L’AI Act, la cui disciplina sarà pienamente applicabile da agosto 2027, introduce obblighi di trasparenza, di verifica della documentazione tecnica e di accesso alle informazioni relative al sistema di AI, al fine di renderne verificabili il funzionamento e i rischi connessi.
Tali prescrizioni normative si scontrano, tuttavia, con le esigenze di tutela del patrimonio immateriale delle imprese sviluppatrici di algoritmi, modelli e dataset, tradizionalmente protetto mediante segreto industriale.
Ne deriva, quindi, una tensione strutturale tra gli obblighi di disclosure previsti dalla normativa vigente e l’esigenza, per gli operatori economici, di salvaguardare il valore competitivo del know‑how aziendale, la cui riservatezza costituisce un presupposto imprescindibile per l’effettività della tutela del segreto industriale e, più in generale, delle strategie di protezione dell’innovazione.
Analizziamo questo conflitto alla luce della disciplina europea dei segreti industriali e delle strategie di tutela e valorizzazione dell’innovazione, interrogandosi su come gli obblighi informativi dell’AI Act possano ridefinire confini, contenuti e limiti della tutela del segreto industriale.
Indice degli argomenti
AI: i nuovi obblighi imposti dalla normativa europea e italiana sull’AI
Nel 2022, l’avvento di ChatGPT di OpenAI ha rivoluzionato il panorama dell’intelligenza artificiale generativa, introducendo uno strumento accessibile all’utente comune e utilizzabile quotidianamente senza la necessità di una formazione specifica o di particolari competenze tecniche. Basti pensare che ChatGPT ha raggiungo nei primi 5 giorni di utilizzo un milione di utenti fino a raggiungere 100 milioni a due mesi dal lancio.
Fino ad allora, invece, i sistemi di intelligenza artificiale erano una tecnologia di nicchia, confinata ad ambiti scientifici, accademici o utilizzati dalle grandi aziende tecnologiche.
Nel giro di breve tempo si è assistito a una rapida proliferazione di tecnologie generative analoghe, che ben possono confondere il pubblico sulla natura e la provenienza dell’output: opera dell’uomo o della macchina?
Questo scenario ha reso immediatamente evidente al legislatore europeo la necessità di introdurre una disciplina specifica sull’impiego degli strumenti di intelligenza artificiale, il cui utilizzo può incidere in modo significativo sui diritti e sulle libertà delle persone.
L’Unione Europea è stata, quindi, la prima istituzione governativa ad aver adottato, il 13 giugno 2024, una normativa, il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024, noto anche come AI Act, che stabilisce regole armonizzate sull’intelligenza artificiale, volta a stabilire regole armonizzate per lo sviluppo e l’utilizzo dell’intelligenza artificiale, con l’obiettivo di garantire sicurezza, trasparenza e tutela dei diritti fondamentali, affermandosi come punto di riferimento regolatorio a livello globale. Considerato il carattere particolarmente innovativo e l’impatto che la disciplina esercita sul contesto europeo, il legislatore ha previsto per l’AI Act, in vigore dal 1° agosto 2024, un’applicazione progressiva, con piena operatività prevista per agosto 2027.
Parallelamente anche l’Italia, il 23 settembre 2025, ha adottato la legge n. 132, finalizzata a promuovere un “utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica” dell’intelligenza artificiale. La normativa italiana disciplina l’impiego dell’IA in ambito lavorativo, introduce nuove fattispecie di reato, tra cui il deepfake, e inasprisce il regime sanzionatorio, con particolare attenzione alla sicurezza e alla tutela dei diritti.
Questo quadro normativo ha introdotto all’intero dell’Unione europea nuovi obblighi per chi sviluppa e utilizza i sistemi di intelligenza artificiale, con impatto in ambiti del diritto come quello della proprietà intellettuale. In particolare, l’AI Act prevede nuovi obblighi di trasparenza, tracciabilità e controllabilità dei sistemi di intelligenza artificiale, come quello di cui all’art. 53 che impone ai fornitori di modelli di intelligenza artificiale per finalità generali di redigere e aggiornare un insieme articolato e completo di informazioni tecniche, funzionali e documentali destinate alle autorità e ai soggetti a valle che integrano tali modelli nei propri sistemi di AI e che si scontrano, potenzialmente, con le esigenze e l’interesse di fornitori, sviluppatori e fruitori di tecnologie di intelligenza artificiale di proteggere la riservatezza di algoritmi, dataset e know-how aziendale, in grado di attribuire loro un vantaggio competitivo.
Il ruolo strategico dei segreti industriali nella tutela degli asset immateriali
Nel 2016, l’Unione Europea ha adottato la Direttiva (UE) 2016/943 del Parlamento Europeo e del Consiglio dell’8 giugno 2016 “sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti”. Tale normativa ha l’obiettivo di tutelare tutte le invenzioni e le informazioni non brevettabili, quali le informazioni aziendali e le esperienze tecnico-industriali, nonché i dati relativi a sperimentazioni o ad altre informazioni riservate.
La normativa, recepita nel Codice della Proprietà Industriale Italiano, D. Lgs 10 febbraio 2005, n. 30, (“C.p.i.”) agli artt. 98-99, richiede che le informazioni per accedere a tale tutela:
a. siano segrete, ovvero non devono essere generalmente note o accessibili al pubblico nel loro insieme o nella precisa configurazione degli elementi;
b. abbiano valore economico, derivante dalla segretezza;
c. siano sottoposte a misure ragionevoli per mantenerle segrete.
Il titolare dei segreti industriali ha il diritto di vietare a terzi l’appropriazione, la divulgazione o l’utilizzo illecito di informazioni segrete, fintanto che restano non note o generalmente accessibili, garantendo così un significativo vantaggio competitivo.
La disciplina del segreto industriale riveste, quindi, un ruolo centrale nella tutela della proprietà intellettuale, poiché consente di proteggere algoritmi non brevettati o non brevettabili, dataset non generalmente accessibili, processi produttivi, metodi interni, strategie commerciali, know-how operativo, modelli di machine learning e tecniche di addestramento, tutti elementi spesso non suscettibili di brevetto o di tutela autoriale, ma comunque essenziali per il valore tecnologico e competitivo dell’impresa.
In questo scenario, è evidente che gli obblighi di trasparenza introdotti dall’AI Act si pongono in netta contrapposizione con la tutela della segretezza delle informazioni strategiche aziendali.
Segreti industriali e AI: riservatezza versus trasparenza
Come anticipato, Il Regolamento (UE) 2024/1689 sull’Intelligenza artificiale, tra le diverse misure, ha introdotto per i fornitori di modelli di AI per finalità generali, ovvero quei sistemi di intelligenza artificiale addestrati su grandi quantità di dati, capaci di svolgere molti compiti diversi in modo competente, specifici obblighi di trasparenza.
In particolare, l’art. 53 impone ai fornitori di modelli di intelligenza artificiale per finalità generali di redigere e aggiornare un insieme articolato e completo di informazioni tecniche, funzionali e documentali destinate alle autorità e ai soggetti a valle che integrano tali modelli nei propri sistemi di AI. Tali fornitori dovranno, quindi, da un lato, rendere disponibile una descrizione complessiva del modello che includa gli elementi essenziali per comprenderne, ad esempio, l’architettura, le capacità funzionali, i limiti d’impiego e le condizioni di licenza; dall’altro lato, una illustrazione delle fasi e dei processi tecnici rilevanti per la realizzazione del modello stesso, con particolare riguardo ai mezzi tecnici, ai formati di input/output e ai dati utilizzati per addestramento, test e validazione.
L’obiettivo perseguito dal legislatore europeo è, infatti, quello di “consentire un’adeguata tracciabilità e spiegabilità, rendendo gli esseri umani consapevoli del fatto di comunicare o interagire con un sistema di IA e informando debitamente i deployer delle capacità e dei limiti di tale sistema di IA e le persone interessate dei loro diritti”, come si legge al Considerando n. 27.
Ciò non di meno, l’AI Act impone espressamente il rispetto della normativa sulla proprietà intellettuale. In particolare, l’art. 53 co. 1 lett. b) prevede “la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali conformemente al diritto dell’Unione e nazionale”, oltre ad imporre, come sancito dalla lett. c), di “adempiere al diritto dell’Unione in materia di diritto d’autore e diritti ad esso collegati e, in particolare, a individuare e rispettare, anche attraverso tecnologie all’avanguardia, una riserva di diritti espressa a norma dell’articolo 4, paragrafo 3, della direttiva (UE) 2019/790”, imponendo, quindi, ai fornitori di modelli di IA il rispetto della Direttiva Copyright 2019/790, anche mediante strumenti di regulation-by-design, nella parte in cui consente il text and data mining soltanto a favore di soggetti espressamente autorizzati a estrarre e utilizzare tali informazioni per fini commerciali. Laddove, dunque, il titolare del dataset non esprima il proprio consenso, esercitando la facoltà di opt-out, non sarà possibile estrarre e utilizzare tali dati.
Emerge, dunque, a prima vista, una tensione strutturale tra le esigenze di trasparenza e quelle di segretezza proprie della tutela dei segreti industriali. Infatti, se tradizionalmente la tutela del know-how e dei segreti industriali si è fondata sulla non divulgazione dell’informazione, dall’altro lato il nuovo regolamento sull’intelligenza artificiale impone la rivelazione di informazioni che solitamente erano considerate riservate in quanto asset strategico di ogni azienda in grado di garantire un vantaggio competitivo.
Tale tensione, tuttavia, a un esame più puntuale risulta solo apparente: l’AI Act non richiede una divulgazione indiscriminata o pubblica, ma prevede una comunicazione dei dati e delle informazioni in forma controllata, indirizzata a destinatari qualificati.
Il baricentro si è, pertanto, spostato dal paradigma del “se divulgare” a “come e a chi divulgare”.
Reinterpretare la direttiva trade secrets alla luce della disclosure regolatoria
Ad oggi, dunque, è imprescindibile una rilettura sistematica e strategica della Direttiva UE 2016/943. Tale operazione interpretativa appare necessaria per armonizzare la disciplina sui segreti industriali con i nuovi principi che si sono progressivamente affermati nello scenario europeo, i quali impongono un bilanciamento tra tutela dell’informazione segreta e i crescenti obblighi di trasparenza introdotti dall’AI Act.
In tale prospettiva, la “segretezza”, ai sensi della disciplina sui segreti industriali, non può più essere intesa quale sinonimo di integrale assenza di trasparenza. Essa ricorre quando l’informazione
(i) non è generalmente nota o facilmente accessibile,
(ii) ha valore economico in quanto segreta e
(iii) è oggetto di misure ragionevoli per mantenerla tale; misure che, alla luce della disciplina dell’AI Act, possono continuare a operare anche dopo adempimenti di disclosure imposti dalla regolazione settoriale, purché la circolazione delle informazioni sia
(i) comunicata ai soli soggetti cui l’AI Act impone la disclosure,
(ii) contrattualmente protetta, ad esempio attraverso NDA, clausole di riservatezza, e tracciata, grazie all’uso di strumenti di controllo, quali sistemi di login, registri, ecc.
È in questo contesto che lo strumento di regulation-by-design assume un ruolo centrale: gli sviluppatori dei sistemi di intelligenza artificiale avranno il compito fondamentalmente di integrare la normativa direttamente nella progettazione e nello sviluppo di sistemi digitali, software e tecnologie. In questo modo la conformità alle leggi vigenti non è affidata a controlli ex post, ma viene progettata ex ante: gli obblighi di trasparenza e la tutela delle informazioni riservate diventano componenti intrinseche del ciclo di vita dei dati e dei processi decisionali, secondo un modello di compliance integrata che riconcilia, all’interno, interessi privati e istanze pubbliche.
Lo strumento di regulation-by-design risolve, quindi, quella tensione strutturale tra disclosure e riservatezza, che si trovano a coesistere.
Gli effetti operativi per fornitori e giuristi
Alla luce di quanto analizzato, risulta evidente che tale nuovo scenario normativo non richiede di prediligere trasparenza o segretezza. La nuova sfida che lo sviluppo di queste nuove tecnologie richiede agli operatori del mercato e ai legislatori è quella di far convivere queste nuove esigenze nello stesso contesto normativo.
Se da un lato i fornitori di modelli di intelligenza artificiale per finalità generali hanno l’obbligo di (i) redigere e mantenere aggiornata la documentazione tecnica del modello (processi di training e testing, risultati delle valutazioni) da tenere aggiornata e fornire, su richiesta, all’AI Office e alle autorità competenti; (ii) elaborare informazioni e documenti da mettere a disposizione degli integratori a valle affinché comprendano capacità e limiti del modello e possano adempiere ai propri obblighi; (iii) adottare una politica che garantisca il rispetto del diritto d’autore UE, individuando e rispettando eventuali riserve di diritti tramite anche tecnologie avanzate, come richiesto dall’art. 4 (3) della direttiva 2019/790; (iv) adottare una “sintesi sufficientemente dettagliata” del contenuto usato per l’addestramento, secondo il modello dell’AI Office; dall’altro lato, sebbene non possano sottrarsi alle richieste delle autorità, i fornitori di modelli di intelligenza artificiale per finalità generali, verso gli integratori a valle, possono limitare la comunicazione delle informazioni a quanto strettamente necessario ai sensi dell’AI Act e degli Allegati XI e XII. Non sono, infatti tenuti a rivelare informazioni strategiche, quali condizioni economiche, elenchi di clienti, strategie di mercato, elenco dettagliato dei dati usati nel training, di cui, tra l’altro, l’art. 53 impone solo una “sintesi sufficientemente dettagliata”.
Inoltre, nei rapporti con i soggetti che integrano, a valle, il modello di AI nei propri sistemi è possibile regolare la disclosure di dati e informazioni imposta dall’AI Act attraverso lo strumento contrattuale, quindi con NDA e previsioni di misure tecniche e organizzative, che garantiscono in ogni caso la tutela IP.
In questo nuovo scenario diventano, evidentemente, centrali due figure: il fornitore/sviluppatore di modelli di intelligenza artificiale e il giurista.
Il primo è chiamato a integrare la compliance-by-design nella progettazione e nella documentazione del modello: rendendo accessibili in modo selettivo le informazioni la cui disclosure è richiesta dall’AI Act (descrizione del modello, capacità e limiti, formato e modelli di input e output, fasi e processi rilevanti), e predisponendo al contempo regole, sistemi e processi di accesso controllato per dati e informazioni segrete, quali ad esempio, classificazione delle informazioni, diversificazione dei livelli di accesso, sistemi di autenticazione.
Il giurista, in parallelo, ha il compito di disciplinare contrattualmente, in forma chiara e dettagliata,
(i) quali dati e informazioni costituiscano segreti industriali, e in ogni caso quali sono da considerare come informazioni riservate,
(ii) quali obblighi gravino sugli operatori a valle per essere compliant con l’AI Act e con la normativa sui segreti commerciali e sul copyright, e
(iii) quali misure tecniche e organizzative siano idonee a preservarne la riservatezza, definendo anche verifiche, rimedi e responsabilità.
In sintesi: la trasparenza diventa progettazione della disclosure, mentre la tutela del know-how si realizza mediante accesso selettivo, misure di sicurezza e contrattualizzazione strutturata.
