La transizione in corso già da alcuni anni e senza troppo clamore nei back office di numerosissime imprese e organizzazioni, dall’automazione tradizionale di processi e funzioni aziendali all’impiego diffuso di tecnologie avanzate basate sull’Intelligenza Artificiale porta con sé alcune criticità che vanno attentamente considerate sotto il profilo giuridico, a maggior ragione qualora le funzioni e/o i processi aziendali vengano esternalizzati a fornitori terzi tramite rapporti di cosiddetta outsourcing.
Rischio contenziosi nei contratti di outsourcing con l’intelligenza artificiale
Clienti e fornitori sono dunque chiamati a valutare sotto una nuova luce una serie di clausole contrattuali fondamentali, dalle quali dipendono la buona e proficua riuscita delle esternalizzazioni e la riduzione del rischio di futuri contenziosi.
L’automazione di processi e funzioni aziendali, core e non, come l’infrastruttura ICT, la gestione della fatturazione o il CRM (Customer Relation Management) non è certamente una novità, sia all’interno del perimetro aziendale che mediante il ricorso a fornitori indipendenti esterni. Ciò che cambia, invece, sono approccio e tecnologie impiegate: se fino a ieri tendenzialmente si cercava di migliorare i processi partendo dall’analisi dei processi stessi, soppesandone limiti e inefficienze, oggi il punto di osservazione privilegiato diventa l’analisi dei dati. Sono dunque i dati, opportunamente interpretati ed elaborati dagli algoritmi di Intelligenza Artificiale, a fornire preziose indicazioni sulla direzione da imprimere ai processi aziendali per incrementarne l’efficienza e ridurne i costi.
La produzione incessante di una mole ingente di informazioni attraverso le più svariate fonti (Big Data) è resa possibile da un significativo progresso tecnologico in termini di potenza di calcolo dei sistemi informativi e capienza delle memorie, in grado di immagazzinare enormi quantità d’informazioni come mai prima d’ora. L’impiego di tecnologie di machine learning avanzato e analisi (comunemente definite di “Intelligenza Artificiale” o “IA”) su grandi masse di dati consente oggi di ottenere straordinari vantaggi anche nell’esternalizzazione di funzioni e processi aziendali, superando le capacità dei tradizionali sistemi di Robotic Process Automation (RPA). Gli algoritmi di IA sono infatti in grado di “apprendere” e modificarsi con un certo grado di autonomia in base ai dati che si trovano ad elaborare, rivelando così tendenze e correlazioni inedite.
Evoluzione tecnologica e clausole di “benchmarking“
Un primo aspetto da considerare in sede di negoziazione è l’evoluzione dei sistemi IA, che si articola in due principali filoni: da un lato l’accentuato ritmo di innovazione cui sono soggette le tecnologie IA, dall’altro il gradiente di autonomia degli algoritmi, che tipicamente può condurre a sviluppi tanto utili quanto inaspettati. Fornitore e cliente dovranno quindi prevedere adeguati meccanismi contrattuali che consentano loro di stabilire in anticipo come affrontare l’eventuale introduzione di miglioramenti rilevanti nelle tecnologie IA oggetto del contratto o, appunto, sviluppi inusitati e particolarmente vantaggiosi per il cliente, a partire dall’adeguamento del corrispettivo spettante al fornitore, tramite le clausole di c.d. benchmarking. Il punto merita una certa attenzione dato che i contratti di outsourcing hanno generalmente durata di medio-lungo periodo e sono spesso frutto di complesse e prolungate negoziazioni. Non solo, il vincolo di dipendenza tecnologica che in molti casi si viene a creare tra fornitore e cliente impedisce a quest’ultimo di procurarsi tecnologie innovative da fornitori alternativi nel corso del rapporto. È per queste ragioni che un intervento a posteriori volto a modificare oggetto e condizioni del contratto risulta la scelta più onerosa e meno opportuna. Laddove le parti possano trarre un vantaggio reciproco dal miglioramento delle tecnologie impiegate, vi è anche la possibilità di costituire un fondo d’innovazione comune a governance condivisa, le cui regole di amministrazione e controllo dovranno essere attentamente stabilite in precedenza.
Responsabilità e limitazioni
Il gradiente di autonomia dei sistemi di IA nell’elaborare informazioni implica la necessità di un’adeguata ponderazione anche in termini di responsabilità contrattuale e relative limitazioni. Ne abbiamo parlato di recente e in maniera più diffusa in occasione di un recente articolo pubblicato su questa testata. Anzitutto, in sede di negoziazione del contratto il fornitore dovrà presentare al cliente un’adeguata informativa improntata al principio di trasparenza, illustrando capacità e limiti dei sistemi di IA utilizzati, per metterlo in condizione di operare una scelta consapevole e ponderata e ridurre il rischio di essere chiamato a rispondere per responsabilità precontrattuale, intesa come malafede nella conduzione delle trattative o reticenza rispetto ad aspetti determinanti ai fini della conclusione del contratto.
Inoltre, il fornitore dovrà negoziare con il cliente opportune limitazioni di responsabilità nella misura consentita dalla legge, che tengano conto, tra l’altro, del livello di autonomia dei sistemi di Intelligenza Artificiale impiegati, del fatto che essi elaborano dati del cliente la cui provenienza esula dal controllo del fornitore (generalmente sfruttando cloud pubblici, privati o ibridi) e della necessità di un certo intervento umano per il corretto funzionamento del sistema.
Eventuali importi stabiliti come “tetto” al risarcimento del danno da parte del fornitore (c.d. “cap”) dovrebbero essere calibrati in base allo specifico evento da cui la domanda di risarcimento dovesse trarre origine.
Trasferimento di conoscenza, internalizzazione o sostituzione del fornitore outsourcing
Ad oggi i sistemi basati sull’Intelligenza Artificiale non sono del tutto autonomi, bensì evoluti algoritmi di machine learning privi di capacità di autodeterminazione e di comprensione delle informazioni processate, che operano come un mero strumento a supporto dell’uomo. Pertanto, un ulteriore profilo che cliente e fornitore dovranno attentamente valutare in occasione delle trattative contrattuali è il trasferimento di conoscenza dal fornitore al cliente al termine del rapporto, che metta in condizione il cliente di (re)internalizzare il processo e svolgerlo quindi in autonomia o affidarlo in outsourcing a un nuovo e diverso fornitore.
Ciò può avvenire inserendo nei contratti clausole di cosiddette “termination assistance“, in virtù delle quali il fornitore si impegna ad assistere il cliente nella fase dello scioglimento del rapporto contrattuale e a trasferire le conoscenze necessarie per la prosecuzione del servizio in autonomia o tramite terzi. Con riferimento alle tecnologie IA è imprescindibile prevedere quantomeno un training ai dipendenti e collaboratori del cliente da parte dei soggetti del fornitore che agiscono nel c.d. “missing middle“, vale a dire lo spazio di collegamento tra i sistemi IA e l’uomo. Tra questi spiccano le figure preposte all'”addestramento” degli algoritmi, alla spiegazione delle logiche utilizzate dai sistemi IA e alla loro manutenzione e corretto funzionamento.
Nella prospettiva di una futura internalizzazione o sostituzione del fornitore il cliente sarà naturalmente più propenso ad avvalersi di fornitori che sfruttino tecnologie AI di terzi, sulla base di licenze, anziché di fornitori che utilizzano tecnologie proprietarie, al fine di scongiurare situazioni di dipendenza tecnologica che potrebbero rivelarsi di difficile soluzione.
Proprietà intellettuale
I processi aziendali attuati in outsourcing mediante sistemi di IA implicano una stretta interdipendenza tra dati del cliente e la tecnologia IA del fornitore che li elabora. Ne deriva che cliente e fornitore dovranno disciplinare con cura a livello contrattuale la tutela dei diritti di proprietà intellettuale su dati e tecnologie rilevanti nell’ambito del rapporto.
Il riconoscimento in capo al fornitore o al suo licenziante dei diritti di proprietà intellettuale sulla tecnologia IA fornita è l’aspetto meno problematico. Ciò cui i contraenti dovranno prestare maggiore attenzione è, invece, la titolarità su dati, banche dati e altri elementi tutelabili del cliente e del fornitore preesistenti all’instaurazione del rapporto, così come sulle personalizzazioni del sistema AI richieste dal cliente e sugli eventuali risultati tutelabili che il sistema di AI dovesse produrre nell’esecuzione del contratto di outsourcing. Inoltre, il cliente dovrebbe considerare attentamente se concedere o meno i propri dati in licenza al fornitore per finalità interne statistiche e di miglioramento del servizio e a quali condizioni.
Il tutto dovrebbe quindi essere oggetto di una puntuale configurazione giuridica sul piano contrattuale, sfruttando gli istituti più idonei allo scopo, in modo da conferire il maggior grado di certezza nell’esecuzione del rapporto e mitigare il rischio di eventuali contenziosi in materia di proprietà intellettuale.
Protezione dei dati personali
Altro profilo da considerare nell’ambito dell’outsourcing di processi e/o funzioni aziendali è quello della protezione dei dati personali. Generalmente il fornitore effettua trattamenti di dati personali per conto del cliente, trovandosi quindi a rivestire il ruolo di responsabile del trattamento. Ad esempio nell’esternalizzazione del servizio di CRM il fornitore si trova solitamente a trattare dati personali dei clienti del proprio cliente raccolti grazie alle interazioni con il sistema, tra cui, ad esempio, la navigazione sul sito e-commerce del cliente o la richiesta informazioni sui prodotti venduti mediante una chat dedicata.
A norma di legge le parti dovranno disciplinare il rapporto rispetto al trattamento di dati personali mediante un apposito contratto, normalmente allegato al contratto di outsourcing, nel quale vengano stabiliti, tra l’altro, le istruzioni che il cliente impartisce al fornitore ai fini del trattamento dei dati, i rispettivi obblighi delle parti e le misure di sicurezza tecniche e organizzative impiegate dal fornitore nell’effettuare il trattamento.
Inoltre, nell’ambito di rapporti di outsourcing che prevedano il coinvolgimento di più entità in diverse parti del mondo, andrà opportunamente perimetrato e disciplinato il trasferimento dei dati all’infuori dell’Unione Europea/Spazio Economico Europeo.
Laddove poi i sistemi di IA siano impiegati per prendere decisioni basate unicamente sul trattamento automatizzato di dati personali e possano produrre effetti giuridici o comunque incidere significativamente sugli interessati del trattamento (ad esempio la concessione o no di un finanziamento al richiedente, basata soltanto sull’elaborazione e analisi dei dati dello stesso), il fornitore dovrà adeguatamente assistere il cliente nel caso in cui gli interessati esercitino il proprio diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.
A un livello minimo le parti dovranno quindi disciplinare contrattualmente gli obblighi del fornitore in base al principio della “spiegabilità” delle decisioni assunte, in termini di logiche di funzionamento sottostanti al funzionamento del sistema IA e di giustificazione della scelta umana di ricorrere a decisioni interamente automatizzate.
Cyber risk e assicurazione
Ormai è chiaro che proteggersi contro il cyber risk, purtroppo connaturato a sistemi di IA che per massimizzare la potenza di calcolo si basano sempre più su infrastrutture di tipo cloud, è un dovere di ogni azienda, sia essa cliente o fornitore di servizi in outsourcing. A titolo esemplificativo, ciò si desume dal Regolamento generale sulla protezione dei dati n. 2016/679 (GDPR) e dal principio di accountability in esso contenuto.
Le conseguenze di un attacco informatico andato a buon fine, infatti, possono essere nefaste per un’azienda: esse spaziano dalla perdita di dati (informazioni confidenziali o dati personali), interruzione dell’attività, furto di diritti di proprietà intellettuale e segreti industriali, danni di tipo reputazionale (abbiamo visto ormai più volte il titolo di società quotate crollare per effetto di attacchi informatici), responsabilità civili nei confronti di terzi, costi legati al ripristino dell’operatività dei sistemi, sanzioni amministrative, ecc..
Dalla prospettiva del cliente di servizi in outsourcing, tale dovere si traduce non solo nell’avere approntato internamente soluzioni tecniche infrastrutturali di protezione dal rischio, ma anche nel richiedere al proprio fornitore adeguate polizze assicurative per la copertura e soprattutto la gestione del rischio informatico.
Sotto questo profilo assumono particolare rilevanza le linee guida sull’assicurazione per il cyber risk, pubblicate dall’International Organization for Standardization (ISO).
L’importanza dell’assicurazione sul cyber risk si apprezza non solo in relazione alla copertura dei danni subiti dall’impresa, ma anche e soprattutto in relazione ai servizi complementari forniti dall’impresa di assicurazione successivamente all’evento dannoso, tra cui l’esecuzione di misure d’intervento per la mitigazione dei danni e il ripristino dell’operatività dell’impresa assicurata, assistenza nelle comunicazioni al pubblico e alla clientela (si consideri, ad esempio, l’obbligo di notifica del data breach ai sensi del GDPR), servizi di investigazione forense, ecc..
Conclusioni
L’impiego di tecnologie basate su sistemi di IA implica conseguenze non trascurabili sul piano dei contratti di outsourcing, che devono essere debitamente tenute in considerazione da fornitori e clienti in sede di negoziazione e svolgimento del rapporto. Per esigenze editoriali non ci è possibile trattare diffusamente tutti gli aspetti e le clausole contrattuali da considerare, ma confidiamo di aver fornito alcuni spunti utili a comprendere la portata del fenomeno.
Non ci si stanca mai di dire che il diritto arranca nel rincorrere l’evoluzione tecnologica, allora oggi più che mai è tempo di accelerare il passo, sfruttando al meglio la libertà negoziale che l’ordinamento concede alle parti nel regolare tra loro i rapporti contrattuali.