Innovation Law Insights

Artificial Intelligence

Si avvicina la scadenza per la conformità all'AI Act: siete pronti?

Tra meno di 50 giorni entreranno in vigore le disposizioni pertinenti dell'AI Act, rendendo ancora più fondamentale per le imprese garantire la conformità nell'utilizzo dei sistemi di intelligenza artificiale.

A partire dal 2 agosto 2025, una serie di obblighi fondamentali previsti dall'AI Act diventeranno giuridicamente vincolanti. Tra questi figurano:

• La designazione delle autorità notificanti e notificate per i sistemi di AI ad alto rischio
• Requisiti per i fornitori di AI per finalità generiche (GPAI)
• Regole fondamentali di governance dell'AI
• Sanzioni (ad eccezione delle sanzioni per i fornitori di modelli GPAI)
• Obblighi di riservatezza nel contesto del monitoraggio post-commercializzazione

Queste misure hanno un impatto non solo sugli sviluppatori e fornitori di AI, ma anche sui distributori, ovvero qualsiasi azienda che integra o utilizza sistemi di AI, in particolare l'AI generativa, nelle proprie attività. Con l'avvicinarsi di questi obblighi, le organizzazioni devono garantire con urgenza la piena attuazione della loro strategia di conformità all'AI Act.

Perché l'AI Act cambia tutto

L'AI Act rappresenta un passaggio da norme non vincolanti a obblighi. Introduce una chiara distinzione tra sistemi di AI vietati, ad alto rischio e per finalità generali, ciascuno con obblighi specifici. Questo approccio strutturato richiede alle aziende di valutare non solo gli strumenti di AI che sviluppano, ma anche quelli che acquistano, concedono in licenza o semplicemente integrano.

Inoltre, le autorità di regolamentazione avranno ora la possibilità di verificare le pratiche delle aziende in materia di AI, imporre misure correttive e avviare indagini sui sistemi che presentano rischi significativi per i diritti fondamentali o la sicurezza.

Un approccio strutturato alla governance dell'AI

Per soddisfare i requisiti di conformità all'AI Act, le aziende hanno bisogno di un modello di governance solido. Questo deve allineare le parti interessate a livello legale, tecnico e operativo attorno a una strategia unificata in materia di AI.

1. Supervisione strategica dall'alto

La governance inizia dalla leadership. I team esecutivi devono definire come l'organizzazione utilizza l'AI, con principi guida quali fiducia, trasparenza e minimizzazione dei rischi. Questi principi devono poi essere tradotti in politiche e protocolli interni dettagliati dai dipartimenti legale, di rischio e di conformità.

Questo approccio dall'alto verso il basso garantisce che l'IA sia in linea con i valori dell'azienda, pur rimanendo adattabile ai continui cambiamenti normativi.

2. Comitati di governance interna

Anziché affidarsi a un unico responsabile dell'AI, le aziende stanno sempre più spesso nominando comitati multidisciplinari dedicati all'AI. Questi comitati includono in genere rappresentanti dei reparti legale, compliance, sicurezza informatica, governance dei dati e IT.

Il loro ruolo è valutare i rischi, supervisionare i casi d'uso interni e gestire i rapporti con i fornitori esterni di AI. Questi comitati costituiscono il cuore operativo della conformità all'AI Act, assicurando che ogni implementazione soddisfi gli standard legali ed etici.

3. Mappatura e classificazione dei casi d'uso dell'AI

Un numero sorprendente di strumenti di uso quotidiano, dalle piattaforme HR automatizzate ai sistemi di valutazione del merito creditizio, rientrano nella definizione ampia di AI ai sensi della legge. Molti di questi potrebbero rientrare nella categoria “ad alto rischio” senza che l'organizzazione se ne renda conto.

Il primo passo verso la conformità è identificare tutti i sistemi di AI in uso e classificarli correttamente. In caso contrario, si potrebbe implementare un sistema che comporta obblighi di cui l'azienda non è a conoscenza, con conseguenze particolarmente problematiche nei settori regolamentati o nelle operazioni transfrontaliere.

4. Politiche di conformità all'AI Act

Per evitare rischi normativi, ogni organizzazione deve sviluppare una politica interna per l'AI, verificarne la conformità alla legge e garantire che tutti i processi interni ed esterni siano in linea con la propria strategia di conformità all'AI Act. Se un'azienda non rende operativa la conformità all'AI Act in tutti i reparti, rischia di non essere conforme all'AI Act anche se ritiene di essere pienamente conforme alla legge.

5. Gestione dei rischi e controlli

Una volta mappati i sistemi di AI, questi devono essere abbinati a controlli che ne mitigano i rischi associati. Ciò include:

• Supervisione umana
• Meccanismi di spiegabilità
• Rilevamento dei pregiudizi
• Protocolli di resilienza e sicurezza
• Responsabilità dei fornitori attraverso contratti

Per i sistemi di AI ad alto rischio, questi controlli non sono più facoltativi, ma sono requisiti legali ai sensi dell'AI Act.

6. Monitoraggio continuo

L'IA non è statica, così come i rischi che introduce. Le aziende devono mantenere un modello di governance dinamico, che include:

• Rivalidazione dei sistemi in caso di modifiche al software o ai dati
• Monitoraggio degli aggiornamenti del quadro normativo
• Revisione periodica delle valutazioni dei rischi

Questo processo deve essere documentato e verificabile per soddisfare le aspettative di monitoraggio post-commercializzazione e responsabilità delle autorità di regolamentazione.

Il valore strategico della conformità

Le organizzazioni che considerano la conformità all'AI Act come un semplice esercizio burocratico rischiano di rimanere indietro. Al contrario, quelle che integrano la governance nelle loro operazioni possono ottenere vantaggi a lungo termine, riducendo l'esposizione, migliorando l'efficienza interna e aumentando la fiducia degli stakeholder.

Inoltre, dato che l'AI Act dell'UE dovrebbe definire lo standard per la regolamentazione dell'IA a livello globale, le aziende che raggiungono la conformità ora saranno meglio attrezzate per orientarsi nei quadri normativi che saranno introdotti in altre giurisdizioni.

Con il conto alla rovescia ormai iniziato, la domanda non è se l'AI Act si applica alla vostra attività (probabilmente sì), ma se la vostra azienda è pronta a soddisfare i suoi obblighi.

A questo proposito, potete leggere gli ultimi numeri della nostra rivista dedicata al diritto in materia di AI disponibile oui.

Su un argomento simile può essere d'interesse l'articolo "Definizione dei sistemi di AI ad alto rischio ai sensi dell’AI Act – Consultazione ora aperta!".

Autore: Giulio Coraggio

 

Data Protection & Cybersecurity

La protezione dei minori nell'era digitale: le principali novità normative europee e italiane sulla sicurezza online

La crescita esponenziale della presenza dei minori negli spazi digitali implica sfide di portata significativa. L'ambiente virtuale, infatti, espone i minori a contenuti dannosi, violazioni della privacy e pratiche di manipolative. La tutela dei minori online richiede un approccio equilibrato che garantisca la loro sicurezza, privacy e benessere attraverso la valutazione dei rischi legati all'utilizzo delle piattaforme digitali, l'implementazione di meccanismi di verifica dell'età e impostazioni privacy predefinite su misura per i minori. In tale contesto, la Commissione europea è recentemente intervenuta proponendo una bozza di linee guida in materia di protezione dei minori online a norma del Digital Services Act (le "Linee Guida"), ai sensi dell'art. 28 del Regolamento (UE) 2022/2065 ("Digital Services Act" o "DSA"), volte a supportare le piattaforme online accessibili ai minori nel garantire un elevato livello di privacy, sicurezza e protezione. Le Linee Guida, già sottoposte a una consultazione conclusasi il 15 giugno 2025 e in fase di finalizzazione entro l'estate del 2025, andranno a integrare le misure già in vigore a livello nazionale ed europeo.

Il Quadro normativo europeo attuale

L'Unione europea ha già compiuto passi importanti per la tutela dei minori online attraverso la regolamentazione sulla protezione dei dati. Il Regolamento (EU) 2016/679 ("General Data Protection Regulation" o "GDPR") contiene disposizioni specifiche che riconoscono i minori come soggetti vulnerabili che necessitano di una tutela rafforzata, in particolare per quanto riguarda il trattamento dei loro dati personali. In particolare, l'art. 8 del GDPR fissa a 16 anni l'età minima per prestare validamente il consenso al trattamento dei dati personali nell'ambito dei servizi della società dell'informazione, con la possibilità per gli Stati membri di abbassare tale età fino a un minimo di 13 anni. Ove il minore abbia un'età inferiore ai 16 anni, il trattamento dei dati è lecito soltanto se e nella misura in cui il consenso è prestato dal soggetto che esercita la responsabilità genitoriale, con il conseguente obbligo per i titolari del trattamento di adottare adeguati meccanismi di verifica del consenso dei genitori. Durante l'assemblea plenaria del febbraio 2025, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato una dichiarazione sui sistemi di verifica dell'età, rilevando come tale misura sia essenziale per impedire ai minori di accedere a contenuti non appropriati alla loro età. Allo stesso tempo, l'EDPB ha riconosciuto che il metodo di verifica dell'età deve essere il meno invasivo possibile e che resta primaria l'esigenza di tutelare i dati personali dei minori.

A integrazione di tale quadro normativo, con un particolare focus sui servizi digitali, il DSA introduce disposizioni specifiche volte a proteggere i minori online, ma, a differenza del GDPR, non individua una soglia di età specifica. L'art. 28 del DSA prevede espressamente che “I fornitori di piattaforme online accessibili ai minori adottano misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio”. L'art. 28 del DSA non prescrive misure specifiche per la verifica dell'età. Tuttavia, l'ultimo paragrafo dell'art. 28 prevede che la Commissione possa emanare linee guida per assistere i fornitori di piattaforme online nell'applicazione di tali misure. In questo contesto, la Commissione ha avviato una consultazione pubblica sulla bozza di Linee Guida, che si è conclusa il 15 giugno.

Nell'ambito della consultazione, il 4 giugno 2025 la Commissione europea ha organizzato un workshop con 150 esperti provenienti dal mondo dell'industria, dell'accademia, della società civile, delle autorità di regolazione e della comunità giovanile giovani per raccogliere feedback sulle Linee Guida.

L'adozione della versione definitiva delle Linee Guida è prevista per l'estate del 2025. Nel frattempo, la Commissione europea sta lavorando allo sviluppo di una soluzione armonizzata a livello UE per la verifica dell'età che garantisca la tutela della privacy. La prima versione delle specifiche tecniche e la versione beta sono già disponibili su GitHub. Si tratta in ogni caso di una soluzione temporanea in attesa dell'entrata in vigore del digital wallet dell'UE, prevista entro la fine del 2026, in ottemperanza al Regolamento (UE) 2024/1183.

Il contenuto delle Linee Guida

Le Linee Guida hanno lo scopo di assistere i fornitori di piattaforme online nel gestire i rischi per i minori, individuando una serie di misure che la Commissione ritiene adeguate per garantire un elevato livello di privacy, sicurezza e protezione sulle loro piattaforme. La Commissione europea osserva infatti che il fornitore di una piattaforma online che si limita a dichiarare nei propri termini e condizioni che la piattaforma non è accessibile ai minori, ma non adotta alcuna misura efficace per impedire ai minori di accedere al proprio servizio, non può sostenere che la propria piattaforma online non rientra nell'ambito di applicazione dell'art. 28 del DSA ed è quindi comunque tenuto ad attuare misure efficaci per proteggere i minori da contenuti nocivi. Allo stesso tempo, secondo l'attuale bozza delle Linee Guida, la Commissione europea ritiene che l'autodichiarazione (ovvero il fatto di affidarsi al singolo individuo per indicare la propria età o confermare la propria fascia d'età, fornendo volontariamente la propria data di nascita o oppure dichiarando di avere un'età superiore a una certa soglia, in genere cliccando su un pulsante) non soddisfi tutti i requisiti di robustezza e affidabilità. Pertanto, la Commissione non ritiene che l'autodichiarazione sia un metodo adeguato per garantire un elevato livello di privacy, sicurezza e protezione dei minori ai sensi dell'art. 28. Le misure appropriate raccomandate dalla Commissione comprendono la stima dell'età (ovvero metodi indipendenti che consentono a un fornitore di stabilire in via presuntiva che un utente ha una certa età, rientra in una determinata fascia di età o è maggiore o minore di una certa età) e la verifica dell'età (ovvero un sistema che si basa su identificatori fisici o fonti di identificazione verificate che forniscono un elevato grado di certezza nella determinazione dell'età di un utente).

Per quanto riguarda la moderazione dei contenuti, la Commissione ritiene che i fornitori di piattaforme online accessibili ai minori dovrebbero stabilire politiche e procedure di moderazione che definiscano le modalità di individuazione dei contenuti e dei comportamenti dannosi per la privacy, la sicurezza e l'incolumità dei minori e le modalità di moderazione degli stessi, garantendo l'effettiva applicazione di tali politiche e/o procedure.

Infine, la Commissione richiede l'attuazione di meccanismi di segnalazione, feedback e reclamo che siano di facile utilizzo per i minori, al fine di consentire loro di segnalare contenuti, attività, individui, account o gruppi che ritengono possano violare i termini e le condizioni della piattaforma. Ciò include qualsiasi contenuto, utente o attività che la piattaforma ritenga dannoso per la privacy, la sicurezza e/o l'incolumità dei minori.

Il Quadro di riferimento italiano

Il quadro giuridico italiano per la protezione online dei minori è caratterizzato da una combinazione di tutele in materia di privacy, iniziative di settore e recenti misure legislative volte a migliorare la sicurezza dei minori. Ai sensi del Codice Privacy (d.lgs. 196/2003), così come adattato al GDPR dal d.lgs. 101/2018, i minori sono riconosciuti come una categoria vulnerabile che richiede una protezione speciale nel trattamento dei propri dati personali. In particolare, l'art. 2-quinquies del Codice Privacy fa esplicito riferimento ai diritti dei minori, rafforzando le disposizioni del GDPR in materia di consenso dei genitori al trattamento dei dati dei minori di 14 anni e ponendo l'accento sulla trasparenza e la chiarezza delle comunicazioni rivolte ai minori. Il Garante per la Protezione dei Dati Personali ha inoltre adottato una posizione ferma in materia di tutela della privacy dei minori, in particolare richiedendo a diversi fornitori di piattaforme e servizi online di adottare strumenti di verifica dell'età adeguati a impedire l'accesso ai minori senza il consenso espresso di chi esercita la responsabilità genitoriale nei loro confronti.

Inoltre, il D.Lgs. n. 123 del 15 settembre 2023 (“Decreto Caivano”) stabilisce misure urgenti per rafforzare la protezione dei minori nell'ambito digitale. Tra le disposizioni principali, l'articolo 13-bis impone ai gestori di siti web e ai fornitori di piattaforme di condivisione video che diffondono immagini e video pornografici in Italia di verificare l'età degli utenti al fine di impedire ai minori di 18 anni di accedere a contenuti pornografici.

Per attuare l'art. 13-bis del Decreto Caivano, il 18 aprile 2025 l'Autorità per le Garanzie nelle Comunicazioni ("AGCOM") ha approvato la delibera n. 96/25/CONS, che stabilisce le modalità con cui le piattaforme di condivisione video e i siti web che rendono disponibili contenuti pornografici in Italia devono verificare l'età dei propri utenti. Il sistema di verifica dell'età prevede l'intervento di soggetti terzi indipendenti certificati incaricati di fornire una prova dell'età, definendo un processo in due fasi – identificazione e autenticazione dell'utente – per ogni sessione di utilizzo del servizio regolamentato (ad esempio, la fornitura di contenuti pornografici tramite un sito web o una piattaforma web).

Entro sei mesi dalla pubblicazione della delibera, le piattaforme e i siti web devono conformarsi alle disposizioni pertinenti. L'AGCOM è incaricata di vigilare sul rispetto delle disposizioni, ordinando ai fornitori di cessare le violazioni o adottando tutte le misure necessarie per bloccare il sito web o la piattaforma che risultano in violazione dei requisiti.

Conclusioni

La protezione dei minori online rappresenta una priorità sia a livello europeo che italiano, fondata sui principi della privacy-by-design, sulla valutazione dei rischi e sulla tutela dell'interesse superiore del minore. L'Unione europea ha istituito un solido quadro normativo attraverso le disposizioni specifiche per i minori contenute nel GDPR, gli obblighi mirati per le piattaforme online previsti dal Digital Services Act e le Linee Guida della Commissione di prossima pubblicazione. L'Italia ha integrato tale quadro con recenti interventi legislativi e regolamentari, quali il Decreto Caivano e i requisiti di verifica dell'età e di controllo parentale applicabili stabiliti dall'AGCOM.

Per i fornitori di servizi online è essenziale conformarsi a queste norme in continua evoluzione al fine di evitare pesanti sanzioni e danni alla reputazione, soprattutto alla luce della crescente attenzione riservata alle piattaforme digitali in relazione alla sicurezza dei minori. Il team di DLA Piper offre una vasta esperienza nell'assistenza personalizzata e nel supporto pratico ai fornitori di servizi online che desiderano orientarsi in questo panorama complesso, garantendo la piena conformità ai requisiti applicabili.

Su un argomento simile può essere di interesse l'articolo "Sanzione GDPR da 405 milioni contro Instagram per illecito trattamento di dati di minori".

Autrice: Marianna Riedo

 

Technology

NFT e mercato assicurativo: rischi emergenti e soluzioni giuridiche

Nel quadro della crescente digitalizzazione dell’economia e della cultura, le opere d’arte digitali emesse sotto forma di Non-Fungible Token (NFT) pongono questioni nuove e complesse per il diritto assicurativo.

L’assenza di un quadro normativo definito, l’incertezza sulla natura giuridica dei token e i rischi connessi alla volatilità del mercato e alla sicurezza informatica rendono urgente un adattamento degli strumenti di tutela tradizionali, anche alla luce delle trasformazioni introdotte dalla tecnologia blockchain.

La natura giuridica dell’NFT e le criticità definitorie

Gli NFT sono certificati “di proprietà” su opere digitali registrati su blockchain tramite smart contract. Si tratta di certificati digitali di autenticità e titolarità per opere native digitali, alle quali conferiscono unicità e tracciabilità. Tuttavia, nonostante la massiccia diramazione del fenomeno della criptoarte e le conseguenze che da esso direttamente promanano nell'attuale contesto economico-legale, manca una definizione univoca della natura giuridica degli NFT, elemento essenziale per la determinazione del rischio e del premio assicurativo. È necessario innanzitutto distinguere tra:

• il token in sé, inteso come entità digitale unica e non fungibile;
• l’opera digitale identificata dal token, che può anch’essa essere oggetto di assicurazione.

In Italia, il Ministero della Cultura ha tentato di inquadrarli come strumenti circolatori di copie digitali di opere artistiche, senza però attribuire loro una qualificazione definitiva. A livello europeo, il Regolamento (UE) 2023/1114 sui Mercati delle Cripto-Attività (MiCA) volto ad armonizzare il framework dell'Unione in materia di crypto-assets, non estenderà la propria applicazione alle cripto-attività uniche e non fungibili quali, per l'appunto, gli NFT. Analogamente, né il diritto francese né quello statunitense offrono definizioni giuridiche esaustive.

In questo contesto, si segnala la pronuncia della High Court inglese, Osbourne v. OpenSea (2022 EWHC 1021) che ha riconosciuto agli NFT natura proprietaria, ammettendone la tutela legale, e quella del Tribunale di Hangzhou che ha qualificato gli NFT come proprietà virtuale.

Le sfide dell’assicurabilità dell’arte digitale

Il passaggio dell’arte al digitale impone una revisione profonda del concetto di assicurabilità. Le polizze tradizionali per le opere d’arte (cd. fine art) non risultano idonee a coprire i nuovi rischi associati agli NFT. Le problematiche più rilevanti sono almeno tre:

1. la valutazione economica degli NFT, soggetta a fluttuazioni estreme e all’assenza di un mercato di riferimento stabile;
2. l’individuazione del rischio assicurabile, spesso immateriale o informatico e difficilmente inquadrabile secondo gli schemi tradizionali;
3. la difficoltà nella verifica della titolarità del token, spesso occultata da sistemi di pseudonimato e decentralizzazione.

In aggiunta, mancano standard uniformi per valutare il valore e il rischio di queste opere, rendendo la determinazione del premio assicurativo un’operazione complessa e suscettibile di variazioni repentine.

Rischi emergenti: tra volatilità del valore e minacce informatiche

L’NFT Art è esposta a una pluralità di rischi inediti. Tra questi, rilevano:

• il deprezzamento repentino dei token;
• la possibilità di plagio e contraffazione dell’opera digitale sottostante;
• l’utilizzo illecito degli NFT per scopi di riciclaggio e frodi, aggravato dall’anonimato degli scambi e dalla transnazionalità delle transazioni;
• gli attacchi informatici ai wallet e alle piattaforme di scambio.

In particolare, la sottrazione delle chiavi crittografiche di accesso al wallet comporta la perdita dell’asset, senza possibilità di recupero. Tale rischio è più elevato nei cd. hot wallets, costantemente connessi alla rete, rispetto ai cold wallets. Ne è un esempio il caso di Coincheck Inc., un importante exchange giapponese di criptovalute che ha subito un attacco informatico costatole 534 milioni di dollari in cripto. Il furto, tanto grande da superare il caso MtGox del 2014, è avvenuto, per l'appunto, attraverso un hot wallet collegato alla rete.

La prospettiva delle polizze cyber risk

Proprio per la natura digitale e decentralizzata dell’opera d’arte in NFT, le polizze cyber risk appaiono una soluzione assicurativa potenzialmente più adatta rispetto a quelle tradizionali. Questi strumenti coprono tipicamente danni derivanti da violazioni di dati, attacchi informatici, responsabilità civile e spese legali. Benché nate per altri scopi, le polizze cyber possono essere adattate a coprire:

• danni al supporto digitale o alla blockchain;
• furti di token o chiavi private;
• violazioni dei diritti d’autore;
• danni reputazionali legati alla circolazione di NFT falsificati;
• spese di assistenza tecnica e di disaster recovery.

Tuttavia, si pone il problema di come inquadrare un’opera d’arte come un “dato” protetto dal rischio cyber e non semplicemente come un asset assicurabile.

Esperienze operative e primi modelli di copertura

Alcuni operatori assicurativi e insurtech hanno già sviluppato prodotti innovativi per la protezione degli NFT. Si citano, tra gli altri, Coincover, che offre soluzioni di recupero dei token e protezione contro il furto delle chiavi; Nexus Mutual, che prevede coperture mutualistiche contro gli attacchi informatici ai contratti smart; e YAS Digital Limited con il prodotto NFTY, prima microassicurazione NFT al mondo, sviluppata in collaborazione con Assicurazioni Generali S.p.A. – Hong Kong.

Altre compagnie, come OneDegree, AXA, MunichRe, stanno esplorando coperture ibride tra fine art e cyber risk. Inoltre, piattaforme specializzate nella certificazione artistica in blockchain, come 4ART Technologies AG e Art Rights, stanno offrendo servizi di tracciamento e identificazione utili anche ai fini assicurativi.

Conclusione

L’emergere della criptoarte quale forma di espressione artistica e asset d’investimento richiede un approccio giuridico e assicurativo multidisciplinare. Sebbene la volatilità del mercato degli NFT e la recente contrazione delle vendite sollevino dubbi sulla sostenibilità del fenomeno, è innegabile che la digitalizzazione del patrimonio artistico sia destinata a crescere. Ciò impone l’elaborazione di strumenti normativi e assicurativi che siano flessibili, tecnologicamente avanzati e giuridicamente fondati.

Per approfondire ulteriormente il tema dell’intelligenza artificiale si rimanda al seguente link: Guida - Metaverso, NFT e le problematiche legali di DLA Piper.

Autrice: Dorina Simaku

 

Intellectual Property

Diritto d’autore e AI generativa: il primo rinvio pregiudiziale alla CGUE

Nel contesto dell’evoluzione tecnologica legata all’intelligenza artificiale generativa (AI) e alla tutela del diritto d’autore, la Corte di Giustizia dell’Unione Europea (CGUE) è stata recentemente investita della sua prima questione pregiudiziale in materia di diritto d'autore e AI generativa. Il caso, Like Company v. Google Ireland (C-250/25), solleva interrogativi centrali sulla qualificazione giuridica dei contenuti generati da chatbot AI, con particolare riferimento alla normativa europea in tema di diritto d’autore e diritti connessi.

I fatti all’origine del rinvio in materia di diritto d'autore e AI generativa

La controversia ha origine in Ungheria, dove la società Like Company, editrice del sito balatonkornyeke.hu, ha pubblicato un articolo su notizie riguardanti il cantante ungherese Kozso, tra cui un presunto progetto per introdurre delfini nel lago Balaton. L’articolo – privo di firma e accompagnato da una foto estratta da Facebook – consisteva in un riassunto di circa 579 parole, basato su informazioni reperibili online.

Secondo i ricorrenti, il chatbot Gemini di Google avrebbe generato, a partire dal prompt “Puoi fornire un riassunto in ungherese della pubblicazione online apparsa su balatonkornyeke.hu riguardo al piano di Kozso di introdurre delfini nel lago?”, un output che riproduceva in maniera sostanzialmente fedele i contenuti dell’articolo originale. Secondo Like Company, ciò costituirebbe una violazione del diritto esclusivo di comunicazione al pubblico, in violazione dell’art. 15 della Direttiva 2019/790/UE sul diritto d’autore nel mercato unico digitale (“Direttiva DSM”).

Google, per contro, ha rigettato ogni addebito, sostenendo:

• che non vi è stata riproduzione dell’opera in Ungheria, rendendo inapplicabile la normativa nazionale sul diritto d’autore;
• che il riassunto prodotto da Gemini non rappresenta né una riproduzione né una comunicazione al pubblico, poiché l’articolo originale era già liberamente disponibile online, e perché il riassunto non riproduceva testualmente il contenuto, limitandosi a riformulare i fatti salienti.

In subordine, Google ha invocato le eccezioni ed esclusioni previste dalla normativa europea:

• l’eccezione per le copie temporanee di cui all’art. 5(1) della Direttiva Infosoc (2001/29/CE);
• l’eccezione per il text and data mining (TDM) di cui all’art. 4 della Direttiva DSM, che consente l’estrazione di testi e dati da contenuti legittimamente accessibili online, a condizione che il titolare dei diritti non abbia espressamente esercitato l’opt-out.

Le questioni pregiudiziali del caso sull'AI sollevate

Il Tribunale distrettuale di Budapest (Budapest Környéki Törvényszék) ha deferito alla CGUE tre questioni:

1. Se una risposta generata da un chatbot che riproduce contenuti identici a quelli di una pubblicazione editoriale possa costituire:
• una riproduzione;
• una comunicazione al pubblico;
  e se assuma rilievo il fatto che il contenuto generato sia frutto di un processo predittivo tipico dei modelli linguistici.
2. Se l’addestramento di un modello AI implichi la realizzazione di un atto di riproduzione.
3. In caso affermativo, se tale attività rientri nell’eccezione per TDM di cui all’art. 4 della Direttiva DSM.

I profili critici del rinvio

Le questioni sollevate toccano alcuni tra i nodi più attuali e controversi nel rapporto tra tecnologie AI e diritto d’autore. Due considerazioni preliminari appaiono rilevanti:

1. Il giudice ungherese sembra presupporre che il contenuto dell’articolo sia protetto da diritto d’autore. In realtà, la protezione non si estende ai meri fatti, anche se riportati in forma giornalistica. È necessario verificare che vi sia originalità sufficiente nell’espressione dell’opera.
2. Né il diritto d’autore né i diritti connessi degli editori di stampa impediscono la creazione indipendente: è necessario dimostrare un rapporto di derivazione tra opera originale e contenuto generato. Nel contesto degli LLM, tale accertamento è reso difficile dalla opacità dei dataset di addestramento, tema che alimenta le richieste di maggiore trasparenza da parte dei titolari dei diritti.

Se, tuttavia, fosse accertata la protezione del contenuto e la derivazione, il chatbot potrebbe effettivamente violare i diritti di riproduzione o comunicazione al pubblico. In questo senso, la giurisprudenza della CGUE ha sempre promosso una tutela elevata dei diritti di proprietà intellettuale, in linea con l’art. 17(2) della Carta dei Diritti Fondamentali dell’UE.

Quanto all’argomento secondo cui il carattere predittivo dell’output AI escluderebbe la responsabilità, tale tesi non appare sostenibile: se l’output coincide con un contenuto protetto, la responsabilità può sussistere. Tuttavia, ogni valutazione va effettuata caso per caso, considerando il grado di sovrapposizione tra output e opera.

L’addestramento AI e il diritto di riproduzione

La seconda questione riguarda la natura giuridica dell’addestramento di un modello AI. La posizione europea, anche alla luce delle eccezioni previste per il TDM, sembra ormai orientata nel ritenere che l’addestramento comporti un atto di riproduzione, in quanto implica la copia temporanea o permanente di opere protette per finalità di analisi automatizzata.

Escludere tale rilevanza renderebbe inefficaci le eccezioni per TDM previste dalla Direttiva DSM.

L’ambito applicativo del TDM nell’addestramento AI

Resta da stabilire se le eccezioni per TDM siano applicabili anche all’addestramento di modelli generativi. Nonostante alcuni dubbi dottrinali, l’inclusione esplicita del TDM nell’AI Act suggerisce che il legislatore europeo consideri il TDM come parte integrante dell’addestramento AI.

Tuttavia, il TDM è solo una componente del training: non esiste oggi un’eccezione esplicita che autorizzi l’intero processo di addestramento AI. Le eccezioni europee si applicano a singoli atti per scopi determinati, e sono subordinate a condizioni cumulative:

• accesso legittimo alle opere;
• rispetto del three-step test: uso speciale, assenza di conflitto con lo sfruttamento normale e assenza di pregiudizio ingiustificato agli interessi dei titolari dei diritti.

Conclusioni

In attesa della pronuncia della CGUE – verosimilmente non prima del 2026/2027 – questo primo rinvio pregiudiziale segna un punto di svolta nel dibattito europeo sul rapporto tra AI generativa e proprietà intellettuale. La sentenza contribuirà a delineare i confini della responsabilità degli sviluppatori di AI, e a chiarire l’ambito di applicazione delle eccezioni al diritto d’autore nel contesto dell’addestramento automatizzato dei modelli linguistici.

Su un argomento simile può essere d'interesse l'articolo " AI e diritto d’autore: artisti e giornalisti inglesi contro la riforma della legge sul copyright".

Autrice: Maria Vittoria Pessina

 

Legal Tech

L'Evoluzione del Mercato Legal Tech: Dall'Entusiasmo all'Implementazione Strategica

Il panorama delle tecnologie legali ha raggiunto un punto di svolta. Mentre il mercato continua la sua traiettoria di crescita esplosiva, la conversazione tra i professionisti legali si è spostata dal "se adottare l'IA" al "come implementarla strategicamente". I dati di mercato recenti rivelano sia l'enorme potenziale che le sfide critiche che l'adozione delle tecnologie legali deve affrontare nel 2025.

Dinamiche di Mercato: Crescita in un Contesto di Saturazione

I numeri provenienti da diversi rapporti di mercato pubblici e riservati che abbiamo analizzato raccontano una storia convincente di opportunità e sfide. Il mercato globale dei servizi legali, valutato a circa 1,05 trilioni di dollari nel 2024, continua una crescita costante con un CAGR del 4,5-4,6%. Tuttavia, il mercato LegalTech, nonostante abbia raggiunto i 26,7 miliardi di dollari nel 2024 e stia crescendo con un impressionante CAGR del 12,8%, rappresenta solo il 2,54% del mercato legale totale. Una crescita costante.

Ancora più sorprendente è la disconnessione tra investimenti e penetrazione del mercato. Con quasi 9.500 aziende LegalTech a livello globale che hanno raccolto 16,6 miliardi di dollari in finanziamenti totali, ma solo 14 che hanno raggiunto lo status di unicorno, il tasso di successo si attesta al mero 0,15%. Questa saturazione suggerisce che, nonostante un massiccio dispiegamento di capitali, la maggior parte delle soluzioni non sta risolvendo problemi reali dei clienti o raggiungendo un'adozione significativa.

Il Divario Geografico nell'Innovazione

La distribuzione dei finanziamenti rivela un'altra intuizione critica: circa il 70% degli investimenti LegalTech è concentrato negli Stati Uniti, con i mercati anglocentrici (USA, Canada, Regno Unito) che catturano approssimativamente l'80% dei finanziamenti totali. Questa concentrazione geografica crea opportunità significative nei mercati poco serviti, dove i sistemi legali locali, le aspettative culturali e i quadri normativi richiedono soluzioni su misura piuttosto che approcci universali.

Verifica della Realtà dell'Adozione dell'IA

Secondo il Rapporto 2025 di Thomson Reuters sull'IA Generativa nei Servizi Professionali, il 41% dei professionisti legali ora utilizza strumenti di IA pubblicamente disponibili, con un ulteriore 17% che utilizza soluzioni di IA specifiche per il settore. L'uso dell'IA a livello organizzativo è quasi raddoppiato al 22% nel 2025, rispetto al 12% del 2024. Notevolmente, il 95% dei professionisti legali crede che l'IA sarà centrale nel flusso di lavoro della loro organizzazione entro cinque anni, nonostante solo il 13% la riporti come centrale oggi.

Tuttavia, emerge un divario critico nella misurazione: solo il 20% delle organizzazioni attualmente misura il ROI dai propri investimenti in IA, mentre il 59% non sta misurando affatto il ROI. Questo suggerisce una sperimentazione diffusa senza valutazione sistematica dei risultati, che può portare a sprechi di tempo e budget (e alla fine della fiducia del consiglio di amministrazione).

Implementazione Process-First: insegnamenti appresi sul campo

Durante maggio sono stato relatore alla conferenza Future Lawyer Europe 2025 dove ho avuto l'opportunità di confrontarmi con leader della tecnologia legale provenienti da studi legali internazionali, pratiche nazionali e team legali interni. Nonostante background e giurisdizioni diverse, è emerso un elemento comune che ha messo tutti d'accordo: mentre l'entusiasmo per l'IA rimane alto e la maggior parte delle organizzazioni ha sperimentato o integrato soluzioni di IA, la chiave per un'implementazione di successo sta nel concentrarsi sui punti dolenti dei processi piuttosto che sulle caratteristiche tecnologiche.

La sfida non è identificare strumenti di IA promettenti—è comprendere dove esistono i veri colli di bottiglia della vostra organizzazione e determinare quali tecnologie specifiche possono affrontarli efficacemente. Molti team legali approcciano l'adozione tecnologica al contrario, selezionando soluzioni dall'aspetto impressionante prima di mappare chiaramente le loro sfide operative.

Sfide Critiche di Implementazione

Diverse sfide chiave sono emerse sia dall'analisi di mercato che dal feedback dei professionisti:

• Complessità nella selezione dei fornitori: Con quasi 9.500 aziende LegalTech a livello globale, i team legali affrontano una paralisi decisionale nella selezione delle soluzioni. L'abbondanza di opzioni spesso oscura domande fondamentali sull'adattamento dei processi e sulla creazione di valore genuino.
• Integrazione culturale: Oltre il 70% degli studi legali ha incorporato soluzioni cloud, indicando capacità di adozione tecnica. Tuttavia, l'elemento umano—formazione, gestione del cambiamento e integrazione del flusso di lavoro—rimane la sfida principale dell'implementazione.
• Misurazione del ROI: La mancanza di misurazione sistematica del ROI nell'industria suggerisce che molte organizzazioni stanno investendo in tecnologia senza stabilire metriche di successo chiare o framework di valutazione.
• Complessità giurisdizionale: La tecnologia legale deve navigare ambienti normativi variabili, standard professionali e tradizioni di pratica attraverso le giurisdizioni—una sfida amplificata dalla concentrazione geografica delle risorse di sviluppo.

La nostra metodologia di process mapping

Riconoscendo questa sfida, noi di DLA Piper abbiamo sviluppato una metodologia sistematica di mappatura dei processi per aiutare i clienti a identificare colli di bottiglia genuini e analizzare opportunità di intervento. Questo approccio comporta:

1. Scoperta dei punti dolenti: documentazione sistematica dei flussi di lavoro attuali per identificare compiti che richiedono tempo, sono soggetti a errori o frustranti
2. Analisi dei colli di bottiglia: Quantificazione dell'impatto di ogni punto dolente identificato su produttività, qualità e soddisfazione del cliente
3. Allineamento tecnologico: Abbinamento delle capacità tecnologiche specifiche alle sfide di processo mappate
4. Prioritizzazione dell'implementazione: classificazione delle opportunità di intervento basata sul potenziale di impatto e sulla complessità di implementazione

Questa metodologia assicura che l'adozione tecnologica serva esigenze operative genuine piuttosto che perseguire l'innovazione fine a se stessa.

Conclusione

Il mercato delle tecnologie legali si trova a un crocevia critico. Mentre il potenziale di crescita rimane enorme, il successo dipenderà sempre più da un'implementazione strategica e focalizzata sui processi piuttosto che da approcci technology-first.

Le organizzazioni che prospereranno sono quelle che si prenderanno il tempo per comprendere le loro sfide operative genuine, mappare sistematicamente i loro processi e selezionare tecnologie che risolvono problemi reali piuttosto che dimostrazioni impressionanti. In un mercato affollato di soluzioni, il vantaggio competitivo appartiene a coloro che sanno identificare ciò che devono effettivamente risolvere.

Mentre avanziamo nel 2025, la domanda non è più se adottare soluzioni LegalTech, ma come farlo in modo intelligente, misurabile e sostenibile.

Su un argomento simile può essere d'interesse l'articolo " IA e Legal Tech: soluzioni innovative per rivoluzionare la professione legale".

Autore: Tommaso Ricci

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Dorina Simaku, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.