Le imprese che adottano sistemi di intelligenza artificiale senza un modello di governance strutturato espongono se stesse e i propri legali a responsabilità concrete sotto l’AI Act (Reg. UE 2024/1689) e il GDPR. L’avvocato che assiste un cliente in fase di adozione dell’AI deve verificare la classificazione del sistema per livello di rischio, la presenza di un human oversight effettivo e la tracciabilità delle decisioni automatizzate. Ignorare questi profili in fase contrattuale o di due diligence oggi equivale a lasciare il cliente esposto a sanzioni fino al 3% del fatturato mondiale annuo.
Punti chiave
- L’AI Act classifica i sistemi AI per livello di rischio: obblighi diversi per ogni categoria.
- Il GDPR art. 22 vieta decisioni automatizzate significative senza intervento umano verificabile.
- La governance AI deve essere documentata: assenza di audit trail espone l’impresa a sanzioni.
Chi assiste imprese italiane nell’adozione di strumenti di intelligenza artificiale non può più trattare il tema come una questione esclusivamente tecnica o commerciale. Il Regolamento UE 2024/1689 (AI Act), applicabile in fasi progressive dal 2024 al 2027, impone obblighi di governance, trasparenza e controllo umano che ricadono direttamente sul perimetro della consulenza legale. Redazione dei contratti, due diligence societaria, polizze assicurative: ogni ambito cambia se dentro c’è un sistema AI non governato.
Il tema emerge con forza da un’analisi pubblicata da Agenda Digitale, secondo cui nelle imprese italiane l’AI accelera l’analisi dei dati e supporta decisioni più informate, ma non elimina rischi, costi e responsabilità. Per generare valore servono governance, controllo umano e modelli operativi capaci di integrare tecnologia, compliance e misurazione dei risultati.
Il contesto normativo
Il Regolamento UE 2024/1689 (AI Act) è il riferimento primario. L’art. 9 impone ai fornitori e ai deployer di sistemi AI ad alto rischio un sistema di gestione del rischio documentato e continuamente aggiornato. L’art. 14 richiede misure di human oversight tali da consentire all’operatore umano di intervenire o interrompere il sistema. Parallelamente, l’art. 22 del GDPR (Reg. UE 2016/679) vieta le decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici o significativi sull’interessato, salvo specifiche eccezioni che richiedono comunque garanzie esplicite. Sul piano sanzionatorio, l’AI Act prevede fino al 3% del fatturato mondiale annuo per violazioni degli obblighi degli utilizzatori, e fino al 6% per i fornitori. Il Garante Privacy italiano ha già dimostrato, con i provvedimenti su Clearview AI e ChatGPT, che queste norme non restano lettera morta.
Cosa cambia per lo studio
- Due diligence pre-contrattuale: prima di consigliare l’adozione di un sistema AI, verifica la classificazione del prodotto per livello di rischio (inaccettabile, alto, limitato, minimo) secondo gli Allegati I e III dell’AI Act. Un sistema di selezione del personale è per definizione ad alto rischio.
- Clausole contrattuali specifiche: nei contratti di fornitura SaaS o di licenza AI, inserisci clausole che disciplinino la responsabilità per output errati, la disponibilità della documentazione tecnica ex art. 11 AI Act e l’obbligo di aggiornamento del sistema in caso di modifica normativa.
- Compliance GDPR integrata: ogni sistema AI che elabora dati personali richiede una DPIA (Data Protection Impact Assessment) ex art. 35 GDPR. Verifica che il cliente l’abbia svolta prima del deployment, non dopo.
- Audit trail e conservazione: l’art. 12 AI Act impone la registrazione automatica degli eventi (logging) per i sistemi ad alto rischio. Nei contratti di assistenza, prevedi chi conserva questi log, per quanto tempo e con quale formato accessibile.
- Formazione interna del cliente: la governance AI non è solo documentazione. Verifica che il cliente abbia individuato un responsabile interno (AI officer o figura equivalente) con compiti definiti per iscritto.
Attenzione a
Confondere l’adozione con la compliance. Molte imprese italiane acquistano strumenti AI integrati in software già in uso (ERP, CRM, gestionali HR) senza sapere che quei moduli rientrano nell’ambito applicativo dell’AI Act. Il deployer — cioè l’impresa cliente, non il fornitore — resta responsabile dell’uso conforme. Un avvocato che non solleva questo punto in fase di contratto espone il cliente a sanzioni e se stesso a un possibile profilo di responsabilità professionale.
Sottovalutare il profilo assicurativo. Le polizze RC aziendale standard non coprono i danni causati da decisioni automatizzate non supervisionate. Prima di concludere qualsiasi operazione che integri sistemi AI in processi decisionali aziendali, verifica l’estensione della copertura assicurativa del cliente e suggerisci un adeguamento esplicito.
Domande frequenti
Quali obblighi ha un’impresa italiana che usa AI per la selezione del personale?
I sistemi AI usati nella selezione del personale rientrano nell’elenco dei sistemi ad alto rischio allegato III dell’AI Act. L’impresa deployer deve predisporre un sistema di gestione del rischio (art. 9), garantire human oversight (art. 14), conservare i log degli eventi (art. 12) e svolgere una DPIA ai sensi dell’art. 35 GDPR prima del deployment. Le sanzioni arrivano fino al 3% del fatturato mondiale annuo.
Chi risponde dei danni causati da una decisione presa da un sistema AI in azienda?
In attesa della piena applicazione della direttiva sulla responsabilità per AI (AI Liability Directive, ancora in iter), si applica il diritto comune: artt. 2043 e 2049 c.c. per responsabilità extracontrattuale e del preponente. Il deployer risponde dell’uso del sistema, il fornitore risponde dei difetti del prodotto ai sensi del d.lgs. 206/2005 (Codice del Consumo) e della direttiva 85/374/CEE. La mancanza di audit trail aggrava la posizione del deployer in giudizio.
Un contratto SaaS standard copre gli obblighi dell’AI Act o serve una clausola specifica?
I contratti SaaS standard raramente includono la documentazione tecnica richiesta dall’art. 11 AI Act, gli obblighi di logging dell’art. 12 o le garanzie di human oversight dell’art. 14. Serve una clausola ad hoc che identifichi il livello di rischio del sistema, distribuisca le responsabilità tra fornitore e deployer e preveda aggiornamenti contrattuali automatici al variare della classificazione normativa del sistema.
Fonte di riferimento: AgendaDigitale