L’intelligenza artificiale viene ancora raccontata come una questione tecnologica: modelli, algoritmi, potenza di calcolo, capacità predittive, software adeguati e macchine sempre più potenti. Ma l’AI non nasce dai software o nei programmi. Nasce dai dati. E i dati, per definizione, non sono mai neutrali, né liberi, né “disponibili per natura”. Sono sempre il risultato di una scelta giuridica, organizzativa e strategica. Ogni sistema di AI ha un presupposto che precede qualsiasi decisione tecnica: da dove arrivano i dati e con quale legittimazione. È qui che la questione smette di essere informatica e diventa giuridica in senso pieno. 

Dall’illusione tecnologica alla filiera del dato: il presupposto giuridico dell’AI

Un’impresa che vuole “usare l’AI” non sta semplicemente acquistando o sviluppando una tecnologia. Sta costruendo, consapevolmente o meno, una filiera di approvvigionamento del dato. E questa filiera può poggiare solo su quattro basi legittime che sono la raccolta diretta del dato, l’utilizzo di dati interni, l’acquisizione da terzi o una generazione degli stessi: automatica o sintetica. In tutti i casi, la domanda, giuridica, è sempre la stessa: con quale titolo, con quali limiti, con quale responsabilità.

E ancora: chi se ne occupa e chi decide all’interno della tua organizzazione? Il dato non è una materia prima gratuita. È un bene giuridico complesso, che può incorporare diritti fondamentali, segreti industriali, diritti di proprietà intellettuale, obblighi contrattuali, vincoli regolatori, profili di responsabilità civile e, talvolta, anche penale. Quando un’impresa “nutre” un modello di AI, non sta solo addestrando una macchina; sta costruendo una catena di imputazione giuridica: chi ha raccolto, chi ha deciso, chi ha autorizzato, chi risponde. Una catena di responsabilità a cui, purtroppo, non si pensa se non quando è troppo tardi.
Il punto centrale che oggi viene sottovalutato è che l’AI non crea dati, li consuma. E ciò che consuma deve essere stato legittimamente acquisito prima e gestito sempre in maniera lecita, dando la prova dei processi e dei trattamenti. 

Da qui nasce la vera domanda di governance: come si procura i dati un’impresa che vuole usare l’AI senza costruire una responsabilità latente che potrebbe esplodere in ogni momento?

Per saperne di più > La portata dell’AI Act

Governance e responsabilità: le tre strade per alimentare i modelli senza distruggere l’impresa

Le strade sono tre, tutte giuridicamente possibili ma sensibili. La prima è, ovviamente, l’uso dei dati già in possesso dell’organizzazione. Qui il problema non è tecnico: è di compatibilità delle finalità, di base giuridica, di informativa, di proporzionalità. Un dato raccolto per un contratto, per un servizio o per obblighi normativi può essere riutilizzato per addestrare un modello? In quali limiti? Con quali misure di minimizzazione? Con quale trasparenza verso gli interessati? Domande che richiedono una risposta preventiva e dei modelli da portare a conoscenza delle categorie di interessati. 

La seconda è l’acquisizione di dati da terzi. Ed è qui che l’illusione tecnologica crolla. Comprare un dataset non significa comprarne la legittimità, ma assumersi integralmente il rischio della sua origine, del consenso, delle licenze, delle catene di sub-fornitura, delle eventuali contaminazioni illecite. Il dato “comprato” non è mai giuridicamente neutro: è un trasferimento di responsabilità sotto forma di contratto. La terza è la generazione di dati sintetici.

Spesso presentata come la soluzione “pulita”, è in realtà solo una traslazione del problema: se il modello generativo è stato addestrato su dati problematici, anche il dato sintetico eredita una fragilità giuridica a monte. La legalità non si crea per derivazione matematica. In questo scenario, parlare di AI come questione tecnica è una semplificazione pericolosa. L’AI è una tecnologia che vive esclusivamente dentro un perimetro legale. E senza legittimità del dato, non è innovazione, ma solo esposizione al rischio. Ed è per questo che il tema centrale non è “come funziona l’AI”, ma come e da chi viene governata la catena giuridica che la rende possibile.
Non è un problema dell’IT e non è un problema del data scientist, ma è una questione di pura governance che tocca il management e chi ha i poteri di decisione.

La domanda vera che ogni impresa dovrebbe porsi non è: “possiamo usare l’AI?” ma è: “Possiamo dimostrare la legittimità giuridica dei dati che la alimentano?”
Solo a questa condizione l’AI diventa uno strumento strategico. Altrimenti resta una potenziale fonte di responsabilità sistemica: privacy, reputazione, contenzioso, sanzioni, perdita di fiducia. L’intelligenza artificiale non è il futuro. Il futuro è il diritto che rende possibile usarla senza distruggere l’impresa che la adotta.