Pulsantiera di navigazione Home Page
Pagina Facebook Pagina Linkedin Canale Youtube Versione italiana
Aree di pratica
Servzi legali specialistici in materia di AI.

Intelligenza Artificiale

Servzi legali specialistici in materia di AI.

Intelligenza Artificiale: governance, compliance e contratti

L’Intelligenza Artificiale è ormai parte dei processi decisionali, produttivi e commerciali delle imprese. Sistemi predittivi, strumenti generativi, applicazioni di automazione, soluzioni di profilazione, assistenti virtuali e modelli per finalità generali vengono utilizzati nello sviluppo di prodotti, nella gestione dei clienti, nel marketing, nella selezione del personale, nella sicurezza informatica e nel supporto alle attività professionali.

L’adozione dell’IA richiede tuttavia scelte che non possono essere affidate esclusivamente alle funzioni tecniche o alle condizioni standard predisposte dai fornitori. Occorre individuare il ruolo assunto dall’impresa, classificare correttamente il sistema, verificare i dati utilizzati, distribuire le responsabilità contrattuali, predisporre misure di controllo umano e documentare le valutazioni effettuate.

L’Avv. Alessandro del Ninno assiste imprese, gruppi societari, operatori regolamentati, sviluppatori e fornitori tecnologici nella progettazione, acquisizione, integrazione e utilizzo di sistemi e modelli di Intelligenza Artificiale. L’assistenza coordina il Regolamento (UE) 2024/1689 – AI Act con la Legge 23 settembre 2025, n. 132, i relativi provvedimenti attuativi, il GDPR, il Data Act, la disciplina della cybersecurity, il diritto d’autore, la tutela dei segreti commerciali, il diritto del lavoro e le normative settoriali applicabili.

L’attività tiene conto anche della prassi sviluppata a livello europeo attraverso le linee guida della Commissione, gli orientamenti dell’AI Office, i codici di buone pratiche, i modelli documentali e gli strumenti interpretativi progressivamente adottati per accompagnare l’applicazione dell’AI Act. Il monitoraggio comprende inoltre l’evoluzione normativa e le proposte di modifica e semplificazione del quadro europeo, incluse quelle riconducibili al Digital Omnibus sull’IA.

L’obiettivo è consentire alle imprese di utilizzare l’IA in modo innovativo ma governato, trasformando gli obblighi normativi in procedure, contratti, responsabilità e controlli concretamente applicabili.

Governance, inventario e classificazione dei sistemi di IA

L’assistenza può iniziare dal censimento dei sistemi e dei modelli di IA già utilizzati o programmati dall’organizzazione. Molte imprese impiegano funzionalità di IA incorporate in applicazioni HR, CRM, strumenti di marketing, piattaforme cloud, software di sicurezza, sistemi di analisi o applicazioni professionali senza disporre di una visione complessiva dei casi d’uso e dei relativi rischi.

L’Avv. Alessandro del Ninno supporta la predisposizione di inventari e registri dei sistemi di IA, ricostruendo le finalità perseguite, le funzioni coinvolte, i dati utilizzati, i fornitori, gli utenti interni, i soggetti sui quali il sistema produce effetti e le eventuali integrazioni con processi decisionali aziendali.

Ogni sistema viene valutato alla luce della definizione di sistema di IA e classificato in funzione del rischio e del contesto di utilizzo. L’analisi consente di distinguere i software tradizionali dai sistemi effettivamente soggetti all’AI Act e di individuare pratiche vietate, sistemi ad alto rischio, obblighi di trasparenza o utilizzi per i quali sono sufficienti misure organizzative proporzionate.

Viene inoltre qualificato il ruolo dell’impresa quale fornitore, deployer, importatore, distributore, rappresentante autorizzato o fornitore a valle. Particolare attenzione è dedicata alle ipotesi nelle quali l’impresa, modificando un sistema, apponendovi il proprio nome o marchio o cambiandone la finalità, può assumere le responsabilità proprie del fornitore.

L’attività si conclude con una matrice dei ruoli e degli obblighi e con una roadmap di adeguamento graduata in base al rischio, alle scadenze applicabili e alla rilevanza dei progetti per il business.

Pratiche vietate, sistemi ad alto rischio e obblighi di trasparenza

L’Avv. Alessandro del Ninno assiste le imprese nella verifica preventiva dei casi d’uso che possono rientrare tra le pratiche vietate dall’AI Act, comprese le applicazioni fondate su tecniche manipolative, sfruttamento delle vulnerabilità, social scoring, categorizzazioni biometriche particolarmente invasive, riconoscimento delle emozioni in contesti vietati o raccolta indiscriminata di immagini facciali.

L’analisi consente di distinguere gli utilizzi radicalmente incompatibili con la normativa dai sistemi che possono essere sviluppati o utilizzati adottando le misure richieste. Ciò permette di evitare sia il blocco ingiustificato di progetti leciti sia investimenti in tecnologie che non potrebbero essere commercializzate o impiegate nelle condizioni previste.

Per i sistemi ad alto rischio, l’assistenza riguarda l’individuazione e l’attuazione degli obblighi effettivamente applicabili in funzione del ruolo dell’impresa, del sistema utilizzato e del settore interessato.

I fornitori vengono supportati nella predisposizione del sistema di gestione dei rischi, della governance dei dati, della documentazione tecnica, delle registrazioni automatiche, delle istruzioni d’uso e delle misure di supervisione umana. L’assistenza comprende inoltre i requisiti di accuratezza, robustezza e cybersecurity, il sistema di gestione della qualità, il monitoraggio successivo all’immissione sul mercato, la valutazione di conformità, la gestione delle modifiche sostanziali e la segnalazione degli incidenti gravi.

Per i deployer vengono definite procedure relative all’utilizzo conforme alle istruzioni, alla sorveglianza umana, alla verifica dei dati di ingresso, al controllo degli output, alla conservazione delle registrazioni e alla sospensione dell’impiego quando emergano rischi non adeguatamente controllati.

Quando richiesto, viene predisposta la Valutazione d’impatto sui diritti fondamentali, coordinandola con la Data Protection Impact Assessment prevista dal GDPR. L’integrazione tra le due valutazioni consente di affrontare congiuntamente i rischi relativi alla protezione dei dati, alla discriminazione, all’accesso ai servizi, alla dignità delle persone e alla possibilità di comprendere o contestare le decisioni.

L’assistenza riguarda anche gli obblighi di trasparenza applicabili a chatbot, assistenti virtuali, sistemi di riconoscimento delle emozioni e contenuti generati o manipolati mediante IA. Per deepfake, immagini, audio, video e testi sintetici vengono individuate soluzioni di marcatura, etichettatura e informazione coerenti con l’articolo 50 dell’AI Act e con i pertinenti codici di buone pratiche europei.

Intelligenza Artificiale generativa e modelli per finalità generali

L’utilizzo di modelli generativi richiede di distinguere tra chi sviluppa il modello, chi lo modifica o sottopone a fine-tuning, chi lo integra in un proprio prodotto e chi lo utilizza come strumento aziendale.

L’Avv. Alessandro del Ninno assiste fornitori di modelli di IA per finalità generali, sviluppatori di applicazioni a valle e imprese utilizzatrici nella qualificazione dei rispettivi ruoli e nella definizione degli obblighi applicabili.

Per i fornitori di modelli, l’assistenza riguarda la documentazione tecnica, le informazioni da rendere disponibili ai soggetti a valle, le politiche per il rispetto del diritto d’autore e la predisposizione della sintesi dei contenuti utilizzati per l’addestramento. Per i modelli con rischio sistemico vengono esaminate anche le procedure di valutazione e mitigazione dei rischi, i test avversariali, le misure di cybersecurity e la gestione degli incidenti.

L’attività tiene conto del Codice di buone pratiche volontario per i modelli di IA per finalità generali, riconosciuto a livello europeo quale strumento di supporto alla dimostrazione della conformità agli obblighi dell’AI Act. Le misure previste in materia di trasparenza, diritto d’autore, sicurezza e rischi sistemici vengono adattate alla posizione concreta dell’operatore e alle caratteristiche del modello.

Per le imprese che acquistano o utilizzano servizi di IA generativa, l’assistenza si concentra sulle condizioni relative a prompt, input e output, sulla possibilità che i dati aziendali siano riutilizzati per addestrare o migliorare il modello, sulle garanzie riguardanti i contenuti generati e sulla disponibilità delle informazioni necessarie per adempiere agli obblighi verso clienti, dipendenti e autorità.

Contratti, procurement e supply chain dell’IA

La conformità di un progetto di IA dipende spesso dalle informazioni e dalle garanzie che l’impresa riesce a ottenere dal fornitore. Contratti predisposti per servizi software tradizionali possono risultare inadeguati rispetto ai rischi connessi alla qualità dei dati, all’evoluzione dei modelli, agli output generati e alla distribuzione dei ruoli prevista dall’AI Act.

L’Avv. Alessandro del Ninno assiste le imprese nella selezione e valutazione dei fornitori attraverso due diligence, questionari di assessment, esame della documentazione tecnica e revisione delle condizioni contrattuali.

L’attività viene differenziata in relazione al tipo di progetto: acquisto e utilizzo di sistemi di IA, sviluppo su commessa, integrazione di modelli in prodotti propri, distribuzione di sistemi sviluppati da terzi o fornitura al mercato di sistemi e modelli proprietari.

I contratti disciplinano il ruolo assunto dalle parti, le finalità e i limiti di utilizzo, le caratteristiche dichiarate del sistema, i livelli di accuratezza, la sicurezza, la supervisione umana, gli aggiornamenti e le modifiche sostanziali.

Vengono inoltre regolati l’accesso alla documentazione e ai log, gli obblighi di cooperazione, i diritti di audit, la gestione dei subfornitori, la provenienza dei dataset, il rispetto del diritto d’autore, la titolarità degli input e degli output, l’utilizzo dei dati del cliente per l’addestramento, la gestione degli incidenti e le condizioni di uscita.

Particolare attenzione è dedicata alle clausole relative a responsabilità, manleve e contestazioni di terzi, evitando che l’impresa utilizzatrice assuma rischi che dipendono dal funzionamento del modello, dalla qualità della documentazione o dalle scelte tecniche del fornitore.

Nei rapporti tra fornitori di modelli per finalità generali e sviluppatori a valle, viene verificato che le informazioni e le garanzie trasferite siano sufficienti a consentire l’integrazione del modello e la successiva commercializzazione del sistema in condizioni di conformità.

Dati personali, dataset e proprietà intellettuale

Quando un sistema di IA utilizza dati personali, l’AI Act deve essere applicato congiuntamente al GDPR e al Codice Privacy.

L’assistenza comprende la verifica delle basi giuridiche, delle finalità, della minimizzazione, della conservazione, della trasparenza e dei diritti degli interessati. Particolare attenzione viene riservata alla profilazione, alle decisioni automatizzate e ai sistemi che producono effetti giuridici o incidono significativamente sulle persone.

La DPIA viene coordinata con la classificazione del sistema ai sensi dell’AI Act e, quando necessario, con la Valutazione d’impatto sui diritti fondamentali. Vengono esaminati la rappresentatività dei dataset, i rischi di discriminazione, la provenienza dei dati, le attività di web scraping, le possibilità di reidentificazione e l’eventuale utilizzo di categorie particolari di dati per la verifica e la correzione dei bias.

L’Avv. Alessandro del Ninno assiste inoltre le imprese nella verifica dei diritti necessari per utilizzare dataset, software, modelli, contenuti, prompt e output. L’attività coordina la disciplina dell’IA con il diritto d’autore, il text and data mining, il diritto sulle banche dati e la tutela dei segreti commerciali.

Vengono predisposte policy per il rispetto delle riserve formulate dai titolari dei diritti, analizzati i rischi di generazione di output simili a opere o marchi di terzi e negoziate le garanzie contrattuali relative all’utilizzo commerciale dei risultati prodotti dal sistema.

Legge n. 132/2025 e discipline settoriali

La Legge 23 settembre 2025, n. 132 integra il quadro europeo con principi, disposizioni settoriali e deleghe al Governo rilevanti per l’impiego dell’IA in Italia.

L’assistenza riguarda l’applicazione delle regole nazionali nei settori del lavoro, della sanità, della ricerca, delle professioni intellettuali, della pubblica amministrazione, dell’attività giudiziaria, dell’informazione e della proprietà intellettuale.

Nei rapporti di lavoro vengono valutati i sistemi utilizzati per selezione, gestione, assegnazione di compiti, controllo e valutazione delle prestazioni, coordinando AI Act, GDPR, normativa lavoristica e obblighi di informazione.

Per i professionisti vengono definite le modalità con cui l’IA può essere utilizzata come strumento di supporto, preservando l’autonomia, la responsabilità e il rapporto fiduciario con il cliente. Nei settori sanitario, assicurativo, bancario e nei servizi essenziali vengono analizzati i limiti all’automazione, la qualità dei dati, la supervisione umana e la possibilità di contestare gli esiti prodotti.

L’assistenza comprende il monitoraggio e l’attuazione dei decreti legislativi e degli ulteriori provvedimenti adottati in attuazione della Legge n. 132/2025, con particolare attenzione ai poteri delle autorità nazionali, alle responsabilità civili e penali, alla formazione e agli utilizzi dell’IA nei settori sensibili.

AI literacy, policy interne e formazione

Anche le imprese che non sviluppano sistemi di IA devono governarne l’utilizzo da parte di dipendenti e collaboratori. L’inserimento di informazioni riservate in servizi esterni, l’uso di output non verificati, la riproduzione di contenuti protetti o la delega di decisioni a strumenti non adeguatamente controllati possono generare responsabilità significative.

L’Avv. Alessandro del Ninno assiste nella predisposizione di policy aziendali che individuano gli strumenti autorizzati, gli utilizzi consentiti, i dati che possono essere trattati e le attività soggette ad approvazione preventiva.

Le policy disciplinano la protezione delle informazioni confidenziali, il controllo umano degli output, la gestione degli errori e delle allucinazioni, il rispetto dei diritti di proprietà intellettuale, la conservazione dei prompt e la verifica delle fonti.

Vengono inoltre progettati programmi di AI literacy dimensionati in funzione del ruolo dell’impresa, delle competenze del personale, del contesto di utilizzo e dei rischi dei sistemi impiegati. La formazione può essere differenziata per organi di amministrazione, management, sviluppatori, funzioni Legal e Compliance, HR, Marketing, Procurement, IT, Cybersecurity e utilizzatori finali.

L’obiettivo è rendere il personale capace di utilizzare gli strumenti in modo consapevole, riconoscere i limiti degli output e comprendere quando sia necessario coinvolgere le funzioni legali, tecniche o di controllo.

Sperimentazione, due diligence e operazioni societarie

L’assistenza può accompagnare l’impresa fin dalle fasi di sviluppo e sperimentazione, quando è ancora possibile integrare i requisiti normativi nell’architettura del sistema senza sostenere i costi di una successiva remediation.

Il supporto comprende la definizione dei piani di testing, la selezione dei dati, la documentazione delle prestazioni e degli errori e la predisposizione delle evidenze necessarie per dimostrare le valutazioni effettuate.

Viene inoltre valutata la possibilità di utilizzare gli spazi di sperimentazione regolamentare previsti dall’AI Act e dalla disciplina nazionale, in particolare per start-up, PMI e progetti innovativi che richiedano un confronto preventivo con le autorità.

Nelle operazioni di investimento, acquisizione, partnership o sviluppo congiunto, l’Avv. Alessandro del Ninno svolge due diligence sui sistemi e sui modelli di IA, sui dataset, sulla catena dei diritti, sulle componenti open source, sulla documentazione tecnica e sulla capacità del target o del partner di rispettare gli obblighi e le dichiarazioni di conformità.

Incidenti, autorità e contenzioso

Gli errori o gli utilizzi impropri di un sistema di IA possono determinare danni economici, discriminazioni, violazioni di dati personali, compromissione della sicurezza, diffusione di contenuti illeciti e contestazioni relative alla proprietà intellettuale.

L’Avv. Alessandro del Ninno assiste le imprese nella predisposizione delle procedure per rilevare, classificare e gestire gli incidenti, coordinando gli obblighi dell’AI Act con quelli previsti dal GDPR, dalla NIS 2, da DORA, dalla disciplina sulla sicurezza dei prodotti e dai contratti.

In caso di incidente, il supporto comprende la preservazione delle evidenze, la ricostruzione del funzionamento del sistema, l’individuazione delle responsabilità, il coinvolgimento dei fornitori e la valutazione delle notifiche e comunicazioni necessarie.

L’assistenza riguarda anche le interlocuzioni con le autorità nazionali competenti, il Garante per la protezione dei dati personali, AgID, l’Agenzia per la cybersicurezza nazionale e, quando applicabile, l’AI Office europeo. Il supporto comprende richieste di informazioni, attività ispettive, procedimenti di vigilanza, contestazioni sulla classificazione del sistema e adozione di misure correttive.

L’attività contenziosa riguarda le controversie tra clienti e fornitori, le contestazioni sugli output, le violazioni dei diritti di proprietà intellettuale, la tutela dei segreti commerciali, i danni derivanti da decisioni algoritmiche e i procedimenti civili o penali connessi all’utilizzo illecito o non adeguatamente governato dell’IA.

Assistenza continuativa

L’assistenza può essere prestata anche in forma continuativa, affiancando organi di amministrazione, General Counsel, DPO, Compliance, IT, Cybersecurity, HR, Procurement e responsabili di prodotto nella valutazione dei nuovi progetti e nell’aggiornamento del programma aziendale di governance dell’IA.

Il supporto continuativo consente di intervenire prima che le scelte tecniche e contrattuali divengano difficilmente modificabili, di mantenere aggiornata la classificazione dei sistemi, di verificare l’evoluzione dei fornitori e di adeguare policy e procedure alla normativa e alla prassi europea e nazionale.

In un contesto nel quale tecnologia, regole e modelli di business evolvono contemporaneamente, l’assistenza specialistica consente alle imprese di innovare senza lasciare irrisolte le questioni che possono emergere durante la commercializzazione del prodotto, una trattativa contrattuale, un controllo dell’autorità o la gestione di un incidente.

Stampa la pagina