L’impiego di tecnologie basate sull’intelligenza artificiale, soprattutto quando vengono esternalizzate funzioni e/o processi aziendali, presenta alcuni rischi giuridici che devono essere attentamente considerati in sede di negoziazione dei relativi contratti di outsourcing.
La questione dell’AI ha suscitato una crescente attenzione da parte dell’opinione pubblica a seguito del recente lancio di ChatGPT. Nel mondo delle imprese, l’utilizzo di soluzioni basate su AI è un fenomeno diffuso già da tempo e che riguarda tutti i settori, dalla finanza ai trasporti, fino alla sanità. La sempre maggiore disponibilità di dati consente alle aziende di sfruttare l’AI per automatizzare funzioni e processi, ridurre attività ripetitive, supportare i processi decisionali e aumentare la loro competitività sul mercato. In particolare, l’ottimizzazione dei processi e la riduzione dei costi vengono annoverati tra i principali vantaggi derivanti dall’impiego di soluzioni di intelligenza artificiale a livello aziendale.
Lo sviluppo e l’implementazione di soluzioni basate su tecnologie di AI è un’attività complessa e costosa per le aziende e richiede competenze specialistiche, un significativo investimento nelle infrastrutture tecnologiche e un impegno costante nella manutenzione e nell’aggiornamento delle soluzioni. Per queste ragioni, molte aziende optano per esternalizzare a terzi lo sviluppo e/o l’implementazione di soluzioni di AI.
Questa pratica offre molteplici opportunità, poiché consente alle aziende di beneficiare delle competenze specialistiche dei fornitori e dei loro dipendenti, di ricevere servizi di manutenzione, supporto e aggiornamento per tutta la durata del contratto e di adattare la soluzione alle reali esigenze dell’azienda, tenendo al contempo sotto controllo i costi.
La regolamentazione dell’uso dei dati nei contratti di outsourcing
Una prima questione alla quale è importante prestare attenzione sono i dati utilizzati dal fornitore per sviluppare e migliorare la soluzione basata sull’AI. Come noto, il funzionamento delle tecnologie di AI, in particolare di Machine Learning, dipende in larga misura dai dati e dalle informazioni che possono essere analizzati dalla macchina per produrre i risultati. L’accesso ai dati e alle informazioni del cliente è quindi fondamentale per permettere al fornitore di sviluppare e personalizzare la tecnologia in base alle specifiche esigenze del committente.
Le parti dovrebbero pertanto definire nel contratto di outsourcing quali dati e informazioni possono essere utilizzati dal fornitore e per quali finalità, tra cui va ricompreso lo sviluppo e il miglioramento della tecnologia. Inoltre, qualora vengano utilizzate informazioni confidenziali, il cliente dovrà definire le regole e modalità di accesso a tali informazioni e adottare misure tecniche volte a mantenerne la confidenzialità, come, ad esempio, la creazione di ambienti segregati.
Il fornitore dovrà anche impegnarsi ad adottare misure di sicurezza adeguate a garantire l’integrità, la sicurezza e la riservatezza dei dati e delle informazioni del cliente, soprattutto nel caso in cui il sistema di AI si basi su infrastrutture di tipo cloud. AI e contratti di outsourcing Il ricorso all’esternalizzazione per l’impiego di soluzioni di AI offre molteplici opportunità, ma presenta anche dei profili di rischio che devono essere tenuti in debita considerazione nell’ambito del contratto di outsourcing. Il contratto di outsourcing di AI deve indicare le finalità e le modalità con le quali il fornitore può accedere e utilizzare i dati del cliente, al fine di tutelarne la confidenzialità, sicurezza e integrità. La disciplina della responsabilità assume una rilevanza centrale nei contratti di outsourcing di AI, soprattutto con riferimento ai profili per i quali manca una disciplina normativa specifica. La sicurezza informatica e la gestione degli incidenti devono essere attentamente regolamentati all’interno del contratto di outsourcing di AI prevedendo una stretta collaborazione tra le parti. Il contratto di outsourcing di AI deve tenere conto del complesso panorama normativo vigente, conformandosi anche a quanto previsto dalla normativa di settore. Inoltre, qualora nel rapporto tra le parti si configurasse il trattamento di dati personali, tali trattamenti dovranno essere attentamente disciplinati nell’ambito del contratto di outsourcing, in conformità con il Regolamento generale sulla protezione dei dati n. 679/2016 (GDPR). Ad esempio, nel caso in cui il trattamento coinvolga enti situati in diverse parti del mondo, le parti dovranno disciplinare correttamente i trasferimenti al di fuori dell’Unione Europea/Spazio Economico Europeo, verificando la sussistenza di adeguate garanzie alla base dei trasferimenti, come l’adozione di una decisione di adeguatezza da parte della Commissione Europea o la sottoscrizione delle Clausole Contrattuali Standard (SCC).
La responsabilità relativa all’impiego delle soluzioni di intelligenza artificiale
Un’ulteriore questione che rileva nell’ambito delle negoziazioni dei contratti di outsourcing riguarda l’allocazione della responsabilità tra le parti e le relative limitazioni. Il tema della responsabilità con riferimento alle tecnologie basate sull’AI è importante sotto diversi profili. Anzitutto, come in ogni contratto, la questione della responsabilità mette in chiara evidenza le contrapposte esigenze delle parti, con il fornitore che avrà interesse a prevedere opportuni limiti alla propria responsabilità, specialmente qualora l’inadempimento fosse dovuto a fattori esterni al suo controllo, come ad esempio nel caso in cui questo fosse una conseguenza dell’utilizzo dei dati e delle informazioni del cliente.
Il tema della responsabilità assume poi una particolare connotazione nell’ambito del funzionamento dei sistemi di AI. È noto come gli output prodotti dall’AI, anche se si tratta di AI “debole” (ossia di algoritmi privi di capacità autodeterminazione e di comprensione delle informazioni processate), possono avere conseguenze, anche dannose, nel mondo esterno, facendo sorgere l’interrogativo in merito a chi debba essere responsabile per tali danni. In assenza di una normativa specifica che disciplini la materia, sono state formulate varie ipotesi che riconducono la responsabilità dell’AI in alcuni casi al produttore, in altri al programmatore, ovvero al proprietario o all’utilizzatore del sistema di AI. Ad ogni modo, appare evidente che disciplinare la responsabilità delle parti in maniera dettagliata nel contratto di outsourcing garantisce maggiore certezza giuridica quantomeno nei rapporti tra le parti.
La gestione degli incidenti
Un’ulteriore tematica da tenere a mente in fase di negoziazione dei contratti di outsourcing di soluzioni di AI, soprattutto qualora siano basate su infrastrutture cloud, è la gestione degli eventi che possono causare un malfunzionamento del sistema o la perdita dei dati. Questi eventi, che possono avere natura accidentale o intenzionale (e.g., attacco informatico), possono infatti avere conseguenze che vanno ben oltre il singolo sistema colpito, andando a pregiudicare anche gli stessi servizi offerti dall’azienda ai propri clienti.
A tal proposito, è opportuno ricordare che in caso si verifichi un data breach, lo stesso GDPR impone al titolare del trattamento specifici obblighi di comunicazione verso le autorità competenti e gli interessati. Inoltre, qualora il malfunzionamento o la perdita di dati abbia colpito un operatore di servizi essenziali ovvero un’impresa rientrante nel perimetro nazionale di sicurezza cibernetica, gli adempimenti previsti dalla normativa sul trattamento dei dati personali dovranno essere gestiti di concerto con gli ulteriori obblighi previsti rispettivamente dal Decreto Legislativo n. 65/2018, che recepisce la Direttiva EU 2016/1148 (Direttiva NIS), e il Decreto-legge n. 105/2019, convertito con modificazioni, dalla Legge n. 133/2019, che traccia il perimetro nazionale di sicurezza cibernetica.
Appare evidente come il corretto adempimento con la normativa non possa prescindere da una stretta collaborazione tra fornitore e utilizzatore della soluzione tecnologica. Pertanto, il contratto di outsourcing dovrà prevedere chiari obblighi di cooperazione e assistenza tra le parti nel caso in cui si verifichino eventi che possano causare un malfunzionamento della soluzione di AI o la perdita di dati, senza escludere la possibilità per il cliente di potersi rivalere nei confronti del fornitore qualora l’evento sia riconducibile ad una condotta di quest’ultimo, come la mancata adozione di adeguate misure di sicurezza.
L’adempimento con la normativa di settore
Infine, le parti dovranno valutare l’applicabilità delle norme di settore al contratto di outsourcing. Negli ultimi anni, sono stati numerosi gli interventi delle autorità europee e nazionali volti a regolamentare la tematica dell’esternalizzazione in settori considerati critici, quali quello bancario e assicurativo. Ad esempio, gli “orientamenti in materia di esternalizzazione” dell’Autorità Bancaria Europea (EBA) e gli “orientamenti in materia di esternalizzazione di servizi cloud” dell’Autorità europea delle assicurazioni e delle pensioni (EIOPA) individuano una serie di tematiche che devono essere disciplinate esplicitamente dalle parti nel contratto di outsourcing. Tra le più rilevanti vi sono la possibilità per le imprese operanti nel settore bancario e assicurativo di sub-esternalizzare funzioni critiche e/o importanti e, nel caso ciò sia concesso, a che condizioni, oppure la previsione di specifici diritti di accesso, informazione e audit esercitabili nei confronti dei fornitori, anche da parte delle autorità di vigilanza.
In chiusura, appare opportuno ricordare la recente entrata in vigore del Regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario (DORA), il quale prevede che i contratti stipulati tra entità finanziarie, tra le quali sono ricomprese anche le imprese di assicurazione e riassicurazione, e fornitori di servizi informatici, anche non qualificabili come outsourcing, devono contenere talune disposizioni, quali ad esempio, gli obblighi di assistenza post cessazione del fornitore, finalizzate a garantire una migliore gestione dei rischi informatici derivanti da terzi nel settore finanziario.
Si segnala, infine, che tra le principali novità introdotte dal Regolamento che è stato istituito l’obbligo per le entità finanziare di svolgere periodicamente dei test, tra i quali test di penetrazione basati su minacce, volti a valutare la preparazione alla gestione degli incidenti, identificare i punti deboli, le carenze e le lacune della resilienza operativa digitale dell’entità finanziaria e attuare tempestivamente le misure correttive necessarie. L’adempimento con questi obblighi normativi dovrà essere disciplinato puntualmente all’interno dei contratti di outsourcing, al fine di garantire un’efficace.
Su un simile argomento può essere interessante l’articolo: “Impatto dell’intelligenza artificiale sulla concorrenza nel Regno Unito”.
Autori: Alessandro Ferrari e Filippo Grondona