Abstract
L’integrazione dell’intelligenza artificiale nei sistemi aziendali impone una revisione sostanziale dei modelli contrattuali tradizionalmente applicati a software e piattaforme tecnologiche. L’articolo esamina quattro nuclei tematici che risultano centrali nella definizione di contratti AI‐assisted: la titolarità dei dati e dei modelli, la distribuzione delle responsabilità in caso di errore algoritmico, la qualificazione giuridica degli output generati e la gestione contrattuale delle fasi di recesso, aggiornamento e compliance normativa. Attraverso un approccio operativo ma giuridicamente fondato, il contributo intende offrire strumenti utili per minimizzare il rischio legale e massimizzare il valore economico delle soluzioni AI per imprese e professionisti.
Chi controlla dati e modelli?
Quando si costruisce o si acquista un sistema AI‐assisted, la prima domanda da farsi è: chi controlla davvero i dati e quello che ne esce? Per PMI e startup tech questo non è un vezzo da avvocati, ma una questione di valore reale e di rischio legale.
Per partire col piede giusto, serve capire cosa succede con i dati di addestramento. Avere un dataset non significa automaticamente poterlo usare per addestrare un algoritmo. Serve che chi lo fornisce abbia diritti chiari e validi: consentire la riproduzione, l’elaborazione o addirittura il ri‐addestramento. Se nel contratto non è scritto in modo specifico, si può finire con strumenti inutilizzabili o peggio: illeciti.
Poi ci sono i pezzi del modello: i parametri allenati, gli embeddings, le librerie di prompt, le trasformazioni fatte sui dati stessi. È qui che si concentra il vero valore competitivo. Ma chi ne detiene la proprietà? Il cliente che ha pagato lo sviluppo? Il fornitore che ha costruito la tecnologia? Senza una clausola netta si apre la porta a contenziosi o a un pericoloso lock‐in con il fornitore.
In questo senso, entra in gioco anche il Data Act dell’Unione Europea, il nuovo regolamento che dal 12 settembre 2025 garantisce agli utenti — siano consumatori o imprese — diritti di accesso e portabilità dei dati generati da dispositivi e servizi, e impone contratti più equi sui dati stessi. Questo principio può essere una leva forte per PMI e sviluppatori che vogliono contratti più chiari e negoziabili sulla proprietà e l’utilizzo dei dati nei progetti AI (per approfondire, si v. Data Act: cosa cambia per imprese, sviluppatori e fornitori – Canella Camaiora)
Infine, bisogna chiedersi: per quanto tempo i dati e i modelli restano disponibili? Il cliente ha il diritto a una copia? Può ottenere estratti controllabili? Questa semplicità di uscita deve essere prevista prima, nel contratto, per evitare di ritrovarsi bloccati in un ecosistema proprietario senza possibilità di portare altrove il proprio know‐how.
Chi risponde se l’algoritmo sbaglia?
Quando si integra l’AI in un prodotto o servizio, prima o poi succede: il sistema sbaglia. Magari un’informazione è imprecisa, un risultato discriminatorio, oppure c’è un blocco causato da un aggiornamento mal gestito. In questi casi, il punto non è tanto se capiterà, ma chi se ne prende la responsabilità.
Per non trovarsi in un campo minato, il contratto deve stabilire degli standard di qualità minimi: accuratezza, assenza di bias, resistenza ai cambiamenti. Serve anche un sistema di verifica continua, con test chiari e — se il progetto è complesso — strumenti per tenere traccia di modifiche, versioni, audit trail, e una “model card” che spieghi in parole povere come funziona l’algoritmo.
Poi c’è la questione del risk management: chi fa l’analisi d’impatto (DPIA)? Chi si accorge che il rischio è cambiato e aggiorna il modello? Queste responsabilità non possono restare nel vago, specie ora che il Regolamento AI (AI Act) impone obblighi precisi per i sistemi “ad alto rischio”. E anche se il sistema è “a basso rischio”, un errore può generare danni reputazionali, legali o addirittura penali.
Non va dimenticata l’operatività di emergenza: se il sistema va in crisi, ci deve essere un Service Level Agreement (SLA) che dica chi deve intervenire, entro quanto tempo, e con quali priorità. Non si tratta solo di bug fixing, ma anche di protezione da regressioni e vulnerabilità: basti pensare ai modelli che cambiano comportamento dopo un retraining non testato. Senza una clausola, ogni errore può diventare terreno di scontro e rimpallo.
In sintesi: un’AI senza responsabilità definite è un rischio aziendale. Non serve solo l’ingegnere bravo, serve un contratto che traduca tutto questo in regole operative chiare. Perché quando si parla di AI, trasparenza e controllo non sono un optional, ma una garanzia per tutte le parti in gioco.
A chi appartengono gli output dell’AI?
Un algoritmo scrive un testo, disegna un logo, elabora una strategia. Ma tutto questo materiale generato… a chi appartiene? È una domanda che ogni impresa dovrebbe porsi prima di lanciare un prodotto o un servizio basato sull’intelligenza artificiale. Perché, senza un contratto preciso, può capitare che tu non abbia affatto i diritti su ciò che è stato creato.
Secondo la normativa europea e italiana, i contenuti generati da un’AI non sono automaticamente protetti dal diritto d’autore se sono prodotti esclusivamente da una macchina. Questo significa che un testo o un’immagine generata da un algoritmo potrebbe non essere considerata un’opera tutelabile, e quindi potresti non avere titolo per esercitare diritti esclusivi su quel contenuto.
In più, gli output possono contenere, anche involontariamente, elementi derivati da opere preesistenti utilizzate durante l’addestramento del modello. Questo comporta un rischio reale: se il contenuto generato viola il copyright di terzi, la responsabilità può ricadere sul cliente che usa l’output, a meno che il contratto non specifichi esplicitamente chi si assume quel rischio (per comprendere meglio questi problemi e le implicazioni pratiche per l’utilizzo commerciale dei contenuti creati con l’AI, è utile leggere l’articolo Le immagini generate con AI possono essere utilizzate a fini commerciali? – Canella Camaiora)
In definitiva, se gli output non sono titolati per contratto, non sono davvero tuoi. E non è un dettaglio banale: nel momento in cui questi output vengono usati per pubblicità, prodotti editoriali, campagne di marketing o software, avere la certezza dei diritti in tasca significa proteggere il valore economico dell’investimento e ridurre i rischi di controversie.
PMI Vs. Software House: dallo sviluppo AI-assisted alla proprietà del codice
22 Gennaio 2026 | 18:00 - 20:00
Come evitare brutte sorprese con costi, exit e obblighi futuri?
Quando si firma un contratto per sviluppare o integrare un sistema AI, è facile concentrarsi solo sul risultato finale. Ma le sorprese vere arrivano dopo, se non si è pensato a cosa succede quando il progetto cambia, si rompe, si aggiorna o finisce. Per questo le clausole contrattuali su licenze, manutenzione, exit e compliance normativa sono l’unica vera cintura di sicurezza dei progetti tech.
Un riferimento utile per orientarsi su questi temi è l’articolo Intelligenza artificiale in azienda: privacy e contratti, cosa dice la legge – Canella Camaiora, che analizza come AI Act, GDPR e clausole contrattuali tipo per sistemi AI debbano essere considerati in modo coordinato quando si definisce una relazione commerciale con fornitori tech.
Primo punto: i costi nascosti. In molti contratti si paga lo sviluppo, ma poi non si ha accesso al codice sorgente, ai modelli o ai dataset puliti. Se manca una clausola che garantisca almeno accesso tecnico minimo per manutenzione o audit, si finisce vincolati a un fornitore anche solo per una modifica o una migrazione futura — un problema di cui si parla proprio nelle sezioni dedicate alle clausole contrattuali tipo nell’articolo di riferimento.
Poi c’è la questione dell’exit: se il cliente vuole interrompere il rapporto, chi tiene i dati e i materiali sviluppati? Come possono essere riutilizzati? Queste domande sono analoghe a quelle affrontate dallo studio quando discute di SaaS e inadempimento: cosa fare se il software non viene più aggiornato, e di come clausole chiare possano proteggere l’azienda cliente dal rimanere “bloccata” con risorse inutilizzabili.
Infine, sul fronte normativo, l’AI non è un terreno neutro. Con l’AI Act in arrivo e il GDPR già in vigore, serve prevedere nel contratto meccanismi di adeguamento normativo, garanzie e responsabilità per eventuali sanzioni o obblighi aggiuntivi. Anche sotto l’ombrello del GDPR, lo studio sottolinea come la gestione dei dati e i contratti con fornitori debbano contemplare base giuridica, trasparenza e responsabilità operativa — elementi che si intrecciano con le esigenze di un progetto AI solido e conforme.
Insomma, un contratto AI fatto bene non serve solo per l’avvio di un progetto, ma soprattutto per non vanificare l’exit. È lo strumento che permette all’impresa di crescere senza restare prigioniera di vincoli tecnici o legali.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 23 Dicembre 2025
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.