L’intelligenza artificiale generativa costituisce una delle innovazioni tecnologiche più rilevanti degli ultimi anni, con implicazioni dirette sul piano giuridico, economico e sociale. Strumenti come ChatGPT, sviluppato da OpenAI, e Microsoft Copilot, integrato nella suite Microsoft 365, si stanno rapidamente affermando come soluzioni di supporto alla redazione di testi, analisi di contenuti e sintesi automatica di documenti.
Sebbene tali strumenti perseguano finalità simili, essi si differenziano significativamente per modalità di funzionamento, struttura e impostazione tecnico-organizzativa. Queste divergenze assumono rilievo giuridico in relazione a tre ambiti particolarmente sensibili: la conformità al Regolamento (UE) 2016/679 (GDPR) in materia di trattamento dei dati personali, l’accuratezza e attendibilità degli output generati e la titolarità giuridica dei contenuti prodotti.
Indice degli argomenti
Profili di liceità e trasparenza nel trattamento dei dati: l’approccio di ChatGPT e Copilot
Uno degli aspetti centrali nel dibattito sull’utilizzo dei sistemi di intelligenza artificiale generativa attiene alla legittimità del trattamento dei dati personali, sia nella fase di addestramento dei modelli che in quella, successiva, di utilizzo interattivo.
Il caso ChatGPT, oggetto di approfondita istruttoria da parte del Garante per la protezione dei dati personali nel corso del 2023[1], costituisce un esempio paradigmatico delle criticità emergenti in tale contesto. Con provvedimento dell’11 aprile 2023, adottato a seguito della sospensione provvisoria del trattamento disposta il 30 marzo, l’Autorità ha contestato a OpenAI la violazione di plurime disposizioni del Regolamento (UE) 2016/679 (GDPR).
In sintesi, il Garante ha rilevato l’assenza di una base giuridica idonea per il trattamento dei dati personali, ivi inclusi quelli eventualmente particolari, utilizzati per finalità di addestramento del modello, nonché la carenza di un’adeguata informativa agli interessati e l’inadeguatezza delle misure tecniche e organizzative implementate per garantire l’esattezza dei dati e la tutela dei diritti degli interessati.
A tal fine, sono state imposte a OpenAI specifiche misure correttive, tra cui: la pubblicazione di un’informativa in posizione accessibile prima della registrazione; la predisposizione di strumenti per l’esercizio dei diritti di opposizione, rettifica e cancellazione; la modifica della base giuridica del trattamento, da contratto a consenso o legittimo interesse; l’implementazione di un meccanismo di verifica dell’età per escludere i minori; e l’avvio di una campagna informativa concordata con l’Autorità.
Con comunicazione del 28 aprile 2023, OpenAI ha dichiarato di aver adempiuto a tali prescrizioni, introducendo, tra l’altro, un form per l’opt-out dal trattamento per finalità di training, un age gate, e una nuova privacy policy dedicata, oltre a individuare il legittimo interesse quale base giuridica del trattamento. Nonostante tali adempimenti, l’Autorità ha ritenuto permanere alcune criticità, tra cui l’opacità iniziale della base giuridica adottata e l’assenza di concertazione nella campagna informativa.
Tale quadro, caratterizzato da interventi correttivi successivi e da un’impostazione ancora suscettibile di rilievi in punto di trasparenza e accountability, evidenzia una differenza metodologica rispetto all’approccio adottato da Microsoft nella progettazione e distribuzione del proprio assistente Copilot, integrato nella suite Microsoft 365. In particolare, sotto il profilo dell’impiego dei dati personali a fini di addestramento, è necessario distinguere tra la versione consumer di ChatGPT e le soluzioni entreprise di entrambe le società.
Nel caso di ChatGPT, la versione per utenti consumer prevede un opt-out, attivabile tramite le impostazioni dell’account, che consente agli utenti di escludere i propri dati dal miglioramento del modello. Tuttavia, in assenza di una disattivazione esplicita, i dati sono trattati per finalità di training, secondo quanto indicato da OpenAI nelle policy ufficiali[2].
Diversamente, sia Copilot per Microsoft 365 sia ChatGPT nella versione Enterprise adottano per impostazione predefinita un approccio che esclude l’utilizzo dei dati degli utenti per addestrare i modelli generativi[3].
In particolare, Microsoft Copilot si distingue per un’architettura tecnica e organizzativa che isola i dati dei singoli tenant, limitando l’elaborazione dei contenuti immessi alle sole finalità operative (inferenza) e non persistenti[4]. Tale impostazione appare maggiormente conforme ai principi di privacy by design e by default, oltre che ai requisiti di trasparenza, minimizzazione e liceità del trattamento, attenuando il rischio di trattamenti incompatibili con l’art. 5, par. 1, lett. b) e c) GDPR.
Affidabilità degli output nei modelli di intelligenza artificiale generativa
L’attendibilità delle risposte fornite dai modelli generativi rappresenta un profilo di criticità trasversale, soprattutto nei contesti professionali in cui le informazioni elaborate dall’intelligenza artificiale possono influenzare decisioni giuridicamente rilevanti o generare affidamenti qualificati in capo agli utenti. Il fenomeno delle cosiddette allucinazioni algoritmiche, ossia la produzione di contenuti errati, inesatti o privi di riscontro nella realtà, è connesso alla logica probabilistica che guida l’elaborazione dei Large Language Models (LLM) e costituisce una delle loro principali vulnerabilità.
Il rischio di generazione di contenuti inaccurati o fuorvianti è particolarmente rilevante nel caso di ChatGPT, la cui versione pubblica si basa su un corpus linguistico ampio ma generico, non sempre adeguato a fornire risposte attendibili in contesti specialistici. In assenza di garanzie strutturate in merito all’accuratezza degli output, si pongono profili critici sotto il versante della trasparenza e dell’accountability, specie quando l’IA è utilizzata per supportare attività con impatti giuridici, economici o reputazionali rilevanti. Tali problematiche assumono un rilievo ancora maggiore se lette alla luce del quadro normativo europeo, in cui il rispetto dei diritti fondamentali e dei principi di non discriminazione costituisce un presupposto imprescindibile per lo sviluppo e l’utilizzo di sistemi di intelligenza artificiale.
La crescente complessità e l’opacità tecnica di molte applicazioni basate su LLM, pongono infatti rilevanti interrogativi in termini di responsabilità giuridica, comprensibilità e controllo degli output. L’AI Act adotta, in questo senso, un approccio dichiaratamente antropocentrico, imponendo, obblighi stringenti in materia di trasparenza, tracciabilità e responsabilizzazione sin dalla fase di progettazione (by design)[5].
In particolare, viene richiesto che tali sistemi garantiscano un controllo umano significativo, la possibilità per l’utente di comprendere e contestualizzare l’output ricevuto, nonché l’adozione di misure tecniche e organizzative idonee a contenere l’impatto di eventuali errori sistemici. Inoltre, qualora si verifichino violazioni o disfunzioni, le autorità competenti devono poter accedere a informazioni complete e documentate, necessarie per accertare la conformità dell’utilizzo del sistema al diritto dell’Unione[6].
Diritto d’autore e proprietà intellettuale in Chatgpt e Copilot
L’utilizzo di modelli linguistici di grandi dimensioni (LLM) solleva rilevanti questioni in materia di proprietà intellettuale e diritto d’autore, sia nella fase di addestramento che in quella di generazione degli output. Tali criticità sono emerse nel caso New York Times vs OpenAI e Microsoft, avviato nel dicembre 2023[7] presso il tribunale federale di Manhattan. Il quotidiano statunitense ha contestato la violazione dei propri diritti esclusivi, denunciando l’uso massivo e non autorizzato di articoli coperti da copyright per addestrare i modelli alla base di ChatGPT e Copilot, nonché la capacità dei sistemi di generare, su richiesta, contenuti sostanzialmente identici a quelli originali. La causa ha rilanciato il dibattito sulla legittimità dell’uso di dataset non trasparenti e sulla necessità di meccanismi efficaci di tutela per i titolari dei diritti.
Anche nel contesto europeo, la questione presenta profili di complessità, in particolare all’ art. 4 della Direttiva (UE) 2019/790 (Direttiva DSM) si prevede un’eccezione al diritto di esclusiva degli autori e degli altri titolari di diritti, consentendo l’uso di opere protette ai fini del text and data mining (TDM). Questa eccezione si applica anche agli operatori privati, a condizione che i titolari dei diritti non abbiano espressamente riservato tale utilizzo, ad esempio tramite clausole contrattuali o strumenti tecnologici di protezione. In altre parole, in assenza di una riserva esplicita, è possibile effettuare la riproduzione e l’estrazione automatizzata di contenuti protetti per finalità di analisi e ricerca.
Tuttavia, molti fornitori di sistemi di intelligenza artificiale generativa continuano ad addestrare i propri modelli su grandi quantità di dati raccolti online, come articoli, codici, immagini o post, senza un adeguato controllo sulla titolarità dei contenuti e senza garantire la trasparenza o la tracciabilità dell’origine dei dati. Tali prassi risultano problematiche non solo alla luce della normativa sul diritto d’autore, ma anche rispetto ai requisiti di trasparenza e tracciabilità imposti dall’AI Act e agli obblighi di controllo dei contenuti previsti dal Digital Services Act (DSA), secondo cui le piattaforme digitali che ospitano o veicolano contenuti generati da utenti o da sistemi automatizzati sono soggette a specifici obblighi di controllo e trasparenza, che richiedono l’adozione di misure atte a prevenire l’uso illegittimo e la diffusione di contenuti protetti o illeciti[8]. Questi obblighi rafforzano l’aspettativa di una gestione responsabile dei contenuti, anche da parte dei fornitori di modelli generativi, soprattutto quando gli output possono riprodurre o rielaborare opere protette.
L’architettura di ChatGPT riflette tale impostazione: il sistema è addestrato su dati generici reperiti dalla rete fino a una certa data, non accessibili né verificabili dall’utente[9]. Nei Termini di utilizzo, OpenAI riconosce formalmente all’utente “tutti i diritti, titoli e interessi” sull’output generato, ma precisa che tali contenuti non sono garantiti come unici o originali e potrebbero coincidere con quelli di altri utenti [10]. Inoltre, OpenAI esclude espressamente ogni responsabilità circa la liceità dei contenuti rispetto ai diritti di terzi, sollevando interrogativi sulla concreta possibilità di invocare la tutela autoriale o la titolarità esclusiva dell’output. La natura statistico-predittiva del sistema e l’assenza di fonti verificabili accrescono il rischio, per l’utente, di incorrere in violazioni involontarie di copyright. Per esempio, l’output potrebbe risultare “ispirato” a opere esistenti, senza che l’utente abbia gli strumenti per accertarne l’origine o valutare la liceità del riutilizzo.
D’altra parte, Copilot, integrato nella suite Microsoft 365, adotta un approccio sensibilmente diverso. Il sistema è progettato per operare principalmente su contenuti aziendali interni (es. documenti in OneDrive, SharePoint, Outlook), riducendo l’interazione con dataset pubblici non controllati. Microsoft ha inoltre adottato un modello contrattuale proattivo, impegnandosi formalmente a difendere i propri clienti commerciali da eventuali pretese di violazione della proprietà intellettuale, a condizione che l’utilizzo avvenga in conformità con le policy[11].
Sul versante opposto, resta aperta la questione della tutela giuridica degli output generati. Le autorità europee e internazionali (tra cui EUIPO e U.S. Copyright Office) concordano nel ritenere che i contenuti prodotti autonomamente da un sistema di AI non possano beneficiare della protezione autorale, in quanto privi del requisito essenziale della creatività umana. Ne deriva che, in assenza di un apporto originale e creativo dell’utente, l’output generato è considerato privo di titolarità esclusiva, esponendo l’utilizzatore a incertezza giuridica.
Tale contesto impone cautele significative, in particolare per l’uso professionale e pubblico degli output. Il rischio di diffondere contenuti non affidabili o potenzialmente lesivi di diritti altrui è reale, anche a causa della mancata attribuzione automatica delle fonti, nonostante l’utilità operativa dei sistemi generativi in ambito IP, ad esempio, per la ricerca giuridica, la traduzione di documentazione brevettuale o la redazione assistita di testi legali.
Sfide e prospettive per l’uso consapevole di Chatgpt e Copilot
L’evoluzione e la diffusione dei modelli linguistici di grandi dimensioni impongono una riflessione approfondita sulle implicazioni giuridiche, etiche e operative dell’intelligenza artificiale generativa. Strumenti come ChatGPT e Microsoft Copilot rappresentano soluzioni tecnologiche profondamente diverse per architettura, finalità e livello di affidabilità, con effetti concreti sul modo in cui imprese e utenti interagiscono con l’AI e ne incorporano l’uso nei propri processi. In assenza di un quadro normativo completamente armonizzato e operativo, emerge la necessità di adottare un approccio consapevole e informato, che tenga conto non solo delle opportunità offerte dall’innovazione, ma anche dei limiti e dei rischi connessi, specie nei contesti professionali e regolamentati. La sfida, oggi, consiste nel bilanciare l’efficienza e la produttività garantite da questi strumenti con le esigenze inderogabili di trasparenza, responsabilità e tutela dei diritti fondamentali.
Note
[1] Garante per la protezione dei dati personali, Provvedimento del 30 marzo 2023, “Limitazione provvisoria del trattamento nei confronti di OpenAI L.L.C.”, e successivo provvedimento del 10 aprile 2023 con prescrizioni per la riattivazione di ChatGPT in Italia. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870847
[2]OpenAI consumer:https://help.openai.com/en/articles/7730893-data-controls-faq?utm_source=chatgpt.com
[3] OpenAI enterprise: https://openai.com/it-IT/enterprise-privacy/?utm_source=chatgpt.com; https://openai.com/it-IT/business-data/?utm_source=chatgpt.com.
[4]Copilot: https://learn.microsoft.com/it-it/power-platform/faqs-copilot-data-security-privacy
[5]Linee guida etiche per un’intelligenza artificiale affidabile https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai
[6] FAQ Commissione Europea: https://ec.europa.eu/commission/presscorner/detail/it/qanda_21_1683
[7] The New York Times Company v. Microsoft Corporation and OpenAI Inc. (U.S. District Court, Southern District of New York, dicembre 2023).
[8] Gli obblighi di controllo dei contenuti previsti dal Digital Services Act (Regolamento (UE) 2022/2065, in vigore dal 17 febbraio 2024) si trovano nel Capitolo III, sezioni Articles 16–24 (obblighi generali di moderazione, trasparenza, segnalazione).
[9]Help Desk Commissione Europea https://intellectual-property-helpdesk.ec.europa.eu/news events/news/intellectual-property-chatgpt-2023-02-20_en.
[10] https://openai.com/it-IT/policies/terms-of-use/.
[11]https://blogs.microsoft.com/on-the-issues/2023/09/07/copilot-copyright-commitment-ai-legal-concerns/
