Innovation Law Insights

Report

Nuova edizione della guida Gambling Laws of the World di DLA Piper

La nuova edizione della guida Gambling Laws of the World di DLA Piper è ora disponibile e copre quasi 50 giurisdizioni, affrontando un numero significativo di temi legati alla conformità normativa in materia di gioco d’azzardo che ogni impresa deve considerare nelle proprie attività. La guida è disponibile qui.

 

Legal Break

Pay-or-Okay e le sue implicazioni in materia di privacy: cosa rivela davvero il nuovo studio di NOYB

In questo episodio di Legal Break, Giulio Coraggio di DLA Piper discute del modello del Pay-or-Okay e se esso offra realmente ai consumatori una scelta autentica e libera, alla luce del recente studio sul Pay-or-Okay pubblicato da noyb.eu. Puoi guardare l’episodio di Legal Break qui.

 

Privacy and Cybersecurity 

La CNIL pubblica raccomandazioni sulla compliance in materia di intelligenza artificiale per i fornitori

Con le Raccomandazioni pubblicate il 5 gennaio 2026 (di seguito, le "Raccomandazioni"), l'Autorità Garante della protezione dei dati francese, Commission Nationale de l’Informatique et des Libertés (di seguito, "CNIL") ha reso disponibile una metodologia operativa finalizzata a consentire ai fornitori di modelli di intelligenza artificiale (di seguito, "IA") di valutare e documentare se un modello, o un sistema che lo incorpora, rientri nell’ambito di applicazione del Regolamento (UE) 2016/679 (di seguito, "GDPR"). Il contributo dell’Autorità francese non si colloca, tuttavia, sul piano di una ridefinizione concettuale delle categorie del diritto della protezione dei dati personali, ma si muove deliberatamente entro coordinate già note, applicandole ad un vettore tecnologico che ne mette oggi alla prova la tenuta sistemica.

Il punto di partenza dell’analisi è, infatti, volutamente sobrio. La CNIL assume come parametro di riferimento il criterio classico, oramai consolidato nella giurisprudenza e nella prassi europea, secondo cui un trattamento ricade nel campo di applicazione del GDPR quando attiene a dati riferibili a persone fisiche identificate o identificabili, tenuto conto dei mezzi ragionevolmente suscettibili di essere utilizzati per l’identificazione.

Le Raccomandazioni chiariscono che un modello di IA può essere considerato escluso dall’ambito applicativo del GDPR solo se la probabilità di re-identificazione delle persone i cui dati sono stati utilizzati in fase di addestramento può essere qualificata come insignificante. In questo senso, la posizione della CNIL si pone in esplicita continuità con l’orientamento espresso dall’European Data Protection Board (di seguito, "EDPB"), che ha chiarito nell'Opinione 28/2024 come la qualificazione di un modello di IA come anonimo non possa mai essere presunta in astratto, ma debba essere il risultato di una valutazione caso per caso. Tale valutazione deve tenere conto non solo delle caratteristiche intrinseche del modello, ma anche delle modalità concrete di accesso, utilizzo e interazione, nonché dello stato dell’arte delle tecniche di estrazione dei dati.

1. Modello e Sistema di IA: premesse metodologiche

Uno dei passaggi più rilevanti, e meno scontati, della metodologia proposta dalla CNIL riguarda la distinzione concettuale e funzionale tra modello di e sistema di IA. Si tratta di una distinzione che non ha carattere meramente terminologico, ma che incide in modo diretto sull’ordine logico dell’analisi richiesta ai fini dell’applicabilità del GDPR.

Nelle Raccomandazioni della CNIL:

• il modello di IA è inteso come una rappresentazione statistica delle caratteristiche del dataset utilizzato per l’addestramento. In quanto tale, esso può incorporare informazioni sufficientemente granulari da consentire la ricostruzione, diretta o indiretta, di dati personali relativi agli individui presenti nel training set. Il rischio giuridicamente rilevante si colloca, dunque, a questo livello: è nel modello che può annidarsi una capacità di memorizzazione o inferenza tale da rendere possibile la re-identificazione.
• Il sistema di IA, invece, rappresenta il livello applicativo e organizzativo che governa l’uso del modello. Interfacce, controlli di accesso, modalità di interrogazione, filtri sugli output, limiti funzionali, misure di sicurezza e presidi organizzativi concorrono a definire come, e in che misura, il modello sia concretamente accessibile e sfruttabile. È il sistema a determinare il contesto operativo, ma non a eliminare, di per sé, il rischio intrinseco eventualmente incorporato nel modello.

La conseguenza giuridica di questa distinzione è centrale nell’impostazione della CNIL: l’analisi circa l'applicabilità del GDPR deve necessariamente partire dal modello. Solo dopo aver accertato che il modello non possa essere considerato anonimo diventa rilevante interrogarsi sulla possibilità che l’integrazione in un sistema dotato di misure robuste riduca la probabilità di re-identificazione fino a renderla insignificante. In altri termini, l’Autorità esclude implicitamente un approccio “inverso”, secondo cui l’assenza di rischio percepibile a livello di sistema renderebbe irrilevante la natura del modello sottostante. Il rischio deve essere valutato nel punto più vicino alla sua possibile origine, ossia là dove avviene la memorizzazione, anche solo potenziale, di informazioni riconducibili a persone fisiche. Il sistema può attenuare o neutralizzare tale rischio, ma non può cancellarlo retroattivamente né rendere superflua l’analisi del modello.

La CNIL chiarisce, inoltre, che la valutazione dello status riguarda qualsiasi modello addestrato su dati personali, indipendentemente dalla finalità dichiarata o dalle funzioni per cui esso è stato progettato. Non è determinante che il modello sia destinato a produrre informazioni su individui specifici; ciò che rileva è la possibilità tecnica, anche accidentale, di estrazione o inferenza di dati personali mediante mezzi ragionevolmente utilizzabili. La finalità del modello, in altre parole, non opera come criterio esimente sul piano giuridico. Questa impostazione si colloca in piena continuità con l’orientamento espresso dall'EDPB, secondo cui un modello progettato per produrre o inferire informazioni riferite a persone fisiche contiene necessariamente dati personali, mentre un modello addestrato anche su dati personali ma non orientato a tali finalità può essere considerato anonimo solo se il rischio di identificazione diretta o indiretta è altamente improbabile, tanto attraverso l’analisi dei parametri quanto mediante interrogazioni.

Ne deriva un effetto sistemico rilevante per l’intera filiera dell’IA. Se il modello è considerato anonimo, un sistema che lo utilizza esclusivamente sarà, in linea di principio, escluso dall’ambito applicativo del GDPR. Se, invece, il modello non è anonimo, l’eventuale esclusione del sistema richiederà un’analisi autonoma e aggiuntiva, fondata su misure e test idonei a dimostrare che il rischio di re-identificazione è stato effettivamente neutralizzato. In assenza di tale dimostrazione, il trattamento si estende inevitabilmente anche agli attori a valle.

2. Dal dataset al Modello, l'analisi del rischio come obbligo di accountability

Uno degli elementi più significativi della metodologia delineata dalla CNIL è l’affermazione, priva di ambiguità, secondo cui l’analisi dello status di un modello di IA non costituisce un’opzione rimessa alla discrezionalità tecnica del provider, ma un vero e proprio obbligo giuridico, direttamente riconducibile al principio di accountability sancito dal GDPR. Ogniqualvolta un modello venga addestrato su dati personali, l’analisi del rischio di re-identificazione deve essere condotta in modo sistematico, indipendentemente dall’esito che essa potrà produrre.

La logica sottesa è pienamente coerente con l’impianto del diritto europeo della protezione dei dati. Non è necessario che il trattamento determini effetti immediati sugli interessati affinché sorga un obbligo di valutazione. È sufficiente che il trattamento incorpori un rischio giuridicamente rilevante, ossia la possibilità non trascurabile che persone fisiche possano essere identificate, direttamente o indirettamente, a partire dal modello. L’analisi richiesta dalla CNIL non serve a confermare un presupposto di anonimato già dato, ma a verificare se tale presupposto possa essere sostenuto alla luce di criteri oggettivi e verificabili.

In questo quadro, il ruolo del provider del modello assume una centralità evidente. È il provider che, nella maggior parte dei casi, determina le finalità e i mezzi del trattamento di sviluppo: seleziona il dataset di addestramento, definisce l’architettura del modello, stabilisce le modalità di training e ne prefigura i contesti di utilizzo. Su di lui ricade, pertanto, la responsabilità primaria di condurre l’analisi e di trarne una conclusione motivata circa l’applicabilità o meno del GDPR.

• Quando il provider conclude per l’esclusione del modello dall’ambito applicativo del GDPR, tale conclusione non può restare confinata in una valutazione interna o meramente dichiarativa. Essa deve essere supportata da una documentazione idonea a essere sottoposta al vaglio dell’autorità di controllo, che consenta di ricostruire il percorso logico e tecnico seguito. Non rileva soltanto l’esito dell’analisi, ma la sua tracciabilità: le misure adottate per ridurre il rischio di memorizzazione dei dati, le valutazioni effettuate sullo stato dell’arte, gli eventuali test condotti per verificare la resistenza del modello ad attacchi di re-identificazione. In questo senso, la documentazione assume una funzione eminentemente probatoria. Essa diventa lo strumento attraverso cui il provider dimostra di aver adempiuto all’obbligo di accountability, rendendo difendibile la propria posizione in caso di verifica o contestazione.
• La CNIL estende questa logica anche al livello di sistema. Qualora un modello non possa essere considerato anonimo, non è escluso che il suo utilizzo all’interno di un sistema più ampio consenta di ridurre il rischio fino a renderlo insignificante. Tuttavia, anche in questo caso, l’onere analitico non viene meno, ma si sposta. Il fornitore del sistema è tenuto a condurre una propria analisi autonoma, che tenga conto non solo delle caratteristiche del modello, ma anche delle misure implementate a livello di accesso, interazione, filtraggio degli output e monitoraggio degli usi. Tale analisi non può limitarsi a richiamare valutazioni effettuate a monte sul modello, ma deve fondarsi su verifiche specifiche riferite al sistema nel suo complesso.

Un ulteriore profilo di rilievo riguarda la dimensione relazionale ed informativa della accountability lungo la filiera dell’IA. Quando un provider di sistema sostiene che l’uso del sistema non rientra nel perimetro del GDPR nonostante l’impiego di un modello non anonimo, la CNIL raccomanda la condivisione di una documentazione sufficiente a consentire agli utilizzatori di verificare tale affermazione. Si tratta di una buona prassi che, pur non configurandosi come obbligo formale, assume un peso concreto in termini di allocazione delle responsabilità.

3. I “mezzi ragionevolmente utilizzabili”: il vero standard giuridico dell’anonimato

Il criterio dei “mezzi ragionevolmente utilizzabili” rappresenta il perno attorno al quale ruota l’intera valutazione dell’anonimato dei modelli di IA. L’impostazione adottata dalla Commission Nationale de l’Informatique et des Libertés è, su questo punto, particolarmente rigorosa e pienamente coerente con il diritto europeo della protezione dei dati: l’anonimato non si valuta in astratto, né alla luce di scenari puramente teorici, ma in relazione alle possibilità concrete e realistiche di re-identificazione.

Le Raccomandazioni chiariscono che non rileva ciò che è tecnicamente possibile in condizioni estreme o accademiche, così come non è sufficiente limitare l’analisi allo scenario di utilizzo “ordinario” o dichiarato dal provider. La valutazione deve collocarsi in una zona intermedia, fondata su criteri oggettivi, che tenga conto delle capacità di un attaccante realistico e del contesto complessivo in cui il modello è sviluppato e utilizzato. È proprio questo equilibrio a rendere la nozione di mezzi ragionevolmente utilizzabili una categoria eminentemente giuridica, e non una mera variabile tecnica.

• In questa prospettiva, il rischio di re-identificazione non nasce dal modello considerato come un oggetto isolato, ma dall’ecosistema informativo in cui esso opera. La possibilità di combinare le informazioni ottenibili dal modello con dati ulteriori, pubblicamente disponibili o accessibili in altro modo, incide direttamente sulla valutazione. L’identificabilità è, dunque, il risultato di una correlazione, non di una singola fonte. Questo approccio è coerente con l’interpretazione consolidata del GDPR, che impone di considerare l’insieme dei mezzi a disposizione, e non soltanto le caratteristiche intrinseche del trattamento.
• Un ulteriore elemento centrale è rappresentato dal costo e dal tempo necessari per condurre un’eventuale estrazione di dati personali. La CNIL riconosce che attacchi che richiedano risorse sproporzionate, competenze altamente specialistiche o tempi incompatibili con un utilizzo realistico possono, in determinate circostanze, non rientrare tra i mezzi ragionevolmente utilizzabili. Tuttavia, tale valutazione è per definizione dinamica. Ciò che oggi appare complesso o oneroso può diventare rapidamente accessibile in un contesto di accelerazione delle tecniche di attacco e di diffusione degli strumenti di analisi dei modelli. Ne deriva l’impossibilità di cristallizzare l’anonimato in una fotografia congelata nel tempo dello stato dell’arte.
• Particolarmente significativa è poi l’attenzione dedicata all’accesso al modello da parte di soggetti non autorizzati. L’analisi non può limitarsi agli utenti legittimi o ai casi d’uso previsti dal provider, ma deve includere l’eventualità – tutt’altro che remota – di accessi indebiti o non conformi. In questo senso, la CNIL ribadisce un principio di grande rilevanza pratica: la mera restrizione dell’accesso non garantisce l’anonimato del modello. Le misure contrattuali, organizzative o di controllo degli accessi possono ridurre la probabilità di re-identificazione, ma non la rendono automaticamente insignificante.
• La valutazione dei mezzi ragionevolmente utilizzabili deve, inoltre, tener conto del contesto di deployment. Un modello reso accessibile al pubblico, o integrato in un servizio fruibile da un numero indefinito di utenti, presenta un profilo di rischio strutturalmente diverso rispetto a un modello utilizzato in un ambiente interno e controllato.

Il punto di chiusura dell’argomentazione è, sul piano giuridico, particolarmente netto. Un modello può essere considerato escluso dall’ambito applicativo del GDPR solo se, alla luce dei mezzi ragionevolmente utilizzabili, la probabilità di estrazione o inferenza di dati personali è insignificante. Non è sufficiente che tale probabilità sia bassa, contenuta o difficilmente realizzabile: lo standard richiesto è volutamente elevato e riflette la centralità del principio di accountability nell’ordinamento europeo.

4. L'anonimato come condizione intrinsecamente instabile

Uno degli aspetti più rilevanti dell’impostazione delineata dalla CNIL riguarda il carattere intrinsecamente non definitivo dell’analisi sull’anonimato dei modelli e dei sistemi di IA. La conclusione secondo cui la probabilità di re-identificazione è insignificante non può essere considerata acquisita una volta per tutte, ma deve essere costantemente riesaminata alla luce dell’evoluzione tecnologica, scientifica e operativa. In questo senso, l’anonimato non è una proprietà statica del modello, bensì una valutazione contestuale e temporale, esposta a revisione.

La CNIL chiarisce espressamente che un modello o un sistema inizialmente ritenuto esterno all’ambito applicativo del GDPR può rientrarvi in un momento successivo. Ciò può avvenire, ad esempio, in presenza di nuove tecniche di attacco, di vulnerabilità prima sconosciute o di un mutamento significativo dello stato dell’arte che renda praticabili modalità di estrazione dei dati personali precedentemente considerate irrealistiche. L’elemento decisivo non è la correttezza dell’analisi originaria, ma la capacità del provider di riconoscere e governare l’evoluzione del rischio nel tempo. Da questa impostazione discende un preciso onere di riesame continuo. I fornitori di modelli e sistemi sono chiamati a verificare periodicamente la tenuta delle valutazioni svolte, tenendo conto tanto degli sviluppi della ricerca scientifica quanto dell’esperienza operativa maturata nell’uso concreto del modello. La compliance, in questa prospettiva, non si esaurisce nella fase di progettazione o di messa in produzione, ma accompagna l’intero ciclo di vita dell’artefatto tecnologico.

La gestione degli incidenti rappresenta, in questo quadro, un banco di prova cruciale. Qualora si verifichi un’estrazione di dati personali – o anche solo emerga una ragionevole probabilità che ciò sia avvenuto – il provider deve valutare se ricorrano gli estremi di una violazione dei dati personali ai sensi del GDPR. Il fatto che il modello fosse stato legittimamente qualificato come anonimo sulla base di un’analisi diligente non esclude, di per sé, l’esistenza di un data breach. Ciò che rileva, sul piano giuridico, è la capacità di reagire correttamente all’evento, documentandolo e, se del caso, attivando gli obblighi di notifica e comunicazione previsti dagli articoli 33 e 34 del GDPR.

La CNIL adotta, su questo punto, un approccio equilibrato. L’emersione di una vulnerabilità non implica automaticamente una responsabilità del provider, qualora l’analisi iniziale fosse fondata sullo stato dell’arte e adeguatamente documentata. Tuttavia, la legittimità della posizione del provider dipenderà in modo determinante dalla tempestività e dall’adeguatezza delle misure adottate a seguito dell’incidente. L’anonimato, una volta messo in discussione, impone una risposta strutturata, non una difesa meramente formale. Questo impianto dialoga in modo significativo con il quadro normativo europeo più ampio, e in particolare con il Regolamento (UE) 2024/1689 (di seguito, "AI Act"). Pur muovendosi su piani distinti, il GDPR e l’AI Act condividono una visione convergente della conformità come processo dinamico. Gli obblighi di sorveglianza post-market, di gestione dei rischi e di segnalazione degli incidenti previsti per i sistemi di IA ad alto rischio trovano, nella metodologia della CNIL, una declinazione coerente anche sul versante della protezione dei dati personali. Il controllo continuo della capacità del modello di “ricordare” le persone diventa così un elemento strutturale della governance dell’IA.

In definitiva, la metodologia proposta dalla CNIL ridisegna il modo stesso di concepire la compliance dei modelli di IA. L’anonimato non è una dichiarazione di principio, né un attributo tecnico da apporre una volta per tutte, ma una condizione giuridica instabile, che richiede di essere mantenuta sotto verifica costante. In un ecosistema tecnologico in perpetua evoluzione, la fiducia non si fonda su presunzioni, ma sulla capacità di dimostrare, nel tempo, che il rischio per i diritti fondamentali degli individui resta effettivamente al di sotto della soglia di rilevanza giuridica.

Su un argomento simile può essere d’interesse l’articolo: Raccomandazioni Garante su sviluppo AI in conformità con GDPR.

Autore: Giulio Napolitano

 

Artificial Intelligence

Abuso di posizione dominante e addestramento dell’AI: il caso Google innanzi alla Commissione Europea

La diffusione dell’intelligenza artificiale generativa ha sollevato questioni complesse sul rispetto delle regole di concorrenza e sull’uso dei contenuti digitali. In questo contesto, la Commissione Europea ha aperto il 9 dicembre 2025 un’indagine antitrust su Alphabet/Google per verificare se l’azienda abbia violato l’articolo 102 del Trattato sul Funzionamento dell’Unione Europea (TFUE) utilizzando contenuti di editori web e video caricati su YouTube per addestrare servizi di AI come AI Overviews e AI Mode.

L’indagine trae origine anche dalle denunce presentate da editori indipendenti europei, sostenuti da associazioni impegnate nella tutela di un web aperto e competitivo. Nel giugno 2025, tali soggetti avevano infatti segnalato alle istituzioni europee che l’introduzione delle funzionalità AI Overviews comportava una significativa sottrazione di traffico verso i siti di informazione originari, con una riduzione fino al 50% delle visite agli articoli e, conseguentemente, dei ricavi pubblicitari. Le segnalazioni hanno posto l’accento sulla possibile sussistenza di abusi di posizione dominante e pratiche discriminatorie nell’accesso alle informazioni, evidenziando come la posizione di Google nel mercato della ricerca online—con una quota prossima al 90% in Europa—renda di fatto non praticabile per molti editori il rifiuto dell’utilizzo dei propri contenuti, senza incorrere in una perdita sostanziale di visibilità e rilevanza economica.

La Commissione Europea, sulla base delle segnalazioni e di ulteriori attività di indagine, ha evidenziato due modalità distinte con cui Google sfrutta contenuti di terzi per alimentare i propri servizi di intelligenza artificiale abusando della propria posizione dominante. Per quanto riguarda i contenuti di editori web, l’azienda li utilizza per generare AI Overviews e AI Mode, integrando sintesi e risposte conversazionali direttamente nelle pagine dei risultati di ricerca. AI Overviews produce, infatti, riassunti automatici posizionati sopra i risultati organici, mentre AI Mode funziona come un’interfaccia interattiva in stile chatbot, in grado di rispondere alle query degli utenti in modo conversazionale. La Commissione intende accertare se questi servizi impieghino contenuti editoriali senza compensazione adeguata e senza offrire agli editori la possibilità di rifiutarne l’uso senza perdere visibilità su Google Search, aspetto particolarmente rilevante considerando che molti editori dipendono dal traffico derivante dalla ricerca per sostenere il proprio modello di business. Separatamente, Google utilizza video e altri contenuti caricati su YouTube per addestrare i propri modelli di AI generativa. In questo caso, i creatori concedono automaticamente a Google il diritto di usare i loro contenuti per diversi scopi, incluso l’addestramento dei modelli, senza ricevere alcuna remunerazione specifica e senza poter rifiutare l’utilizzo senza limitazioni di accesso alla piattaforma. Contestualmente, sviluppatori concorrenti non hanno la possibilità di accedere agli stessi contenuti, creando un potenziale vantaggio competitivo ingiustificato.

Questa distinzione tra flussi testuali e audiovisivi è cruciale: i contenuti degli editori influenzano direttamente traffico e ricavi derivanti dalla ricerca, mentre i contenuti di YouTube impattano sulle dinamiche concorrenziali nell’ecosistema dei modelli generativi, con effetti sulle possibilità di sviluppo dei concorrenti nel settore dell’AI.

L’indagine si inserisce nel quadro normativo dell’articolo 102 TFUE, che vieta l’abuso di posizione dominante, e trova applicazione anche nel Regolamento 1/2003, che disciplina l’esercizio dei poteri della Commissione Europea in materia di concorrenza. L’apertura di procedimenti ai sensi dell’articolo 11(6) del regolamento 1/2003 solleva le autorità nazionali dall’applicazione parallela delle norme antitrust UE, mentre l’articolo 16(1) impone ai tribunali nazionali di evitare decisioni in conflitto con l’indagine in corso.

In tale contesto, Google ha reagito sottolineando i benefici dell’AI per cittadini e imprese e ha dichiarato la propria disponibilità a collaborare con le autorità europee, pur avvertendo che regolamenti troppo restrittivi potrebbero rallentare sviluppo e adozione dell’intelligenza artificiale. La Commissione, tuttavia, ha ribadito che l’innovazione tecnologica deve rispettare i principi di concorrenza leale e accesso equo ai dati, e che l’AI non può essere utilizzata come strumento per consolidare posizioni dominanti in modo ingiustificato.

L’istruttoria non ha scadenze prestabilite e prevede un’analisi approfondita di dati contrattuali, tecnici e di mercato. In caso di accertamento di violazioni dell’articolo 102 TFUE o dell’Articolo 54 dell’Accordo sullo Spazio Economico Europeo, Google rischia sanzioni fino al 10% del fatturato annuo globale, oltre a obblighi correttivi che possono includere modifiche ai termini di utilizzo dei contenuti o apertura di canali di accesso più equi per concorrenti AI.

Le implicazioni pratiche sono estese: l’esito del procedimento potrebbe ridefinire le modalità di monetizzazione e sfruttamento dei contenuti digitali nell’ecosistema dell’intelligenza artificiale, con impatti su editori, creatori di contenuti e sviluppatori di modelli basati su dati di terzi. Questa indagine rappresenta una frontiera giuridica nella regolamentazione dell’AI e dei mercati digitali, costituendo uno dei primi casi in cui le norme europee vengono applicate direttamente alle pratiche commerciali legate all’intelligenza artificiale: il suo esito influenzerà profondamente gli standard regolatori in tema di tutela della concorrenza nel contesto dell’AI.

Autore: Giovanni Chieco

 

Intellectual Property

Concessa autorizzazione ad appellare nella causa Getty Images vs Stability AI

La controversia tra Getty Images e Stability AI rappresenta uno dei precedenti di maggior rilievo sul tema del rapporto tra intelligenza artificiale e copyright e uno dei primi tentativi di applicare le categorie tradizionali del diritto della proprietà intellettuale ai modelli di IA generativa. Il procedimento, avviato nel 2023 dinanzi all’High Court di Londra, ha posto al centro del dibattito giuridico il tema dell’uso di opere protette per l’addestramento di sistemi di IA come Stable Diffusion.

Getty Images, gruppo fondato nel 1995 e attivo a livello globale nella creazione e licenza di contenuti visivi tramite i marchi Getty e iStock, ha convenuto in giudizio Stability AI sostenendo che il modello Stable Diffusion fosse stato addestrato utilizzando milioni di immagini protette da copyright senza autorizzazione. Le domande originarie erano particolarmente ampie e comprendevano violazione del copyright, violazione dei diritti sui database, violazione dei marchi e passing off, con riferimento tanto al modello in sé e al suo processo di addestramento quanto alle immagini generate.

Stability AI, società specializzata nello sviluppo di strumenti di intelligenza artificiale generativa, ha contestato tali accuse sostenendo che Stable Diffusion non memorizzasse né riproducesse le immagini protette e che l’attività di sviluppo e addestramento del modello si fosse svolta al di fuori del Regno Unito. Di conseguenza, Stability ha sostenuto che il diritto d’autore e i diritti sui database di cui Getty invocava la tutela, in quanto diritti regolati dalla normativa britannica, non fossero applicabili alle attività contestate, essendo queste ultime state svolte al di fuori del territorio del Regno Unito.

Nel corso del procedimento, la portata della causa si è progressivamente ridotta. Getty ha ristretto in modo significativo le proprie contestazioni relative agli output del modello, ha visto respinta la richiesta di agire in via rappresentativa per conto di decine di migliaia di fotografi terzi e, infine, ha abbandonato integralmente le accuse di violazione primaria del copyright e dei diritti sui database. Questo abbandono è avvenuto nelle fasi finali del giudizio, anche in ragione delle difficoltà legate alla localizzazione geografica delle attività di addestramento.

Alla fine del processo, nel giugno 2025, sono rimaste in piedi soltanto due questioni. La prima riguardava la presunta violazione secondaria del copyright, ossia se la messa a disposizione nel Regno Unito dei file contenenti i cosiddetti “model weights” di Stable Diffusion potesse costituire una forma di contraffazione indiretta. La seconda riguardava la violazione dei marchi Getty e iStock in relazione alla comparsa, in alcune immagini generate, di elementi simili ai watermark utilizzati da Getty.

Con sentenza del novembre 2025, l'High Court ha pronunciato una prima decisione dal contenuto articolato che, nel complesso, ha favorito Stability AI. Quanto alla violazione secondaria del copyright, la Corte ha respinto la domanda di Getty pur riconoscendo che i file contenenti i parametri del modello potessero rientrare nella nozione di “articolo” rilevante ai fini della disciplina britannica, intesa in senso ampio e comprensiva anche di entità digitali immateriali. Tuttavia, tali file non sono stati ritenuti qualificabili come “infringing copies”. poiché – secondo l’interpretazione accolta dal giudice – un’entità può essere considerata tale solo se abbia effettivamente incorporato, contenuto o memorizzato un’opera protetta da copyright, circostanza che non ricorre nel caso dei modelli di Stable Diffusion.

Sul fronte dei marchi invece la decisione è stata più sfumata. La giudice ha escluso le contestazioni più ampie e ha respinto la domanda fondata sulla tutela rafforzata del marchio, ma ha comunque riscontrato violazioni estremamente limitate in relazione a versioni iniziali del modello, in cui alcune immagini generate presentavano watermark sufficientemente simili ai marchi Getty o iStock.

Successivamente, nel dicembre 2025, sono state esaminate le richieste di appello di Getty. Getty ha ottenuto il permesso di impugnare il rigetto della propria domanda di violazione secondaria del copyright, cioè l’idea che Stable Diffusion costituisca di per sé un’“infringing copy” delle opere su cui è stato addestrato. La questione riguarda un punto di diritto di grande rilevanza, ovvero l'interpretazione di "infringing copy" nel contesto dei modelli di Intelligenza Artificiale, un tema mai affrontato in precedenza da alcun tribunale e destinato ad avere impatti significativi sul settore dell’IA generativa.

Diversamente, Stability AI non ha ottenuto l'autorizzazione ad impugnare le limitate conclusioni della Corte in materia di marchi.

Nel suo complesso, il caso Getty Images vs Stability AI mette in luce la difficoltà di applicare categorie giuridiche tradizionali a tecnologie profondamente nuove. L’esito dell’appello sulla violazione secondaria del copyright sarà particolarmente significativo, poiché potrebbe incidere direttamente sulla possibilità di distribuire e commercializzare nel Regno Unito modelli di intelligenza artificiale addestrati su opere protette senza autorizzazione, contribuendo a definire i confini giuridici dello sviluppo dell’IA nei prossimi anni.

Autrice: Maria Vittoria Pessina

 

Intelligenza artificiale e il futuro della scoperta dei farmaci: il caso Recursion

Lo sviluppo di un nuovo farmaco è uno dei processi industriali più complessi e lunghi. In media sono necessari oltre dieci anni e investimenti che possono superare i due miliardi di dollari per portare una nuova molecola sul mercato, con tassi di insuccesso ancora molto elevati, soprattutto nelle fasi cliniche avanzate. In questo contesto, l’intelligenza artificiale sta trasformando il modo in cui i farmaci vengono scoperti, progettati e valutati.

Negli ultimi anni, un numero crescente di imprese farmaceutiche ha iniziato a integrare modelli di apprendimento automatico e strumenti avanzati di analisi dei dati lungo l’intera catena di ricerca e sviluppo. L’obiettivo è ridurre tempi e costi, aumentare le probabilità di successo e migliorare la qualità delle decisioni nelle fasi iniziali, prima che i progetti richiedano sperimentazioni cliniche particolarmente onerose. Uno dei principali vantaggi dell’intelligenza artificiale in questo ambito è la capacità di analizzare enormi volumi di dati eterogenei, come immagini cellulari, informazioni genomiche e trascrittomiche, nonché strutture chimiche. Questo approccio si rivela particolarmente utile nello studio di malattie complesse, tra cui il cancro e le patologie neurodegenerative.

Il caso di Recursion Pharmaceuticals è emblematico di questa evoluzione. L’azienda, con sede a Salt Lake City, ha costruito il proprio modello industriale sull’integrazione tra intelligenza artificiale, screening fenotipico ad alta produttività e automazione dei processi di laboratorio. La piattaforma sviluppata da Recursion consente di generare e analizzare milioni di immagini cellulari, accelerando l’individuazione di nuove ipotesi terapeutiche attraverso un approccio integrato all’intero processo di scoperta del farmaco. Anziché applicare l’intelligenza artificiale a una singola fase, l’azienda punta a coordinare dati e modelli lungo tutte le tappe della ricerca, ottenendo ipotesi biologiche più solide e tempi di sperimentazione sensibilmente ridotti rispetto agli standard tradizionali.

I primi risultati mostrano una significativa compressione delle tempistiche nelle fasi iniziali, caratterizzate da un elevato grado di automazione. Qualora tali programmi dimostrassero efficacia clinica nelle fasi più avanzate, questo modello potrebbe affermarsi come punto di riferimento per l’intero settore.

Pur essendo tra i pionieri di questo approccio, Recursion non rappresenta un caso isolato. Un numero sempre maggiore di aziende farmaceutiche sta investendo in piattaforme di intelligenza artificiale proprietarie o avviando collaborazioni con startup tecnologiche e operatori specializzati nel calcolo ad alte prestazioni. Oggi l’AI viene impiegata per progettare nuove molecole, prevedere le interazioni tra farmaci e bersagli biologici, analizzare dati, nonché migliorare la progettazione degli studi clinici.

Nonostante le prospettive promettenti, l’adozione dell’intelligenza artificiale nello sviluppo dei farmaci presenta ancora criticità rilevanti. Restano centrali la qualità e la disponibilità dei dati, la trasparenza e comprensibilità dei modelli – particolarmente importanti in un settore fortemente regolato – e la capacità effettiva degli algoritmi di tradurre correlazioni statistiche in benefici clinici concreti.

La traiettoria, tuttavia, appare ormai definita. L’intelligenza artificiale non è più una sperimentazione marginale, ma uno strumento strategico destinato a incidere profondamente sull’organizzazione, sui costi e sulle logiche della ricerca farmaceutica.

Autrice: Noemi Canova

 

Il caso dell’Elfo di Babbo Natale: tutela autorale ed elementi distintivi del plagio

Il Tribunale di Venezia è stato chiamato ad esprimersi sulla portata della tutela autorale e sugli elementi distintivi del plagio e della contraffazione in relazione al caso dell'Elfo di Babbo Natale. 

I fatti all'origine della controversia

La vicenda prende le mosse dal ricorso cautelare depositato presso il Tribunale di Venezia da una società americana specializzata nella creazione di personaggi, storie e tradizioni natalizie e nota soprattutto per il fenomeno "The Elf on The Shelf": un libro illustrato pubblicato originariamente nel 2005 e una bambola del personaggio del libro "Scout Elf" (registrata come copyright negli Stati Uniti nel 2009), che gli utenti potevano acquistare in cofanetti o kit. Il libro e la bambola "The Elf on The Shelf" erano poi stati commercializzati in Italia dal 2020 tramite un distributore.

La ricorrente allegava il plagio e la contraffazione del libro e della bambola di Scout Elf da parte del libro "L’Elfo di Babbo Natale" e della bambola di peluche con fattezze di elfo, realizzata per essere abbinata al predetto libro, distribuiti e offerti in vendita separatamente o in kit sul sito internet di una delle resistenti a partire dal 2023. La società infatti agiva, sia contro la distributrice del kit, sia contro il consorzio di cui era parte la distributrice, quale soggetto con cui erano state svolte le trattative stragiudiziali, sia contro il produttore della bambola contestata, sia contro la società autrice ed editrice del libro "L’Elfo di Babbo Natale".

In particolare, la ricorrente sosteneva che il libro contestato riprendesse senza autorizzazione tutti gli elementi chiave ed identificativi dell’opera "The Elf on The Shelf" e che la bambola contestata presentasse somiglianze stilistiche e caratteristiche fisiche proprie della bambola di Scout Elf.

La ricorrente allegava, inoltre, la condotta concorrenziale illecita per agganciamento e sfruttamento indebito della notorietà dell’opera e del progetto imprenditoriale, oltre che parassitaria per il pericolo di diluizione del brand "The Elf on The Shelf".

La tutelabilità di The Elf on The Shelf

Il Tribunale ha richiamato i principi consolidati secondo cui il diritto d’autore tutela non l’idea in sé, ma la forma della sua espressione, purché dotata di creatività. Di conseguenza, la stessa idea può essere alla base di diverse opere che, nonostante ciò, sono o possono essere diverse per la creatività soggettiva che ciascuno degli autori spende e che, in quanto tale, rileva ai fini della protezione.

In ambito letterario, la tutela riguarda sia la forma esterna (stile, linguaggio, rappresentazione grafica) sia la forma interna (struttura narrativa, trama, personaggi), restando invece escluso il mero contenuto o l’idea di base.

Pur riconoscendo che The Elf on The Shelf si inserisce in una tradizione natalizia di origine mitologica, il Tribunale ha ritenuto l’opera dotata di creatività e, quindi, astrattamente tutelabile. L’originalità è stata ravvisata nella specifica rielaborazione narrativa: una storia breve in rima, con linguaggio semplice, illustrazioni ad acquerello dai toni caldi e la centralità del personaggio dello Scout Elf, osservatore e messaggero di Babbo Natale.

Il confronto tra le due opere editoriali

All’esito dell’analisi comparativa, il Tribunale ha escluso il plagio e la contraffazione da parte del libro L’Elfo di Babbo Natale.

In particolare, il Tribunale ha dapprima chiarito la differenza tra plagio e contraffazione, precisando che:

• il plagio si realizza con l'attività di riproduzione totale o parziale degli elementi creativi di un'opera altrui, così da ricalcare in modo «parassitario» quanto da altri ideato e quindi espresso in una forma determinata e identificabile;
• la contraffazione consiste nella riproduzione dell'opera prima con differenze di mero dettaglio, come tali scevre di apporto creativo, e dirette solo a nascondere la contraffazione.

Di conseguenza, accorre quindi distinguere fra contraffazione di un’opera e suo plagio, a seconda che venga leso il diritto patrimoniale dell’autore, ovvero il suo diritto alla paternità.

Tornando alle differenze tra le opere, il Tribunale ha precisato che esse risultano evidenti sia sotto il profilo della forma esterna (tecnica illustrativa digitale, colori accesi, struttura più lunga e complessa) sia sotto quello della forma interna. Mentre The Elf on The Shelf ruota attorno alla dicotomia "bambini buoni/bambini cattivi" e alla funzione valutativa dell’elfo, l’opera contestata propone una narrazione più articolata, incentrata sull’elfo come "fratellino magico", compagno di giochi, con un ruolo positivo e non giudicante.

Secondo il Tribunale, le due opere condividono solo l’idea di fondo – non tutelabile – ma divergono negli elementi espressivi essenziali, riflettendo la diversa personalità creativa degli autori.

La tutela della bambola Scout Elf

Diversa e autonoma è stata la valutazione relativa alla bambola. Il Tribunale ha rilevato che la ricorrente non ha chiarito sotto quale profilo giuridico invocasse la tutela autorale del pupazzo (opera del disegno industriale o altra categoria), né ha provato (ove l'opera si qualificasse come opera del disegno industriale) il valore artistico necessario ai sensi dell’art. 2, n. 10, l.d.a.

Anche considerando la bambola come rappresentazione figurativa di un personaggio di fantasia, il giudice ha escluso la sussistenza di creatività sufficiente, trattandosi di una combinazione di elementi tipici dei giocattoli infantili e dell’iconografia tradizionale degli elfi natalizi. In ogni caso, la bambola contestata presentava differenze rilevanti per dimensioni, materiali, forme e dettagli estetici, tali da escludere qualsiasi contraffazione.

L’assenza di concorrenza sleale

Il Tribunale ha infine escluso la sussistenza di concorrenza sleale, sia sotto il profilo dell’imitazione servile sia sotto quello della concorrenza parassitaria. I prodotti delle resistenti non sarebbero infatti idonei a generare confusione nel consumatore medio, anche in considerazione delle diverse modalità di presentazione e packaging.

È stata inoltre negata la concorrenza parassitaria, mancando una condotta sistematica e continuativa di sfruttamento dell’altrui iniziativa imprenditoriale.

La decisione

In assenza del fumus boni iuris sia in relazione alla violazione del diritto d’autore sia alla concorrenza sleale, il Tribunale di Venezia ha rigettato integralmente il ricorso cautelare e condannato la ricorrente al pagamento delle spese di lite in favore di tutte le parti resistenti.

Autrice: Lara Mastrangelo

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.