Contrattualizzazione e allocazione delle responsabilità nei modelli di IA: AI Act, NIS2 e profili critici
C’è un’asimmetria poco discussa al centro della regolazione europea dell’Intelligenza Artificiale, ed è da lì che Contrattualizzazione e allocazione delle responsabilità nei modelli di IA: AI Act, NIS2 e profili critici, di Chiara De Filippo, prende le mosse. L’AI Act è il primo tentativo organico di disciplinare l’IA, la NIS2 rafforza la sicurezza delle infrastrutture e dei servizi essenziali, la nuova Direttiva 2024/2853 aggiorna la responsabilità da prodotto. Tutto l’impianto, però, è orientato a prevenire e gestire il rischio, non a dire con precisione chi paga quando qualcosa va storto. Le norme alzano gli standard; la distribuzione effettiva delle responsabilità resta in larga parte altrove.
Il punto di partenza dell’autrice è onesto e tecnicamente solido: i modelli di IA, soprattutto quelli generativi e general-purpose, sono strutturalmente imprevedibili. Il legislatore europeo non ha provato a eliminare questa incertezza, scelta saggia, ma a incanalarla con obblighi graduati per livello di rischio. Il risultato è un sistema in cui la responsabilità si muove lungo la filiera: l’art. 25 dell’AI Act prevede che chi modifica in modo sostanziale o riaddestra un modello possa trasformarsi, sul piano regolatorio, da utilizzatore a fornitore, ereditandone gli obblighi. È un meccanismo che chiunque integri modelli di terzi nei propri prodotti dovrebbe conoscere bene.
Qui il paper compie il passo più interessante. Invece di fermarsi alla norma, va a leggere i contratti veri: i Terms of Service di ChatGPT, Copilot e Gemini. La fotografia è netta. Sono schemi Software as a Service che allocano il rischio a favore del fornitore, escludono garanzie sull’esattezza degli output e spostano sull’utente l’onere della verifica. Anche le piattaforme verticali, come il legal-tech che promette risposte “verificabili e citabili”, riducono il rischio ma non lo annullano: la natura probabilistica del modello resta, e con essa la necessità di una supervisione umana che il contratto, non la legge, finisce per disciplinare.
Il filo conduttore diventa allora una tesi precisa: regolazione pubblica e contratto non sono in conflitto, sono complementari. La norma fissa gli standard minimi, il contratto li traduce in regole operative adatte al singolo rapporto. Lo stesso AI Act lo riconosce, ammettendo all’art. 25, par. 4, l’allocazione contrattuale degli obblighi e richiamando le clausole tipo europee. Contrattualizzazione e allocazione delle responsabilità nei modelli di IA non nasconde i limiti di questa funzione integrativa, dalle clausole vessatorie allo squilibrio negoziale fino alla tutela consumeristica, e per la Pubblica Amministrazione misura il problema con le Linee Guida AgID, l’art. 30 del Codice dei contratti pubblici e la Legge 132/2025.
A pochi mesi dalla piena applicabilità dell’AI Act, il testo offre a chi presidia il rischio tecnologico, dal CISO al DPO alla funzione legal, una mappa concreta del punto in cui la conformità normativa cede il passo alla negoziazione. E indica una direzione plausibile: clausole standardizzate, principi guida e requisiti minimi al posto di regole rigide, fino all’ipotesi di una copertura assicurativa obbligatoria per i sistemi più complessi. È, in fondo, la stessa domanda che definirà il dibattito dei prossimi anni e il prossimo Forum: nell’era degli agenti AI, la responsabilità non si dichiara, si costruisce, e una buona parte di quella costruzione passa dal contratto.
