Intelligenza artificiale e rischi legali per l’impresa
Marco Tupponi
Ottobre 2025
Area Legale
tupponi@tupponi-demarinis.it

A seguito del Regolamento UE n. 1689 del 1° agosto 2024 – AI Act – le imprese che adottano l’Intelligenza Artificiale devono essere particolarmente attente ai contratti con i fornitori onde evitare rischi legali, le violazioni dei diritti e la dispersione di dati sensibili derivanti da un utilizzo non regolamentato.

L’uso dell’intelligenza artificiale nelle imprese è spesso ancora poco strutturato e regolamentato, con moltissime realtà che non hanno definito chiaramente le regole per il suo impiego. Questo le espone a diversi rischi legali e operativi, tra cui l’uso improprio di dati confidenziali o la violazione dei diritti di terzi da parte di dipendenti o collaboratori.

Rischi principali

Il datore di lavoro è responsabile per le azioni dei propri dipendenti nell’ambito lavorativo, con nuove norme penali in arrivo che aggravano la responsabilità in caso di uso improprio dell’IA.

L’utilizzo di sistemi AI ad accesso libero (es. ChatGPT – Perplexity – Gemini) nell’impresa può comportare rischi legati agli aspetti legali e alla dispersione involontaria di know-how, poiché i dati inseriti vengono raccolti e riutilizzati dal fornitore.

Affidarsi a professionisti specializzati nell’adottare soluzioni contrattuali o sistemi sviluppati su misura può offrire maggior controllo e protezione, mettendo al riparo dalle sanzioni che il Regolamento 1689 impone agli Enti che non si sono adeguati alle nuove regole UE.

Ecco alcuni consigli che schematicamente mi sento di dare:

Clausole contrattuali essenziali

Verifica e garanzia della liceità e qualità della formazione dei modelli AI.

Protezione del know-how aziendale con clausole specifiche per evitare l’uso improprio dei dati immessi nel sistema.

Diritti d’uso degli output, con clausole che garantiscono all’impresa la proprietà esclusiva e la possibilità di utilizzo commerciale.

Gestione dell’accesso, sicurezza dei dati e continuità del servizio, con regolazione delle credenziali e garanzie tecniche di affidabilità.

Assegnazione delle responsabilità e clausole di manleva, con specifica attenzione alle responsabilità in caso di violazione dei diritti terzi e limiti di responsabilità economica.

Definizione di legge applicabile e foro competente, spesso sfavorevoli per l’impresa, che devono essere attentamente negoziati.

Linee guida strategiche

Le imprese devono implementare linee guida interne chiare per l’utilizzo responsabile dell’intelligenza artificiale e formare adeguatamente il personale come previsto obbligatoriamente dall’art. 4 del AI Act/2024.

È fondamentale avviare una gestione attenta sia dal punto di vista contrattuale sia operativo per sfruttare al meglio le potenzialità dell’IA senza incorrere in rischi legali o di sicurezza.

Clausole contrattuali essenziali per i contratti AI nell’impresa

Le imprese devono inserire clausole specifiche nei contratti con i fornitori di sistemi AI per gestire responsabilità, rischi e diritti.

La Commissione Europea ha formalizzato le Clausole Contrattuali Tipo per l’AI (CCT-IA), distinguendo tra sistemi “light” e quelli soggetti agli obblighi dell’AI Act.

Queste clausole mirano a definire chiaramente i ruoli e le responsabilità di fornitori e utenti, con particolare attenzione alle seguenti aree:

  1. Liceità del training del modello: verifica che l’addestramento dell’AI sia stato fatto con dati leciti, pubblici o correttamente licenziati, per evitare violazioni di diritti di terzi.
  2. Qualità e affidabilità dei dataset: controllo dei dati usati per addestrare il sistema, per ridurre errori o “allucinazioni” di output, fondamentali in applicazioni critiche come documenti legali o medici.
  3. Garanzie sugli output: assicurazione che gli output generati siano originali e non violino diritti esclusivi di terzi, garantendo all’impresa il diritto esclusivo d’uso, sfruttamento e cessione commerciale.
  4. Inoltre, per i contratti SaaS (le licenze SaaS sono un sistema di fornitura di software ai clienti in cambio di una tariffa mensile. Il modello di licenze SaaS – Software as-a-Service – è simile al pagamento di un affitto: le imprese possono utilizzare il software a lungo termine finché continuano a effettuare pagamenti mensili) di AI, è essenziale prevedere clausole di monitoraggio e controllo degli errori post-generazione degli output e clausole di indennizzo e manleva che regolino chiaramente le responsabilità, soprattutto per violazioni dei diritti d’autore o uso illecito dei dati.

Rischi legali rilevanti per l’uso non regolamentato

L’uso non controllato di sistemi AI, specie quelli ad accesso libero, espone l’impresa a molteplici rischi legali:

Violazioni della privacy e protezione dei dati: immissione di dati sensibili o confidenziali nei sistemi AI può comportare violazioni del GDPR e sanzioni particolarmente elevate.

Responsabilità del datore di lavoro: il datore è responsabile per le azioni dei propri dipendenti che utilizzano AI, inclusa la responsabilità penale per eventuali usi illeciti secondo la normativa vigente e le nuove disposizioni legislative specifiche anche italiane (Disegno di Legge n. 1146 sull’intelligenza artificiale approvato definitivamente dal Senato).

Rischio di perdita o dispersione di know-how: i dati forniti dagli utenti sono spesso utilizzati per il training del sistema da parte del fornitore, mettendo a rischio le informazioni riservate aziendali, salvo che non vengano sottoscritti contratti con clausole di esclusione di tale utilizzo (tipiche degli accordi enterprise).

Impostare regole d’uso interne e adottare contratti con clausole stringenti è quindi fondamentale per la gestione del rischio legale aziendale.

Protezione del know-how aziendale nei contratti AI

Il know-how rappresenta un asset strategico da tutelare con strumenti specifici, sia organizzativi che contrattuali:

Accordi di non divulgazione (NDA) e clausole di riservatezza sono indispensabili per evitare divulgazioni non autorizzate.

È necessario prevedere misure di sicurezza che vietino l’uso improprio dei dati aziendali attraverso la AI, come limiti all’accesso e specifiche garanzie contrattuali.

La protezione del know-how si estende anche all’organizzazione interna, con regolamenti e policy per prevenire la fuoriuscita di informazioni riservate.

Gli strumenti giuridici previsti dal Codice della Proprietà Industriale e la Direttiva UE 2016/943 forniscono una solida base normativa per la salvaguardia del know-how e dei segreti commerciali.

Altri aspetti strategici e operativi

Diritti d’uso e conflitti sugli output generati: i contratti devono garantire all’impresa la piena titolarità degli output creati dagli utenti interni, ma la possibile somiglianza di output tra utenti diversi può creare criticità di proprietà intellettuale da gestire.

Accesso, sicurezza e continuità del servizio: clausole relative alla gestione delle credenziali, protezione contro attacchi informatici, e garanzia di disponibilità e aggiornamento del sistema sono cruciali.

Giurisdizione e legge applicabile: spesso i contratti impongono leggi e fori esteri, difficili e costosi da contestare, per cui è importante negoziare tali aspetti o prevedere soluzioni di ADR.

Formazione e linee guida interne: per mitigare i rischi legali, le imprese devono creare linee guida interne e programmi di formazione per sensibilizzare il personale sull’uso corretto e consapevole dell’AI.

Questo approfondimento evidenzia come sia essenziale una gestione integrata tra contratti ben strutturati, tutela del patrimonio informativo, e consapevolezza operativa per adottare l’intelligenza artificiale nell’impresa in modo sicuro e conforme alle normative vigenti.