Sul finire dello scotso anno, il Garante Privacy ha comminato una sanzione di quindici milioni di euro al servizio ChatGPT, un modello di intelligenza artificiale generativa, erogato da OpenAI.
Il provvedimento del Garante evidenzia numerose carenze relative alla privacy, le quali fanno capire che l’architettura giuridica di questi potentissimi sistemi è ancora – per così dire – in evoluzione.
Indice degli argomenti
L’importanza di leggere e comprendere i contratti d’uso dell’IA
Il tema è più ampio della sola valutazione della conformità alle norme privacy ed investe la complessiva architettura contrattuale dei modelli di AI generativa: non esiste solo Chat-GPT.
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
Infatti, raramente (come per tutti i servizi online) chi usa i sistemi in questione compie una attenta lettura e studio del contratto che “accetta” utilizzando il sistema.
Sarebbe sbagliato assumere che gli obblighi, condizioni d’uso e vincoli sono gli stessi di un qualsiasi servizio online, perché il sistema di AI generativa ha potenzialità e offre un risultato diverso da quello di altri servizi e sono diverse le implicazioni; il sistema di AI generativa questo implica una maggiore attenzione al disposto del contratto il quale riflette le particolarità del servizio, che, a differenza di altri, implica la fornitura di contenuti che non sono stati pensati e supervisionati da un umano.
In un recente convegno presso la LUISS, nel riferire i risultati di uno studio sulla disciplina contrattuale dei principali servizi di AI generativa, ho voluto usare l’immagine del macchinario, che chiunque ha visto e usato alle giostre, chiamato “claw machine” (la pesca degli oggetti con l’artiglio). Il paragone potrà essere azzardato, ma – a ben vedere – non lo è più di tanto: il contratto che regola l’uso dell’AI generativa di matrice USA prevede – in sostanza – che, a fronte dell’inserimento di un input da parte dell’utente (come possono essere i comandi dati all’artiglio), il sistema generi un contenuto in qualsiasi modo “correlato” all’input (come possono essere i giochi pescati a caso o il vano tentativo di pesca dell’artiglio), senza nessuna garanzia di pertinenza, correttezza, adeguatezza, veridicità, ecc.; non vi è nemmeno alcuna garanzia sulle caratteristiche del sistema, che possono cambiare in ogni momento o su quali siano i dati utilizzati per addestrarlo. Nemmeno vi è garanzia sul fatto che i dati utilizzati siano di lecita provenienza e non siano, ad esempio, dati personali che non era possibile trattare o dati oggetto di proprietà intellettuale di terzi, senza le debite licenze.
In sostanza, se chiediamo all’AI generativa quanto fa 2+2 e questa risponde “cinque”, il risultato, pur sbagliato, è coerente con quanto previsto dal contratto. Pensiamo all’uso dei sistemi di AI generativa nei calcoli della stabilità di un edificio… se questi fossero sbagliati e l’edificio crollasse, il produttore non assumerebbe contrattualmente alcuna responsabilità.
I termini contrattuali di OpenAI
Prendiamo ad esempio i termini contrattuali di OpenAI: è interessante notare che il contratto è regolato dalla Legge locale della residenza dell’utente, dunque – per chi è in Italia – dalla Legge italiana. Si applicano, pertanto, i principi del diritto civile italiano e sarebbe competente a valutare eventuali controversie. A ben vedere, però, applicare i principi del diritto italiano a questo contratto è complesso. Ci sono elementi fondamentali che rimangono del tutto indeterminati.
L’oggetto del contratto
Normalmente qualsiasi contratto ha un oggetto: se affitto casa l’oggetto del contratto è la messa a disposizione di un’immobile per esigenze abitative a fronte di un pagamento, se ordino un pasto a domicilio, l’oggetto del contratto è il trasporto e consegna di cibi ben individuati. Nei contratti relativi alle piattaforme di AI generativa, come quello di OpenAI, il contratto si limita a prevedere l’uso dei servizi, indicati con il sito e il nome, ma senza definirne le caratteristiche. Sarebbe teoricamente possibile per OpenAI, da un giorno all’altro, produrre un servizio completamente diverso – ma con nome identico – e nulla si potrebbe obiettare. Pensiamo a quale sarebbe la reazione se in un contratto di trasporto ferroviario, l’unica previsione fosse quella di “usare Frecciarossa” a fronte del pagamento del biglietto. Dove? Come? Quando? Cosa succede se ritarda? Che servizi avrò sul treno?
La causa del contratto
Anche la c.d. “causa” del contratto non è chiara: nel contratto di affitto la causa è quella di abitare nell’immobile. Nel contratto dell’AI generativa sembrerebbe quella di “generare un output”, ma – come dicevamo – le caratteristiche e qualità di questo output sono lasciate indefinite. E’ come se in un contratto di affitto ci fosse scritto che affittiamo “un immobile qualunque” senza nemmeno specificare quale sia la città, la grandezza, che sia ad uso abitativo, ecc.
Le limitazioni e le responsabilità nell’uso dell’AI generativa
Questa indeterminatezza rende difficile contestare eventuali difetti o non conformità dell’output. Di fatto, ben pochi provider si assumono responsabilità specifiche sulla qualità o sull’accuratezza del risultato generato. L’utente deve accettare che l’output possa essere errato, violare diritti di terzi o contenere dati personali non autorizzati, assumendosi ogni responsabilità correlata: se l’output non è pertinente e contiene errori, insomma, è l’utente che se ne deve accorgere e, se non se ne accorge, si assume ogni responsabilità, mentre la piattaforma non è quasi mai responsabile… e comunque, anche se si provasse la responsabilità, questa è limitata da quasi tutte le piattaforme ai corrispettivi ricevuti nell’anno dall’utente. A tal proposito è utile sapere che, nel diritto italiano (al quale, come dicevo, alcune piattaforme assoggettano i propri contratti) la responsabilità non può essere limitata in caso di dolo o colpa grave. L’utente, per addossare una qualsiasi responsabilità alla piattaforma non deve aver violato le condizioni d’uso.
Le implicazioni delle violazioni contrattuali e le limitazioni d’uso
Un tema correlato e che mi sembra anch’esso sfugga al dibattito generale, sono le limitazioni d’uso: se l’utente eccede tali limitazioni è in violazione del contratto e, anche qui, si assume ogni responsabilità.
Quali sono queste limitazioni? Le principali piattaforme vietano di usare l’AI generativa, ad esempio, per fornire consigli legali, medici o finanziari senza che l’uso sia supervisionato da un professionista qualificato (che in Italia vuol dire professionista iscritto al relativo albo) e vietano inoltre di usare il sistema in ambito accademico (ad esempio per rispondere a un esame o fare una tesi di laurea o scrivere un articolo). Inoltre, anche se fosse supervisionato da un professionista qualificato, l’uso deve essere sempre dichiarato e la dichiarazione deve essere posta e formulata in modo che sia comprensibile per qualsiasi utente. Un avvocato che volesse scrivere una parte di un parere o di un contratto con la AI generativa dovrebbe quindi specificarlo nel testo che consegna al cliente.
Questo obbligo vale a prescindere, per qualsiasi uso, quindi anche un giornalista che si aiutasse con l’AI generativa per scrivere un articolo dovrebbe sempre specificarlo nel testo che pubblica.
Cosa succede se si violano le limitazioni
Ma cosa succede se si violano queste limitazioni?
Ci sono due ordini di conseguenze: della prima abbiamo detto, la responsabilità per qualsiasi danno/violazione di legge/errore va in carico all’utente.
Ma c’è una ulteriore conseguenza più subdola e legata al fatto che l’utente usa il sistema sempre nell’ambito del contratto che accetta all’attivazione: per qualsiasi violazione la piattaforma può terminare l’account dell’utente e non ci sono limiti di tempo per contestare la violazione.
Inoltre, secondo il principio di diritto per cui non è obbligatorio adempiere se l’altra parte viola il contratto, la piattaforma, in caso di violazioni, è sollevata dai propri obblighi verso l’utente.
I diritti sull’output
Uno di tali obblighi è quello di concedere all’utente diritti per usare l’output.
In sostanza, se usiamo l’AI generativa in modi che non sono consentiti dal fornitore della stessa, non è detto che ci venga attribuito il diritto di usare i contenuti che generiamo. A quel punto, usandoli e diffondendoli (immaginiamo il giornalista che pubblica l’articolo in parte scritto con l’AI generativa, senza specificare che l’ha usata) potremmo compiere una violazione dei diritti d’autore del produttore dell’AI generativa, del contratto o, addirittura dei diritti di terzi e dover risarcire eventuali danni o rischiare che i contenuti vengano bloccati.
La questione dei diritti sull’output generato resta infatti problematica. OpenAI afferma che l’utente “possiede” l’output, ma non offre alcuna garanzia che l’output non violi diritti di terzi. Ad esempio se l’output include contenuti protetti da copyright (es. un’opera simile a un quadro di Picasso), l’utente non potrà rivendicare diritti esclusivi su di esso e il fornitore della piattaforma non potrà certamente concederli (si possono cedere solo diritti che si possiedono).
Nei casi di utilizzo commerciale, come nello sviluppo di software o brevetti, la mancanza di garanzie rischia di compromettere l’affidabilità del prodotto ed inibire alle imprese che hanno sviluppato usando AI generativa di fornitori terzi la possibilità di commercializzare il prodotto: è normale, infatti, che nei contratti di fornitura di software e contenuti sia richiesta la garanzia che il prodotto non è stato sviluppato utilizzando senza autorizzazione proprietà intellettuale di terzi.
Una possibile soluzione sarebbe adottare processi di addestramento che rispettino i diritti di proprietà intellettuale by design. Le maggiori piattaforme non offrono però attualmente tali garanzie, lasciando agli utenti la responsabilità di verificare la conformità dell’output prima dell’utilizzo.
In ogni caso, va notato che i diritti attribuiti sul contenuto, non includono quasi mai la garanzia che il contenuto sia esclusivo: un altro utente potrebbe ricevere il medesimo output e altrettanti diritti.
Conclusioni e considerazioni sull’evoluzione normativa futura
In un contesto normativo in evoluzione, è probabile che saranno necessari ulteriori adeguamenti per garantire maggiore trasparenza e tutela degli utenti. Inoltre, la crescente attenzione delle autorità di regolamentazione europee, insieme all’introduzione di normative come l’AI Act, potrebbe spingere i principali fornitori a rivedere ulteriormente le proprie politiche contrattuali e operative, colmando le lacune attuali. A prescindere da queste evoluzioni future ed eventuali è però importante, da subito, non affidarsi ciecamente alle potenzialità dell’AI generativa e studiare, anche con l’assistenza di un legale, le modalità più corrette per integrarla nelle attività professionali e imprenditoriali, per evitare conseguenze indesiderate.
Essere DPO nel 2025: quali sono le competenze e i requisiti necessari
