Implicazioni per professionisti e aziende

L’intersezione tra l’AI Act europeo e la legge nazionale italiana genera un nuovo paradigma di obblighi e opportunità che avrà un impatto diretto e concreto sull’operatività quotidiana di numerosi professionisti. In alcuni settori, tale impatto sarà particolarmente evidente; ci riferiamo a sanità, professioni legali e industrie creative. E in quest’ultima categoria, in maniera ampia, può sicuramente rientrare anche l’attività di sviluppo software e quella di consulenza aziendale.

L’AI nel settore sanitario: il fattore rischio

Qualsiasi sistema di AI impiegato a fini di diagnosi, prognosi, monitoraggio o trattamento terapeutico è quasi certamente classificato come “ad alto rischio” ai sensi dell’AI Act [1]. Questa classificazione innesca una serie di obblighi rigorosi sia per i produttori dei dispositivi (fornitori) sia per le strutture sanitarie e i singoli medici che li utilizzano (utilizzatori). Vediamo gli obblighi di seguito.

Onere di conformità

Le strutture sanitarie, in qualità di utilizzatrici, devono assicurarsi di impiegare solo sistemi certificati e conformi, utilizzandoli secondo le istruzioni e implementando solidi meccanismi di supervisione umana. Ciò include la formazione continua del personale, la gestione dei rischi operativi e il monitoraggio costante delle prestazioni degli algoritmi per minimizzare il rischio di errori.

Responsabilità finale del medico

Un principio fondamentale, sancito sia dall’AI Act (requisito di supervisione umana) sia in modo ancora più esplicito dall’art. 7 della legge italiana [2], è che l’AI rimane uno strumento di supporto. La decisione clinica finale, con tutta la responsabilità medico-legale che ne consegue, spetta sempre e solo al professionista sanitario. Il medico non può abdicare al proprio giudizio critico né delegare la decisione all’algoritmo.

Catena della responsabilità

L’uso dell’AI introduce una complessa catena di responsabilità. In caso di danno al paziente, la responsabilità potrebbe essere attribuita a diversi soggetti, a seconda della natura dell’errore:

• al fornitore del sistema di AI, per un difetto di progettazione, un bias nell’algoritmo o un malfunzionamento tecnico.
• alla struttura sanitaria, per aver implementato il sistema in modo inadeguato, per non aver fornito una formazione sufficiente al personale o per carenze nei protocolli di sicurezza.
• al singolo medico, per aver interpretato erroneamente l’output dell’AI, per non averlo verificato con la dovuta diligenza, per averlo utilizzato in un contesto inappropriato o per essersi fidato acriticamente di un risultato palesemente anomalo.

Strumenti amministrativi

Nel campo della sanità, l’AI trova impiego non solo in ambito strettamente medico, ma anche con l’uso per scopi puramente amministrativi, quali la gestione degli appuntamenti, il rilascio di certificati e così via. Ai termini dell’AI Act, tale impiego è considerato a basso rischio.

Tuttavia, la normativa impone obblighi stringenti di trasparenza: nel caso di prenotazione online, ad esempio, il paziente deve essere chiaramente informato che sta interagento con un bot e deve sempre avere la possibilità di parlare con un operatore umano (fallback umano). Inoltre, è severamente vietato raccogliere dati clinici attraverso questi canali per finalità non strettamente necessarie all’attività amministrativa, in conformità con il GDPR [3].

Un aspetto paradossale

L’introduzione dell’AI in medicina solleva una questione fondamentale riguardo l’evoluzione della responsabilità professionale. Sebbene la legge riaffermi la centralità del medico, la crescente accuratezza e diffusione degli strumenti diagnostici basati sull’AI potrebbe progressivamente modificare lo “standard di cura” richiesto.

Potrebbe emergere una nuova forma di negligenza professionale, in cui un medico viene considerato responsabile non per aver usato l’AI in modo errato, ma per non averla usata affatto, quando questa avrebbe potuto fornire informazioni diagnostiche cruciali.

Si delinea così un paradosso: il professionista è spinto ad adottare la tecnologia per soddisfare il nuovo standard di diligenza, ma rimane pienamente responsabile per l’output di uno strumento il cui funzionamento interno è spesso opaco (una “scatola nera”). Questa tensione accelererà inevitabilmente un riesame della dottrina della colpa medica, spingerà lo sviluppo di nuovi prodotti assicurativi specifici per i rischi legati all’AI e aumenterà la pressione legale e di mercato verso lo sviluppo di una Intelligenza Artificiale “spiegabile” (Explainable AI, XAI) in ambito medico, che consenta ai medici di comprendere, verificare e giustificare le raccomandazioni fornite dall’algoritmo.

L’AI a supporto delle professioni legali

Anche per avvocati e professionisti legali, la nuova normativa traccia un perimetro chiaro, posizionando l’AI come un potente strumento di efficienza, ma mai come un sostituto del pensiero critico e della valutazione giuridica.

Nuovo dovere deontologico di trasparenza

L’articolo 13 della legge italiana introduce un obbligo esplicito e innovativo: l’avvocato deve informare i propri clienti “con linguaggio chiaro, semplice ed esaustivo” sull’eventuale utilizzo di sistemi di AI nello svolgimento del mandato.

Questo “diritto all’informazione tecnologica” del cliente è destinato a diventare un nuovo standard deontologico e richiederà un adeguamento delle lettere di incarico, dei preventivi e della comunicazione professionale.

Anticipando quanto scriveremo più avanti, un tale dovere di trasparenza sull’utilizzo di sistemi AI si configura anche per altre tipologie di professionisti, non solo quelli dell’ambito legale, e può riguardare quindi anche attività come lo sviluppo del software o la consulenza aziendale.

Usi consentiti

L’impiego dell’AI è strettamente limitato ad attività di supporto e strumentali. Esempi pratici includono:

• la ricerca giuridica avanzata quando sia necessario analizzare vasti database di giurisprudenza e dottrina in tempi ridotti;
• l’analisi documentale in cui si fa eseguire al sistema AI una revisione automatizzata di grandi volumi di contratti o documenti in operazioni di due diligence;
• la redazione assistita in cui l’AI supporta nella stesura di bozze di atti standardizzati o clausole contrattuali.

Responsabilità ultima dell’avvocato

In maniera analoga a quanto già visto per le professioni sanitarie, le attività che costituiscono il nucleo della professione forense — l’interpretazione della legge, la definizione della strategia processuale, la consulenza al cliente e la validazione finale di qualsiasi documento — rimangono di esclusiva competenza e responsabilità del professionista umano.

Nello spirito della legge, affidare integralmente una prestazione intellettuale a un sistema di AI è espressamente vietato.

Le”industrie creative”

Veniamo ora all’ambito delle industrie “creative” in cui non rientrano solo le attività di  artisti, designer, musicisti, pittori. registi e così via, ma anche, in senso lato, creatori di contenuti vari. Per queste categorie di professionisti, l’AI generativa rappresenta sia una straordinaria opportunità creativa sia una fonte di nuove e complesse sfide legali.

Piattaforme come Midjourney, DALL-E e generatori musicali sono diventate strumenti comuni nel processo creativo, utilizzati per il brainstorming, la prototipazione rapida e la creazione di elementi visivi o sonori che poi saranno inglobati in opere più complesse.

Con questa diffusione di strumenti, i problemi principali sono due: quelli relativi alla trasparenza, già esaminata nei paragrafi precedenti — con l’obbligo deontologico di informare i clienti sull’uso di materiale realizzato con gli strumenti di AI generativa — e quelli relativi alla proprietà intellettuale.

Trasparenza ed etichettatura

Gli obblighi di trasparenza dell’AI Act, che impongono di etichettare i contenuti generati artificialmente — come esempio principale, ma non unico, i deepfake — e il principio di riconoscibilità sancito dalla legge italiana avranno un impatto diretto sul modo in cuile opere creative devono essere presentate al pubblico. La trasparenza deve essere assoluta, ma quale impatto potrebbe avere l’etichettatura di opera realizzata attraverso strumenti di AI sulla percezione del valore e dell’autenticità di un’opera?

Dimostrare l’autorialità umana

Il creativo che intenda rivendicare il diritto d’autore su un’opera creata con l’ausilio dell’AI dovrà essere in grado di dimostrare il proprio “contributo umano significativo”, attraverso la documentazione dell’intero processo creativo (idee iniziali, specificità dei prompt utilizzati, fasi di selezione, assemblaggio e rielaborazione “manuale” dell’output generato dall’algoritmo).

Proprietà intellettuale, in entrata e in uscita

Partendo dalle considerazioni appena fatte riguardo alle cosiddette “industrie creative”, si arriva necessariamente al tema cruciale del copyright, della proprietà intellettuale e del diritto d’autore, su cui l’Intelligenza Artificiale generativa ha un enorme impatto.

Possiamo guardare al futuro e pensare anche a nuovi modelli di business, a nuove tipologie di licenze di utilizzo, cose peraltro già viste in tempi recenti per quanto riguarda la diffusione di musica, immagini e video con quelle che, fino a qualche anno fa, erano ancora definite come “nuove tecnologie”. La legge italiana sull’AI [2] parla espressamente di un “equo compenso” per l’utilizzo di opere protette nella fase di addestramento dei modelli di Intelligenza Artificiale. Sebbene si tratti chiaramente di una tutela verso i grandi gruppi che nei decenni precedenti hanno prodotto media e informazione (TV, giornali, case di produzione cinematografica, produttori musicali etc.), questo punto della legge apre la porta a potenziali nuovi flussi di entrate per artisti, fotografi, musicisti e titolari di diritti, che potranno concedere in licenza i propri archivi per questo specifico scopo.

Copyright in entrata e uscita

La questione del diritto d’autore resta probabilmente la più complessa e controversa nell’intersezione tra AI e diritto: ci sono infatti due aspetti da considerare: da un lato il diritto, diciamo così, sull’output; dall’altro quello sull’input.

• Diritti di “output”: di chi è la proprietà intellettuale e come la si tutela per quanto riguarda il contenuto prodotto dall’AI?
• Diritti in “input”: qual è e come si tutela la legalità dell’uso di dati protetti che vengono immessi nei sistemi AI per addestrarli?

Senza approfondire troppo, anche perché il quadro normativo subirà con ogni probabilità ulteriori modifiche e integrazioni nei prossimi anni, vediamo rapidamente cosa dicono le leggi a tal proposito.

Chi è l’autore del contenuto generato dall’AI?

La domanda fondamentale è se un’opera creata da un sistema di AI possa essere protetta dal diritto d’autore e, in caso affermativo, a chi spetti la titolarità di tali diritti. La legge italiana sull’Intelligenza Artificiale ha modificato alcuni punti della legge sul diritto d’autore che continua però a proteggere

le “opere dell’ingegno umano di carattere creativo”, anche quando create “con l’ausilio di strumenti di intelligenza artificiale”, a condizione che costituiscano “risultato del lavoro intellettuale dell’autore”. Con questa definizione, sono escluse dalla tutela le opere generate in modo completamente autonomo da un algoritmo, senza un intervento umano determinante, che quindi rischiano di ricadere nell’ambito del pubblico dominio.

Ora però, definire il concetto di “apporto umano significativo” non è così lineare e semplice e resta irrisolto: non è individuato un criterio legale oggettivo per definire cosa costituisca un “apporto umano significativo”, “rilevante” o “determinante”. Sarà quindi materia di giurisprudenza, con i tribunali che dovranno valutare caso per caso.

Al “creativo” che realizzi un qualsivoglia contenuto con l’uso di Intelligenza Artificiale generativa, si raccomanda di adottare una strategia che documenti meticolosamente il loro intero processo creativo, archiviando i prompt, le diverse versioni degli output, gli schizzi preparatori e qualsiasi prova che dimostri le loro scelte editoriali, stilistiche e compositive.

Legalità dell’addestramento dell’AI su opere protette

L’altro aspetto, non meno cruciale, è alla base del funzionamento dei modelli di AI generativa: analisi di enormi quantità di dati, che spesso includono testi, immagini e musiche protetti da copyright, raccolti su larga scala da internet.

A ben guardare, esiste la cosiddetta eccezione per il Text and Data Mining (TDM) prevista dalla Direttiva UE sul Copyright nel Mercato Unico Digitale (2019/790), recepita in Italia negli articoli 70-ter e 70-quater della legge sul diritto d’autore. Questa norma consente, a determinate condizioni, l’uso di materiale protetto per addestrare i modelli di AI tramite la riproduzione e l’estrazione di dati da opere a cui si ha legittimamente accesso per finalità di analisi computazionale.

Esiste però anche il cosiddetto diritto di “Opt-Out”, ribadito anche nella legge italiana sull’AI, che permette a un autore, un editore o un artista di impedire che i propri contenuti vengano utilizzati — almeno legalmente — per addestrare modelli di AI commerciali. Va però detto che, se il diritto di “OptOut” esiste ed è sancito dalla legge, poi la sua effettiva applicazione pratica è estremamente problematica: attualmente non esiste uno standard tecnico unico e universalmente riconosciuto per comunicare questa riserva in modo che sia “leggibile dalle macchine”, per quanto stiano emergendo protocolli più specifici come ai.txt, il TDM Reservation Protocol (TDMREP), o i metadati C2PA, ancora però lontani da diventare diffusi ed efficaci.

C’è poi l’obbligo per i fornitori di modelli AI di riportare nella documentazione tecnica una sintesi dei contenuti protetti da diritto d’autore utilizzati per l’addestramento. Ma, ad essere realistici,  la situazione attuale rivela una profonda discrepanza tra i diritti sanciti dalla legge e la realtà tecnica: i proprietari dei contenuti dovranno probabilmente intentare cause lunghe e complicate per far riconoscere i loro diritti.

Una strategia per aziende e professionisti

Il nuovo quadro normativo sull’Intelligenza Artificiale impone a imprese e professionisti italiani un cambio di paradigma. La conformità non è più solo una questione tecnica o di privacy, ma una prospettiva complessa che richiede un approccio consapevole e attivo.

Al di là del fondamentale obbligo di trasparenza, per cui occore dichiarare ai propri clienti che ci si sta avvalendo di strumenti AI per la creazione dei prodotti o la fornitura dei servizi che si stanno erogando, emergono alcuni altri punti da non trascurare.

Inventario e classificazione dei sistemi di AI

Effettuare una mappatura completa di tutti i sistemi di AI utilizzati o in fase di sviluppo all’interno della propria organizzazione. Ciascun sistema deve essere classificato secondo le categorie di rischio definite dall’AI Act (inaccettabile, alto, limitato, minimo).

Analisi delle lacune

Valutare le prassi attuali rispetto ai requisiti normativi corrispondenti al livello di rischio identificato. Per i sistemi ad alto rischio, questa analisi deve essere particolarmente rigorosa e coprire tutti gli aspetti richiesti: gestione del rischio, governance dei dati, documentazione tecnica, supervisione umana e cybersicurezza.

Implementazione della governance

Creare e implementare dregole e procedure interne per l’acquisizione, lo sviluppo, l’implementazione e l’uso responsabile dell’AI. In analogia a quanto accade per il GDPR, si può pensare alla nomina di un responsabile della conformità AI, delle valutazioni d’impatto sulla protezione dei dati (DPIA) e della definizione di chiari protocolli per la supervisione umana.

Conformità al settore

La legge italiana prevede professioni ordinate in ordini e collegi: per i professionisti che operano in settori così regolamentati (p.e.,sanità, giustizia, altre professioni intellettuali), occorre integrare i requisiti specifici della normativa nazionale sull’AI in quanto già si fa in accordo alla regolamentazione di settore.

Formazione

Il tema della sensibilizzazione e formazione sugli argomenti inerenti all’AI, sia negli aspetti tecnici, che in quelli normativi, che nell’impatto di tali sistemi sulla sfera personale e sociale resta cruciale. Peraltro, l’alfabetizzazione in materia di AI è richiesta sia dall’AI Act sia dalla legge italiana e va vista non tanto come un obbligo giuridico, ma come una delle modalità più efficaci per mitigare i rischi e promuovere un uso consapevole della tecnologia.

Conclusioni

L’architettura normativa duale, europea e italiana, rappresenta uno degli sforzi regolatori più ambiziosi al mondo per governare l’Intelligenza Artificiale. Il suo successo dipenderà non solo dall’efficace applicazione da parte delle autorità nazionali designate, ma anche dalla chiarezza dei decreti legislativi attuativi che il Governo italiano dovrà emanare per completare il quadro. Saranno proprio i decreti attuativi che, nel concreto, indicheranno le modalità di implementazione dello spirito della legge.

I principi fondamentali di antropocentrismo, trasparenza, sicurezza e responsabilità forniscono una base solida e condivisibile. Tuttavia, le questioni ancora aperte — in particolare la definizione giurisprudenziale del “contributo umano” nel diritto d’autore e l’implementazione tecnica di un sistema efficace per l’opt-out dal Text and Data Mining — continueranno a essere modellate dalle decisioni dei tribunali e da futuri affinamenti legislativi.

In definitiva, la nuova normativa trasforma l’Intelligenza Artificiale da fenomeno puramente tecnologico a questione strategica, legale ed etica. Essa non mira a frenare l’innovazione, ma a incanalarla entro un perimetro di valori condivisi, garantendo che il progresso tecnologico vada di pari passo con la tutela dei diritti e della dignità umana. Per i professionisti e le imprese che operano in Italia e in Europa, affrontare questa sfida non è più un’opzione, ma una necessità per operare in modo responsabile e competitivo nel futuro digitale.

Riferimenti

[1] Il cosiddetto “AI Act”, Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio, 13 giugno 2024
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202401689

[2] Legge 23 settembre 2025, n. 132: “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”
https://www.gazzettaufficiale.it/eli/gu/2025/09/25/223/sg/pdf

[3] GDPR (UE 2016/679), Regolamento generale sulla protezione dei dati dell’Unione Europea.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597