contributo prende in esame la componente relativa agli obblighi che fanno capo ai developer dei sistemi di intelligenza artificiale in riferimento al rispetto del diritto d’autore, quali essi sono stati introdotti dagli articoli 53 e 55 dell’AI Act e dai Recital n. 104, 105, 106, 107, 108 e 109[3] dello stesso provvedimento[4].
L’intento del legislatore dell’Unione Europea attraverso il GPAI è volto all’obiettivo di imporre ai fornitori di servizi e di prodotti di IA una politica di conformità alle norme in vigore nell’acquis communautaire, in base alle quali i fornitori dei sistemi di IA, ovunque collocati, quando danno accesso ai loro servizi agli utenti siti in uno o più paesi della UE, devono adeguarsi alle disposizioni in materia di diritto d’autore e di diritti connessi ivi vigenti, individuando e rispettando eventuali riserve dei diritti espressi dai rispettivi titolari conformemente all’art. 4(3) della Direttiva (UE) 2019/790 (Digital Single Market).
Obblighi di conformità e meccanismi di opt-out per i fornitori IA
Nel caso in cui i titolari dei diritti abbiano espresso il proprio opt-out all’utilizzazione nei sistemi di IA dei contenuti protetti di cui dispongano dei diritti esclusivi, i gestori dei modelli che intendano addestrarli con i suddetti beni immateriali dovranno ottenere la loro previa autorizzazione allo sfruttamento e dovranno altresì collaborare con la Commissione e con le autorità nazionali competenti per garantire la piena conformità agli obblighi comunitari riguardanti il diritto d’autore.
Seppure il capitolo sul diritto d’autore incluso nel General-Purpose AI Code of Practice, consti di sole sei pagine, esso esplicita efficacemente quanto dettato nell’AI Act, la fonte primaria che include norme non sempre omogenee e lineari sul tema, tanto che inizialmente il testo della proposta di legge giunta all’esame del Consiglio e del Parlamento dell’Unione Europea era parso riflettere un orientamento piuttosto riluttante all’introdurre appropriate disposizioni a difesa del diritto d’autore[5].
Struttura del codice di condotta e disciplina del text and data mining
La struttura di questo “Codice di condotta” è organizzata in base ai temi di maggiore rilevanza riportati nel Regolamento UE/2024/1689, prendendo le mosse dalla prescrizione per i fornitori di sistemi di IA di dovere adottare specifiche policy in aderenza alla disciplina regolamentare, a cominciare dall’obbligo di garantire il diritto di opt-out per i propri contenuti protetti da parte dei Right-holders in base all’art. 4(3) della Direttiva DSM relativa all’eccezione del Text and Data Mining[6].
Tale norma prescrive che l’eccezione di TDM si applica “a condizione che l’utilizzo delle opere e di altri materiali (…) non sia stato espressamente riservato dai titolari dei diritti in modo appropriato, ad esempio attraverso strumenti che ne consentano la lettura automatizzata in caso di contenuti resi pubblicamente disponibili on-line”. A tale stregua, nel capitolo del General-Purpose AI Code of Practice dedicato al Copyright, si evidenzia il fatto che i diritti d’autore hanno natura preventiva e pertanto “si basano sul previo consenso (dell’avente diritto) salvo che non si applichino eccezioni o limitazioni”. Una di tali eccezioni è appunto quella del TDM che, per essere invocata, deve essere sostenuta:
- dal legittimo accesso alla fonte (cioè, alla banca di dati che contiene il materiale protetto)
- e dalla certezza che non vi sia stato un atto di riserva (c.d. opt-out) da parte del titolare dei diritti secondo quanto sopra indicato e previsto dalla Direttiva DSM.
Tecnologie di identificazione e protezione dei contenuti riservati
A tale proposito, nel documento in questione viene rimarcato che l’articolo 53 dell’AI Act, recante “Obblighi dei fornitori di modelli di IA per finalità generali”, prescriva, in particolare, che gli Stati Membri siano tenuti a “individuare e rispettare, anche attraverso tecnologie all’avanguardia, una riserva di diritti espressa a norma dell’articolo 4, paragrafo 3, della direttiva (UE) 2019/790”. A tale riguardo, si evidenzia nel testo come il vincolo dell’applicazione di strumenti tecnologici adeguati a garantire che i titolari dei diritti possano esercitare il proprio diritto di “riserva” rispetto ai contenuti dei dataset che i fornitori di sistemi di IA intendono utilizzare per addestrare i propri modelli, debba essere trattato come complementare al loro obbligo di rendere pubblici, attraverso la compilazione di rapporti sintetici sufficientemente dettagliati, i contenuti utilizzati, in conformità ai moduli predisposti dall’Ufficio per l’IA dell’Unione Europea.
Allo scopo di adempiere ai vincoli di cui sopra, i fornitori di sistemi di IA dei paesi membri dell’Unione Europea dovranno sviluppare tecnologie aggiornate allo stato dell’arte, allo scopo di identificare e assolvere alle richieste di opt-out di cui i titolari dei diritti si dovessero avvalere.
Inoltre, i soggetti firmatari del GPAI saranno tenuti a predisporre, a tenere aggiornata, oltre che ad implementare, una policy che sia conforme alle norme sul diritto d’autore per i modelli di IA che vengano posti sul mercato dell’Unione Europea, in un documento che includa tutte le misure contemplate dal Chapter sul Copyright.
Regole per web crawling e misure tecniche di protezione
Fra tali misure, viene data evidenza dal GPAI la necessità che gli sviluppatori di sistemi di IA, quando riproducono ed estraggono dalla Rete contenuti protetti, a mezzo di strumenti di web crawling, allo scopo della loro estrazione in aderenza al TDM di cui all’art. 2(2) della Direttiva DSM[7]:
a) non aggirino le misure tecnologiche di protezione di cui all’art. 6(3) della Direttiva Infosoc e
b) escludano dall’attività di scraping i contenuti messi a disposizione del pubblico da siti web che sono riconosciuti come “persistentemente e ripetutamente” in violazione dei diritti d’autore su scala commerciale da parte delle autorità dell’Unione Europea e dell’Area Economica Europea[8].
Protocolli di esclusione e strumenti di identificazione automatica
Al fine di rendere il più efficiente possibile il funzionamento della verifica degli atti di riserva (opt-out) esercitati dai titolari dei diritti sui contenuti che essi non intendono considerare come disponibili secondo le norme sul TDM, il codice di condotta GPAI stabilisce che i gestori dei sistemi di IA debbano seguire le indicazioni contenute nel Robot Exclusion Protocol[9] come meglio specificate dall’IEFT Request for Comments N. 9309[10].
Inoltre, gli obblighi di identificazione del materiale protetto che sia stato oggetto di riserva dai titolari dei diritti non escludono l’impiego da parte di questi ultimi di altri strumenti di protezione come, ad esempio, l’applicazione ai contenuti di informazioni sul regime dei diritti[11].
Rientrano nel novero delle misure che vengono incoraggiate a livello dell’Unione Europea dal General-Purpose AI Code of Practice nel Chapter sul Diritto d’autore, anche la discussione, fra i soggetti rappresentativi dei diversi interessi in gioco, circa lo sviluppo congiunto di standard e protocolli che favoriscano l’identificazione automatica della riserva dei diritti espressa dai titolari ai sensi dell’art. 4(3) della Direttiva DSM, nonché l’adozione di ulteriori misure volte ad ottenere informazioni sui web crawler utilizzati dai gestori dei modelli di intelligenza artificiale, sempre per la stessa finalità di dare certezza all’esercizio dell’opt-out da parte dei titolari dei diritti.
Salvaguardie contro la violazione e sistemi di contestazione
Su un diverso piano, il GPAI si preoccupa anche di evidenziare la necessità di evitare che l’applicazione di strumenti atti a identificare i contenuti oggetto di riserva, cioè quelli esclusi dal possibile inserimento nei dataset di addestramento dei sistemi di intelligenza artificiale, possa produrre effetti negativi sull’indicizzazione dei contenuti, sui nomi a dominio o sugli Uniform Research Locator (URL), che vengano inseriti nei motori di ricerca per l’inerente identificazione.
Le preoccupazioni degli estensori del codice di condotta in commento, si sono poi orientate sulla mitigazione del rischio che le risposte ai prompt affidati all’elaborazione dei modelli di IA possano “rigurgitare” contenuti che siano suscettibili di violare i diritti d’autore in base alle norme dell’Unione Europea. Per fronteggiare questi rischi il documento suggerisce che vengano implementate misure tecniche di salvaguardia e che l’uso dei modelli di IA finalizzati a violare il diritto d’autore sia vietato in base alle condizioni generali di contratto e nella policy dell’impresa che gestisce tali apparati.
Ai suggerimenti impartiti ai soggetti firmatari del GPAI in tema di diritto d’autore, sono state aggiunte nel Chapter sul Copyright le prescrizioni che consentono ai titolari dei diritti e alle loro associazioni rappresentative, non solo di raggiungere attraverso punti di contatto i gestori dei sistemi di intelligenza artificiale interessati dalla disciplina qui illustrata, ma anche di presentare contestazioni e ricorsi sufficientemente precisi e dettagliati, per le violazioni commesse, con la possibilità di essere aggiornati circa il loro status. Ovviamente, l’applicazione di queste forme di contestazione e di impugnativa delle violazioni dei diritti che spettano ai titolari non impedisce che questi possano fare ricorso agli altri rimedi consentiti dalla normativa dell’Unione Europea e dei singoli stati membri.
Prospettive di armonizzazione normativa europea
Tale assetto regolamentare, che integra la disciplina dell’AI Act, si presenta indubitabilmente come un utile incentivo al raggiungimento di una normativa unitaria a livello comunitario europeo, ponendo le basi per un dialogo non solo con le piattaforme di intelligenza artificiale generaliste, che tutti auspicano trovino presto albergo in seno all’Unione Europea, ma anche con quelle che decidano di stabilirsi qui con provenienza dai paesi terzi.
Divergenze tra sistemi giuridici e giurisprudenza statunitense
Bisogna essere peraltro consapevoli che, nel mondo occidentale, le differenze fra i sistemi giuridici di Common Law e quelli di Civil Law pongono problemi non semplici da dipanare in questa materia.
La recente linea di giurisprudenza statunitense nei casi Anthropic e Meta[12] ci pone di fronte a molti interrogativi circa la tutela dei contenuti elaborati attraverso i modelli di intelligenza artificiale, tenuto conto anzitutto che l’applicazione della dottrina del Fair-use non solo non impone obblighi di trasparenza ai gestori dei sistemi di IA sulle fonti impiegate, dovendosi di regola ricorrere all’istituto della Discovery per acquisire dati utili alla gestione delle cause per violazione dei diritti d’autore, ma che essa allo stato pare consentire altresì che possa legittimare la rimozione delle informazioni sul regime dei diritti applicate alle opere tutelate.
Il caso anthropic e le sfide del fair use nell’era dell’IA
Ulteriori preoccupazioni per i titolari dei diritti si possono desumere dall’esame del ricorso presentato il 14 luglio 2025 da Anthropic PCB avverso la decisione del giudice William H. Alsup del Distretto Settentrionale della California attraverso l’”Order on Fair-Use” del 23 giugno 2025.
In tale decisione interinale il magistrato aveva evidenziato che solo l’utilizzo trasformativo di opere legittimamente acquisite rientra nella dottrina del “Fair-Use”, escludendo che le copie “pirata” utilizzate da Anthropic per addestrare il modello di IA “Claude” potessero esentare l’azienda dalla responsabilità per la violazione dei diritti d’autore.
L’atto depositato dai legali di Anthropic mira, infatti, a porre in discussione tale capo della decisione, chiedendo al giudice che esso venga portato alla revisione del Nono Circuito di Appello.
Infatti, con la propria domanda per la concessione di un appello interlocutorio, basato su un presunto conflitto di giudicati sulle medesime questioni di diritto, con udienza fissata per il giorno 28 agosto 2025 di fronte al giudice di prime cure, Anthropic PCB vuole ottenere una declaratoria per cui la sussistenza del “Fair-use” nel caso di specie dovrebbe essere valutata alla stregua dell’obiettivo finale dello sviluppo del modello di IA da essa posseduto, cioè l’avanzamento tecnologico, ponendosi in tal modo in discussione la rilevanza giuridica del fatto che le opere utilizzate per addestrare il modello “Claude” provengano da fonti illegittime.
Infatti, secondo i legali di Anthropic, poiché la decisione resa il 25 giugno 2025 dal giudice Vincent Chhabria nella causa parallela pendente fra gli autori (Kadrey e altri) e Meta Platforms, Inc.[13], avuto riguardo al modello di intelligenza artificiale Llama, aveva evidenziato che la condotta del gestore del sistema di IA doveva essere giudicato “alla luce del suo scopo ultimo, altamente trasformativo: addestrare Llama”, ora la Corte di Appello del Nono Circuito dovrebbe considerare il comportamento di Anthropic non, come ha fatto il giudice Alsup, tenendo distinti e separati il comportamento di acquisizione del materiale protetto e la sua trasformazione nell’out-put del sistema, ma dovrebbe riguardare i modelli di intelligenza artificiale in un contesto unitario inscindibile, in cui l’origine dei contenuti acquisiti per il loro addestramento non abbia un autonomo rilievo rispetto alla loro trasformazione in un nuovo prodotto.
Implicazioni future per lo sviluppo tecnologico e la tutela dei diritti
Risulta agevole comprendere che una decisione su questo punto da parte di una Corte autorevole in materia di diritto d’autore, quale quella del Ninth Circuit, in base all’orientamento che essa assumerà sul punto, potrebbe incidere in maniera significativa sul futuro dello sviluppo tecnologico delle imprese del settore dell’intelligenza artificiale e pure sulla sopravvivenza dei titolari dei diritti e degli editori.
C’è quindi da chiedersi, qualora l’orientamento delle Corti statunitensi fosse favorevole, anche dopo il vaglio finale della Corte Suprema, alla legittimità di un uso trasformativo dei contenuti in base alle regole del Fair-use a prescindere dall’origine, lecita o meno, dei contenuti addestrati nei modelli di IA, come tale assunto possa conciliarsi con le disposizioni sopra illustrate dello AI Act e del GPAI dell’Unione Europea, e come possa essere validamente accertata, al di fuori del paese di origine, la liceità dei Foundation Models sviluppati negli Stati Uniti, se le norme di riferimento applicabili sono quelle di questa nazione che ne abbia legittimato l’operato.
Note
[1] Il testo del documento in oggetto è pubblicato a questo collegamento ipertestuale: https://digital-strategy.ec.europa.eu/en/policies/ai-code-practice
[2] L’AI Act, il Regolamento dell’Unione Europea 2024/1689 che stabilisce regole armonizzate sull’intelligenza artificiale modificando alcuni precedenti Regolamenti e Direttive è stato pubblicato sulla GUCE del 12 luglio 2024, Serie “L” qui: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202401689
[3] Il Chapter sul Copyright include alla lett. d) dei Recitals uno specifico riferimento al “Considerando” 109 dell’AI Act, il cui contenuto è il seguente: “Il rispetto degli obblighi applicabili ai fornitori di modelli di IA per finalità generali dovrebbe essere commisurato e proporzionato al tipo di fornitore del modello, escludendo la necessità di adempimento per le persone che sviluppano o utilizzano modelli per finalità non professionali o di ricerca scientifica, le quali dovrebbero tuttavia essere incoraggiate a rispettare volontariamente tali obblighi. Fatta salva la normativa dell’Unione in materia di diritto d’autore, il rispetto di tali obblighi dovrebbe tenere debitamente conto delle dimensioni del fornitore e consentire modalità semplificate di adempimento per le PMI, comprese le start-up, che non dovrebbero comportare costi eccessivi né scoraggiare l’uso di tali modelli. In caso di modifica o perfezionamento di un modello, gli obblighi per i fornitori di modelli di IA per finalità generali dovrebbero essere limitati a tale modifica o perfezionamento, ad esempio integrando la documentazione tecnica già esistente con informazioni sulle modifiche, comprese nuove fonti di dati di addestramento, quale mezzo per adempiere gli obblighi della catena del valore di cui al presente regolamento”.
[4] Il percorso normativo per giungere all’approvazione dell’AI Act dell’anno 2024 è stato segnato da diverse tappe che sono state brevemente tratteggiate in questo breve contributo: https://www.agendadigitale.eu/cultura-digitale/diritto-dautore-quali-tutele-per-le-opere-dellintelligenza-artificiale-approcci-e-possibili-soluzioni/
[5] Ricordiamo che nel corso del “Trilogo” che ha portato al voto sull’AI Act, solo il 14 giugno 2023 è stato inserito un emendamento della Commissione, il n. 399, che ha previsto l’inserimento nella normativa comunitaria di un nuovo art. 28 b che aveva introdotto una serie di principi cui si devono attenere i fornitori dei modelli di IA i quali dispongano di una vasta banca di dati (i c.d. “Foundation Models”). Qui si trova il testo dell’emendamento https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf
[6] Vi sono diversi contributi di questa testata sul tema del Text-and-Data Mining, sviluppati anche alla luce di un recente studio dell’EUIPO (pubblicato nel mese di maggio 2025) dal titolo “The Development of Generative AI from a Copyright Perspective“(https://euipo.europa.eu/tunnel-web/secure/webdav/guest/document_library/observatory/documents/reports/2025_GenAI_from_copyright_perspective/2025_GenAI_from_copyright_perspective_FullR_en.pdf), in cui si sottolinea che la differenza fra il TDM comunitario europeo e il “Fair-use” statunitense sia potenzialmente atta a condurre a conflitti di giurisdizione e a grande incertezza per gli sviluppatori dei modelli di intelligenza artificiale e per gli utenti.
Si segnalano i seguenti con i collegamenti ipertestuali ad altre pubblicazioni:
[7] La definizione offerta in lingua italiana dal testo della Direttiva all’art. 2(2) è la seguente: “estrazione di testo e di dati” – (Text and Data Mining): qualsiasi tecnica di analisi automatizzata volta ad analizzare testi e dati in formato digitale avente lo scopo di generare informazioni inclusi, a titolo non esaustivo, modelli, tendenze e correlazioni.
[8] Verrà a tale proposito resa disponibile dall’Ufficio per l’IA dell’Unione Europea una lista dinamica di collegamenti ipertestuali ai siti web che siano persistenti violatori dei diritti d’autore. In Italia, l’Autorità per le Garanzie nelle Comunicazioni non pubblica un elenco di siti web che violano sistematicamente il diritto d’autore, ma tramite la sua piattaforma digitale “Diritto d’Autore Online”, è possibile per i titolari dei diritti presentare istanze relative alla cessazione delle violazioni del diritto d’autore.
[9] Per comprendere le origini e il funzionamento del protocollo robot.txt si può leggere questa pagina: https://en.wikipedia.org/wiki/Robots.txt
[10] Il documento esplicativo è rinvenibile qui: https://datatracker.ietf.org/doc/rfc9309/
Esso prevede, fra l’altro, che: “Per valutare se l’accesso a un URI (Uniform Resource Identifier) è consentito, un crawler deve confrontare i percorsi in base alle regole “allow” e “disallow” confrontandole con l’URI. La corrispondenza deve essere case sensitive. Essa deve iniziare con il primo ottetto del percorso. Deve essere utilizzata la corrispondenza più specifica trovata. La corrispondenza più specifica è quella con il maggior numero di ottetti. Le regole duplicate in un gruppo possono essere de duplicate. Se una regola “allow” e una regola “disallow” risultano equivalenti, allora deve essere utilizzata la regola “allow”. Se non viene trovata alcuna corrispondenza tra le regole di un gruppo per uno user-agent corrispondente o non ci sono regole nel gruppo, l’URI è consentito. L’URI /robots.txt è implicitamente consentito” (…).
[11] Va ricordato che negli Stati Uniti nel corso del Summary Judgment della causa Kadrey v. Meta Platforms Inc. è stato affrontato dal giudice di prime cure il tema delle informazioni sul regime dei diritti, misure tecnologiche di protezione che erano state inserite dagli editori delle opere oggetto del contenzioso. Nella propria decisione nel giudizio sommario, il magistrato ha dichiarato che la loro rimozione da parte del detentore del sistema di IA non fosse da considerare rilevante sul piano giuridico in quanto essa sarebbe giustificata dall’uso trasformativo (Fair-use) delle opere degli autori ricorrenti, necessario per lo sviluppo di una nuova tecnologia.
Su questo e altri aspetti del diverso approccio del sistema giuridico statunitense rispetto a quello dell’Unione Europea sul tema della tutela del diritto d’autore si possono leggere questi articoli: https://www.agendadigitale.eu/mercati-digitali/libri-e-ai-e-se-il-fair-use-diventasse-lalibi-della-pirateria-digitale/
[12] Oltre che in nota 6 si può trovare qualche indicazione in questa pagina: https://www.agendadigitale.eu/mercati-digitali/fair-use-o-violazione-lia-generativa-di-meta-alla-prova-del-copyright/
[13] Qui una sintesi del contenzioso: , https://www.agendadigitale.eu/mercati-digitali/diritto-dautore-e-ia-modelli-giuridici-a-confronto-fair-use-vs-tdm/
