Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la guida

Contratti AI in azienda: clausole essenziali e rischi legali

Home Industry 4.0/Innovazione in azienda
Partecipa al dibattito
Indirizzo copiato

Le aziende che utilizzano intelligenza artificiale devono valutare attentamente i contratti con i fornitori per evitare violazioni di diritti, dispersione di dati e responsabilità legali derivanti dall’uso non regolamentato

Pubblicato il 5 set 2025
Simona Lavagnini

avvocato, partner LGV Avvocati

contratti (1); digitalizzazione contratti pubblici Contratti AI in azienda; dlt pilot regime

Benché tutti parlino, e molto, di intelligenza artificiale in tutti i contesti, incluso quello aziendale, la realtà è che la maggior parte delle società non ne fa ancora un uso strutturale e regolamentato.

In alcuni settori si è cominciato a fare qualche tipo di sperimentazione da qualche anno a questa parte, ma manca un chiaro quadro giuridico di riferimento, che aiuti la gestione dei processi e che fornisca un perimetro più chiaro per adottare clausole contrattuali adeguate, oltre che per implementare linee guida interne che controllino l’uso dell’intelligenza artificiale.

I rischi dell’uso non regolamentato dell’intelligenza artificiale in azienda

Orientarsi nei contratti IA: guida pratica per le aziende

In questo contesto la situazione per le aziende, gli studi professionali, le realtà produttive in senso lato è di alto rischio, benché la maggioranza degli interessati non ne sia consapevole. I dipendenti, i collaboratori o i fornitori esterni possono infatti già utilizzare, in modo non controllato e non disciplinato, l’intelligenza artificiale per svolgere determinate attività, e realizzare – almeno parzialmente – documenti e/o contenuti, in tal modo potenzialmente violando diritti di terzi, oppure utilizzando in modo non autorizzato dati confidenziali e/o sensibili dell’azienda oppure di terzi.

Da ciò deriva l’urgenza di chiarire se l’uso dell’intelligenza artificiale in azienda sia consentito, e quali siano le regole da applicare.

Responsabilità del datore di lavoro e novità normative

Non va dimenticato che secondo il nostro codice civile il datore di lavoro è responsabile per il fatto posto in essere dai propri dipendenti e dai propri preposti nell’esercizio dell’attività di lavoro, senza considerare poi le responsabilità per l’azienda derivanti dalla violazione di norme penali da parte degli addetti, come regolate dalla l. 231/2001.

Ciò a maggior ragione se si considera che il ddl. 1146 che a breve sarà approvato dal Parlamento introduce anche nuove fattispecie penali direttamente collegate all’uso improprio dell’intelligenza artificiale.

Rischi legati ai sistemi di AI ad accesso libero

A questo proposito vale la pena sottolineare che chi consente (non vietando) l’uso interno in azienda di sistemi di intelligenza artificiale ad accesso libero come chatgpt o perplexity potrebbe andare incontro a responsabilità per ogni caso di violazione di diritti di terzi, in particolare considerando che l’utilizzo di questi sistemi non consente (e non protegge) alcun tipo di uso diverso da quello personale per finalità non commerciali.

Una seconda considerazione riguardo ai sistemi di intelligenza artificiale accessibili liberamente tramite rete è che i dati e le interazioni fornite dagli utenti vengono acquisiti in toto dal sistema di intelligenza artificiale, che li raccoglie e li usa per istruire ulteriormente il sistema. Poiché vengono immagazzinate anche le cronologie delle ricerche, informazioni sul dispositivo, indirizzo IP e dati sulla posizione, nel caso in cui siano stati inseriti dati confidenziali (anche in una successione di prompt) il rischio è quello della dispersione e divulgazione del know how aziendale, ancorché probabilmente inconsapevole, da parte del dipendente/addetto aziendale che utilizzi in modo incontrollato il sistema di intelligenza artificiale.

Consideriamo infatti che – oltre al training del sistema – i dati vendono condivisi con altri soggetti, per svolgere diversi tipi di attività, che potrebbero anche essere di business intelligence.

Soluzioni contrattuali alternative e sistemi personalizzati

Se si intende utilizzare i sistemi di intelligenza artificiale in un contesto aziendale/commerciale, appare allora necessario scegliere altri tipi di intelligenza artificiale, specificamente deputati all’uso professionale, e – per conseguenza – analizzare con attenzione i contratti che vengono proposti da queste realtà, i quali in molti casi presentano numerose difficoltà e complessità, prime fra tutte la rigidità determinata dalla sostanziale impossibilità di negoziare le clausole con il fornitore del sistema di intelligenza artificiale basato all’estero, come OpenAI o simili provider.

In alternativa a queste soluzioni, che normalmente consistono nella richiesta di sottoscrivere contratti assimilabili alle licenze software SaaS (declinate quindi come sottoscrizioni o abbonamenti), si possono considerare soluzioni più flessibili sviluppate da altri fornitori di sistemi di intelligenza artificiale, che attualmente già operano in alcuni settori specifici (come quelli del voice cloning, della generazione di contenuti musicali, etc.).

Ove possibile, si può anche considerare di far sviluppare un sistema ad hoc, personalizzato, che utilizzi un certo tipo di modello di intelligenza artificiale su data set selezionati per svolgere le specifiche funzionalità di interesse del committente. Questo secondo tipo di contratto è ovviamente più oneroso e complesso, dal momento che richiede una serie di attività anche preliminari di selezione e validazione dei dataset dedicati; di sviluppo del progetto in termini di identificazione dei processi e delle funzionalità; soprattutto sarà necessario accedere da parte del committente alle informazioni concernenti lo sviluppo (dal codice sorgente del software ai vari algoritmi utilizzati), per poter gestire l’intelligenza artificiale in modo indipendente, anche con sviluppatori terzi.

Licenze SaaS e garanzie contrattuali da richiedere

Concentrandosi per il momento sulla fattispecie al momento più comune, ovvero le licenze SaaS, sarà necessario svolgere una verifica preliminare sulle modalità di funzionamento e di addestramento del sistema, ed in particolare informarsi circa:

  • la liceità dell’addestramento del modello (che, in altre parole, dovrà essere stato trainato utilizzando materiali leciti, perché in pubblico dominio, proprietari o comunque adeguatamente licenziati);
  • la verifica dei dataset utilizzati dal punto di vista della coerenza e della correttezza (onde limitare il rischio di allucinazioni, che in determinati campi di attività non può essere tollerato: si pensi per esempio all’uso di sistemi di intelligenza artificiale per la redazione di atti giudiziari, e la necessità che i contenuti siano vagliati e corretti);
  • la sussistenza di sistemi di controllo successivo a valle della generazione degli output, in modo da scartare almeno le tipologie più evidenti e ricorrenti di errori e/o di violazioni (si tratta per esempio di sistemi destinati a evitare il cd. overfitting, ossia che il risultato dell’intelligenza artificiale sia eccessivamente simile al contenuto utilizzato come input).

Tutti questi elementi, ancorché verificati in fase iniziale di scelta del sistema di intelligenza artificiale, dovrebbero anche essere oggetto di specifiche garanzie contrattuali, che si dovrebbero anche estendere alla originalità e proteggibilità del modello (che – in altre parole – non dovrà essere stato realizzato in violazione di diritti esclusivi di terzi). Inutile sottolineare che al momento le tipologie contrattuali di maggior utilizzo non prevedono nulla in termini di garanzie di questo tipo – essendo invece richiesto che l’utente garantisca di non svolgere alcuna attività in violazione di norme di legge.

Protezione del know-how aziendale e limiti dei contratti enterprise

Diversamente dai contratti per l’uso libero in rete, gli accordi enterprise prevedono che i contenuti immessi dall’utente aziendale non vengano di regola utilizzati per ulteriormente istruire il sistema, il che naturalmente costituisce un aspetto molto importante ai fini della protezione del know how aziendale. Tuttavia, sono in genere previste clausole che non limitano l’uso dei feedback restituiti dall’utente, con la conseguenza che per tale via la protezione dei dati potrebbe risultare indebolita.

Diritti d’uso degli output generati e conflitti tra utenti

Altrettanto importante sarà la disciplina dei diritti d’uso del sistema da parte dell’azienda (e per essa degli addetti individuati come utenti), tenendo in considerazione che nelle formule attualmente applicate nella prassi il compenso viene talora parametrato sulle richieste inserite nel sistema, o sulla durata dell’utilizzo, anche se in altri casi ci si ancora al numero di output realizzati ovvero alla loro durata (minutaggio).

Il contratto dovrà poi prevedere che l’azienda sottoscrittrice dell’abbonamento al sistema di intelligenza artificiale acquisisca tutti i diritti esclusivi (in primis, di proprietà intellettuale) sugli output realizzati dagli addetti, in modo tale che gli stessi output possano essere liberamente utilizzati a fini commerciali, elaborati in ogni forma e modo, ceduti a terzi. Ciononostante, il sistema non garantisce che gli output siano unici, con la conseguenza che più utenti possano indipendentemente raggiungere output molto simili.

In tali casi non è chiaro quale protezione sia riconosciuta agli utenti, ossia se gli output non siano proteggibili, rimanendo liberamente utilizzabili da parte di ciascun utente, oppure se possa generare un conflitto fra i diritti esclusivi di ciascun utente.

La questione potrebbe essere risolta secondo i principi generali del diritto d’autore, ed in particolare considerando che in casi di output simili probabilmente l’intervento umano nella generazione sarà minimo, così da non generare diritti esclusivi e da rendere pertanto possibile l’uso libero dell’output da parte dei vari utenti interessati.

Ulteriormente si potrebbe fare riferimento al principio della novità soggettiva (che consente le coincidenza creative) che – per quanto recentemente sostanzialmente abbandonato dalle nostre corti – potrebbe ritornare in auge proprio a causa delle novità introdotte con l’uso dell’intelligenza artificiale.

Accesso al sistema, sicurezza e continuità del servizio

Altre clausole decisive per la bontà del contratto riguardano la disciplina dell’accesso, ed in particolare la concessione e la gestione delle credenziali per gli addetti, oltre che il perimetro delle facoltà agli stessi consentiti (con indicazione delle funzionalità permesse dal sistema).

Trattandosi di un servizi in subscription, valgono anche per questo tipo di contratti le considerazioni che normalmente si fanno per quanto riguarda i contratti di hosting, ossia le regole tecniche adottate per garantire la massima disponibilità ed accessibilità delle strutture, la loro protezione da attacchi esterni (e quindi la segretezza e la sicurezza dei dati inseriti e/o prodotti), la costante evoluzione del sistema nell’ottica di mantenere il sistema aggiornato secondo gli standard tecnologici di settore, i sistemi di training e di supporto per il caso in cui si verifichino incidenti e/o blocchi che impediscano l’operatività del sistema.

Allocazione delle responsabilità e clausole di manleva

Sono normalmente particolarmente complesse le clausole che riguardano la responsabilità per il caso in cui l’output sia in violazione di diritti di terzi. E’ sempre previsto dai sistemi di intelligenza artificiale, come indicato sopra, che l’azienda si impegni a non svolgere alcuna attività illecita tramite l’uso dei sistemi stessi, e che nel caso tali tipi di attività vengano svolte, nessuna responsabilità possa ricadere in capo al fornitore del sistema di intelligenza artificiale.

Al di fuori di ipotesi di negligente o volontario uso del sistema in questione per violare i diritti di terzi, che probabilmente saranno residuali, va compreso come vengano allocate le responsabilità nel caso in cui non sia possibile identificare chiaramente alcuna specifica negligenza o alcuno specifico dolo in capo all’utente, oppure al fornitore del sistema, e ciononostante l’output sia ritenuto da un terzo titolare di diritti esclusivi in violazione dello stesso.

In queste situazioni borderline sarà necessario dimostrare chi ha fatto che cosa, e quindi dovrà essere prevista l’acquisizione e la conservazione da parte del fornitore del sistema dei prompt e delle attività svolte dall’utente per conto dell’azienda, e correlativamente il diritto di questi ultimi di accedere a tutti i dati così raccolti e conservati, per poter svolgere attività di rendicontazione.

Non va dimenticato tuttavia che molte delle fattispecie contrattuali attualmente disponibili pongono comunque in capo all’utente ogni responsabilità, stabilendo che sia onere dello stesso verificarne l’utilizzabilità, sia sotto il profilo della violazione di diritti di terzi, sia sotto il profilo della accuratezza e della usabilità.

Va in ogni caso attentamente verificato il contenuto delle clausole di manleva o indennizzo, sia sotto il profilo del perimetro di applicabilità, sia sotto il profilo di eventuali limitazioni nel tempo o negli importi. Clausole di indennizzo che possono infatti sembrare ampie nel contenuto si potrebbero poi rivelare di poca utilità se gli importi per l’indennizzo stesso fossero soggetti al limite degli importi versati per l’utilizzo dell’intelligenza artificiale.

Giurisdizione, legge applicabile e governance interna

Un tema che l’azienda italiana si deve porre è quello – drammaticamente importante – della legge applicabile e del foro giudiziale. In linea generale, per quanto riguarda il primo profilo il fornitore di sistemi di intelligenza artificiale imporrà leggi diverse da quella italiana (nel migliore dei casi la legge irlandese, dove si trovano molte delle sedi locali di provider esteri; nel peggiore dei casi la legge statunitense o la diversa legge del luogo ove il provider ha la sede principale), con la necessità poi di valutare l’eventuale possibilità – in caso di controversia – di applicare una legge diversa, più vicina all’azienda utente del servizio.

Per quanto riguarda il secondo tema, quello del foro, si trovano clausole che impongono arbitrati e/o simili sistemi di ADR, prima di poter adire le corti giudiziali, ed in ogni caso la giurisdizione è individuata in località estere, dove i costi da sostenere spesso possono essere proibitivi (basti pensare a una litigation in California, luogo dove per esempio i terms and conditions di OpenAI localizzano la giurisdizione per le dispute).

Implementazione strategica dei contratti AI in azienda: linee guida e formazione

Questi e molti altri sono i temi che le aziende desiderose di utilizzare l’intelligenza artificiale in modo strutturato si devono cominciare a porre quanto prima. Considerata la novità delle attività e del settore è consigliabile affrontare immediatamente il problema della gestione di questo nuovo strumento, implementando da un lato adeguate linee guida aziendali per l’uso dell’intelligenza artificiale, e cominciando a riflettere dall’altro lato sui contratti da stipulare con i fornitori di sistemi di intelligenza artificiale, senza dimenticare che all’aspetto regolamentare andrà affiancata una robusta educazione delle risorse umane in termini operativi e di consapevolezza relativamente alla governance e ai pro e ai contro dell’uso dell’intelligenza artificiale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Simona Lavagnini
avvocato, partner LGV Avvocati
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • dazi trump sovranità europea

  • lo scenario

    Dazi Trump, così l'Europa può sopravvivere e innovare

    04 Apr 2025

    di Stefano da Empoli

    Condividi
  • contratti (1); digitalizzazione contratti pubblici Contratti AI in azienda; dlt pilot regime

  • la guida

    Dieci soluzioni per innovare il business con le applicazioni cloud

    03 Gen 2025

    di Riccardo Petricca

    Condividi
  • intelligenza artificiale pc sistemi di raccomandazione AI generativa nei Global Business Services intelligenza artificiale e lavoro

  • AI Act

    Obbligo di alfabetizzazione AI: guida alla compliance per le aziende

    22 Apr 2025

    di Alessandro Ronchi

    Condividi