Intelligenza artificiale e contratti: responsabilità e gestione del rischio alla luce dell'AI Act

L’AI Act introduce un nuovo quadro normativo che incide direttamente sul modo in cui le imprese gestiscono l’utilizzo dell’intelligenza artificiale. In questo contesto, il tema della responsabilità non può più essere affrontato in modo isolato, ma deve essere letto anche alla luce dei rapporti contrattuali e della gestione del rischio.

Negli ultimi anni l’intelligenza artificiale è passata da ambito sperimentale a componente strutturale di molti processi aziendali. Questo cambiamento ha reso evidente un aspetto prima rimasto sullo sfondo: adottare sistemi AI non significa soltanto introdurre una nuova tecnologia, ma assumere una decisione giuridicamente rilevante.

Per imprese, studi legali e professionisti del digital law, il tema non è più soltanto capire se uno strumento sia utile, efficiente o innovativo. La questione centrale è comprendere come governarne gli effetti, come prevenire l’esposizione a responsabilità e come distribuire correttamente il rischio nei rapporti tra i soggetti coinvolti. In questo scenario, il contratto non è più un semplice supporto alla fornitura della tecnologia, ma diventa il luogo in cui si definiscono obblighi, garanzie, limiti di responsabilità e presidi di conformità.

L’entrata in vigore dell’AI Act rafforza questa trasformazione. Il punto non è soltanto essere compliant, ma costruire un assetto contrattuale e organizzativo capace di reggere l’impatto di una normativa che considera l’intelligenza artificiale non come un prodotto neutro, ma come una tecnologia da governare lungo tutta la filiera.

L’Unione europea sta costruendo un sistema normativo articolato, nel quale l’AI Act occupa una posizione centrale. Il regolamento introduce un approccio basato sul rischio e classifica i sistemi di intelligenza artificiale in funzione del loro potenziale impatto su sicurezza, diritti fondamentali e affidabilità dei processi decisionali. Questa impostazione non si limita a fissare principi generali, ma attribuisce obblighi concreti a seconda del ruolo ricoperto dai diversi operatori.

Questo è uno degli elementi di maggiore discontinuità rispetto al passato. La responsabilità non viene più letta come una questione che riguarda soltanto il produttore o sviluppatore della tecnologia, ma coinvolge l’intera catena del valore. Provider, integratori, distributori e utilizzatori possono essere chiamati a rispondere, ciascuno in relazione al proprio livello di intervento sul sistema e alle modalità di impiego della soluzione AI.

Accanto all’AI Act si collocano poi le iniziative europee in materia di responsabilità civile, pensate per facilitare la tutela dei soggetti danneggiati. Il quadro, inoltre, si coordina con discipline già esistenti, come quelle sulla responsabilità da prodotti difettosi, e si affianca ad altri ambiti normativi ormai imprescindibili, a partire dalla protezione dei dati personali. Il risultato è un ecosistema regolatorio complesso, nel quale le imprese non possono limitarsi a un controllo formale, ma devono adottare una visione integrata del rischio.

Uno dei nodi più delicati riguarda l’individuazione del soggetto responsabile quando un sistema di intelligenza artificiale causa un danno. A differenza di quanto accade nei modelli tradizionali, l’AI rende più difficile ricostruire il rapporto tra condotta, funzionamento del sistema ed evento dannoso. L’autonomia operativa, la variabilità degli output e, in alcuni casi, l’opacità del processo decisionale rendono meno lineare l’accertamento del nesso causale.

Le ipotesi di danno sono tutt’altro che teoriche. Un sistema AI può produrre decisioni automatizzate errate, generare risultati discriminatori, compromettere processi aziendali critici o fornire output inesatti in grado di incidere su scelte economiche, organizzative o professionali. In questi casi, la questione non è soltanto tecnica. Diventa una questione di responsabilità civile, esposizione reputazionale, rischio regolatorio e, in determinate circostanze, possibile contenzioso.

È proprio per affrontare questa complessità che l’ordinamento europeo si sta muovendo verso un modello più attento alla posizione del danneggiato. Le proposte normative in materia di responsabilità da intelligenza artificiale mirano, tra l’altro, a intervenire sull’onere della prova, agevolando l’accesso alle informazioni necessarie per dimostrare il collegamento tra il sistema e il danno subito. Per le imprese, questo significa operare in un contesto in cui la responsabilità non solo può estendersi lungo la filiera, ma può anche essere più agevolmente contestata e accertata.

L’aspetto più interessante dell’AI Act è forse il suo effetto culturale prima ancora che regolatorio. La compliance non può più essere considerata come un adempimento separato dall’attività d’impresa. Diventa, al contrario, una componente di una più ampia strategia di gestione del rischio.

Questo significa che le aziende devono innanzitutto sapere quali sistemi di intelligenza artificiale utilizzano, con quali finalità, su quali dati si basano e quale ruolo ricoprono nella filiera. Un’impresa può infatti essere un semplice utilizzatore, ma può anche assumere una posizione più incisiva se personalizza il sistema, lo integra nei propri processi o contribuisce al suo addestramento attraverso dati o istruzioni operative. In ciascuno di questi casi cambiano gli obblighi applicabili e, di conseguenza, cambia anche il livello di esposizione giuridica.

La gestione del rischio richiede quindi un lavoro che va oltre la verifica formale della conformità normativa. Occorre costruire modelli di governance capaci di assicurare tracciabilità, monitoraggio, auditabilità e controllo sul ciclo di vita del sistema. In questa prospettiva, la compliance non è più il punto di arrivo, ma uno strumento attraverso cui rendere sostenibile l’adozione dell’innovazione.

Se il quadro normativo ridefinisce la distribuzione delle responsabilità, è nei contratti che questa redistribuzione assume forma concreta. Nei rapporti B2B, la contrattualistica diventa il principale strumento per tradurre in termini operativi il nuovo assetto del rischio.

L’utilizzo di sistemi di intelligenza artificiale impone di superare modelli contrattuali standardizzati. Non è più sufficiente richiamare genericamente la conformità del servizio o la correttezza dell’esecuzione. Occorre invece chiarire con precisione chi garantisce la conformità del sistema all’AI Act, chi risponde di eventuali malfunzionamenti, come vengono gestiti gli obblighi di documentazione tecnica e quale parte sopporta il rischio derivante da un utilizzo non conforme alle relative istruzioni.

Un punto particolarmente sensibile riguarda la qualificazione del ruolo delle parti. Distinguere tra provider, integratore e utilizzatore non ha solo un valore descrittivo, ma produce effetti diretti sul piano degli obblighi normativi e della responsabilità. Allo stesso modo, assumono rilievo centrale le clausole di limitazione della responsabilità, che devono essere ripensate alla luce del rischio regolatorio e del potenziale impatto economico di eventuali violazioni.

Anche le clausole di manleva acquistano una funzione strategica. Esse consentono di regolare i rapporti interni tra le parti e di stabilire chi debba farsi carico delle conseguenze di specifiche criticità, ad esempio quando il danno dipende da un difetto intrinseco del sistema oppure da un uso improprio da parte del cliente. Lo stesso vale per le clausole relative ai dati utilizzati per l’addestramento, il fine-tuning o il funzionamento del sistema, rispetto ai quali devono essere chiariti titolarità, liceità e responsabilità in caso di violazione di diritti di terzi.

In questo senso, il contratto smette di essere un documento accessorio e diventa uno strumento di governance dell’intelligenza artificiale.

Il nuovo quadro europeo impone alle imprese un adeguamento che non può essere affrontato in modo episodico. La gestione dell’intelligenza artificiale richiede un coordinamento stabile tra funzioni legali, compliance, procurement e aree tecnologiche. La responsabilità, infatti, non si gioca soltanto nel momento in cui emerge un danno, ma si costruisce molto prima, attraverso le modalità con cui l’impresa seleziona il fornitore, valuta il sistema, negozia il contratto e presidia i controlli successivi.

Per molte aziende questo significa rivedere modelli interni, procedure di approvvigionamento e criteri di valutazione delle soluzioni tecnologiche. Significa anche investire in formazione, perché la gestione del rischio non dipende soltanto dalla qualità delle clausole contrattuali, ma anche dalla consapevolezza di chi utilizza, supervisiona o approva l’adozione dei sistemi AI.

Per studi legali e professionisti del Tax&Legal, questo scenario apre uno spazio di intervento sempre più rilevante. Il supporto alle imprese non si esaurisce nell’interpretazione della normativa o nella redazione di condizioni contrattuali aggiornate. Richiede una capacità più ampia di accompagnare il cliente nella costruzione di un modello di governo della tecnologia, nel quale diritto, organizzazione e gestione del rischio si tengano insieme.

L’intelligenza artificiale non pone soltanto un problema di innovazione, ma una questione di sostenibilità giuridica dell’innovazione stessa. L’AI Act rende evidente che la responsabilità non può più essere affrontata come un tema eventuale o residuale. Diventa, invece, un elemento strutturale nella progettazione, acquisizione e utilizzazione dei sistemi AI.

In questo contesto, il diritto non rappresenta un ostacolo all’adozione della tecnologia. Al contrario, ne costituisce una condizione di affidabilità. La contrattualistica, in particolare, assume un ruolo decisivo perché consente di rendere governabile un quadro normativo complesso e una filiera tecnologica in cui il rischio è distribuito tra più attori.

Per le imprese, la sfida non sarà soltanto introdurre soluzioni di intelligenza artificiale, ma farlo attraverso modelli contrattuali e organizzativi coerenti con il nuovo assetto europeo. Per i professionisti del settore legal, questo significa presidiare uno dei terreni più strategici nel rapporto tra innovazione, regolazione e tutela del business.