Alessandro Vercellotti: Avvocato e Founder di Legal For Digital

Nel panorama giuridico italiano, il digitale è una sfida sempre più complessa, e tra i professionisti di spicco in questo settore troviamo l’Avv. Alessandro Vercellotti, noto come L’Avvocato del Digitale®. 

Co-fondatore dello studio Legal for Digital, è un punto di riferimento per aziende, professionisti del web e startup che vogliono navigare in sicurezza tra normativa GDPR, tutela della proprietà intellettuale, contrattualistica online e regolamentazione dell’intelligenza artificiale.

Con una carriera che spazia tra consulenza, formazione e divulgazione, ha collaborato con università ed eventi di rilievo, portando un approccio chiaro e pratico al diritto digitale.

In questa intervista, approfondiamo con lui i temi più caldi del momento: dall’AI Act dell’Unione Europea ai rischi legati ai deepfake, passando per le nuove normative su privacy e e-commerce.

GDPR e Intelligenza Artificiale

Con l’evoluzione dell’AI e l’integrazione sempre più diffusa di modelli di machine learning nei processi aziendali, il GDPR è ancora uno strumento sufficiente per garantire la protezione della privacy degli utenti? Oppure siamo di fronte a una realtà in cui servono nuove normative più specifiche per affrontare questioni come la raccolta massiva di dati, la loro elaborazione automatizzata e i rischi di bias algoritmico? In particolare, quali aspetti del GDPR risultano oggi più critici o difficili da applicare nel contesto dell’intelligenza artificiale?

Il GDPR è ancora un punto di riferimento solido, ma non basta da solo a gestire tutte le sfide poste dall’intelligenza artificiale. Infatti è stato pensato in un’epoca in cui il machine learning non era ancora così pervasivo e oggi ci troviamo in un contesto in cui l’elaborazione massiva dei dati, il decision-making automatizzato e il rischio di bias impongono una regolamentazione più specifica.

Il Gdpr infatti mostra i suoi limiti in vari campi. Faccio degli esempi. Nel campo della trasparenza il GDPR impone che gli utenti vengano informati su come vengono trattati i loro dati, ma nel caso degli algoritmi di deep learning, spesso neanche chi li sviluppa è in grado di spiegare esattamente come prendono certe decisioni. Questo rende difficile garantire il diritto a una spiegazione chiara e comprensibile per chi subisce una decisione automatizzata. Ma ancora nella base giuridica per il trattamento dei dati.

Il GDPR impone che ogni trattamento abbia una base giuridica chiara (consenso, obbligo contrattuale, interesse legittimo, ecc.). Nel caso dell’AI, spesso i dati vengono utilizzati per finalità non previste inizialmente, come il miglioramento dell’algoritmo o la profilazione avanzata. Questo solleva dubbi sulla validità del consenso e sulla finalità del trattamento.

C’è poi la questione dei Bias. Il GDPR vieta decisioni automatizzate che abbiano effetti giuridici senza l’intervento umano, ma non entra nel merito di come correggere i bias algoritmici. Non esiste una regola chiara per determinare chi è responsabile quando un AI prende una decisione discriminatoria (il titolare del trattamento? Lo sviluppatore? Il data scientist?).

Il GDPR è ancora un riferimento fondamentale, ma nel contesto dell’intelligenza artificiale sta mostrando i suoi limiti. Oggi abbiamo bisogno di una regolamentazione più mirata e tecnica, che tenga conto delle peculiarità di questi sistemi senza bloccare l’innovazione. L’AI Act potrebbe rappresentare il passo successivo, ma la vera sfida sarà bilanciare il diritto alla privacy con la crescita dell’intelligenza artificiale.

Regolamentazione dell’AI e impatti sulle aziende italiane

L’AI Act dell’Unione Europea sta introducendo un quadro normativo che classifica i sistemi di intelligenza artificiale in base al loro livello di rischio. Quali saranno, secondo te, le principali implicazioni legali per le aziende italiane che sviluppano o utilizzano algoritmi decisionali, chatbot o sistemi predittivi? Questo regolamento può rappresentare un freno per l’innovazione tecnologica, o piuttosto un’opportunità per garantire un uso più etico e sicuro dell’AI? E in che modo le aziende dovrebbero prepararsi per conformarsi alle nuove disposizioni senza compromettere competitività e innovazione?

L’AI Act dell’Unione Europea segna una svolta nella regolamentazione dell’intelligenza artificiale, introducendo una classificazione dei sistemi AI in base al rischio e stabilendo obblighi specifici per chi sviluppa e utilizza questi strumenti. Per le aziende italiane, l’impatto dipenderà dal tipo di AI utilizzata: alcune applicazioni subiranno nuovi vincoli, mentre altre vedranno una maggiore trasparenza e fiducia da parte del mercato.

L’AI Act suddivide i sistemi in quattro categorie di rischio, con regole diverse per ciascuna.

• AI vietata (es. riconoscimento facciale in tempo reale in spazi pubblici, manipolazione subliminale). Le aziende che usano queste tecnologie dovranno interromperne l’uso o trovare alternative legali.
• AI ad alto rischio (es. algoritmi che influenzano il credito, le assunzioni, la giustizia o la salute). Chi sviluppa o usa questi sistemi dovrà garantire trasparenza, tracciabilità e supervisione umana, con il rischio di costi elevati per la compliance.
• AI a rischio limitato (es. chatbot, assistenti virtuali, sistemi predittivi di marketing). Qui gli obblighi si riducono a dichiarare esplicitamente che si sta interagendo con un’AI, senza pesanti restrizioni.
• AI a rischio minimo (es. filtri anti-spam, sistemi di raccomandazione). Nessun impatto normativo significativo.

Le aziende italiane dovranno valutare in quale categoria ricadono i loro sistemi AI per capire gli obblighi specifici e i possibili rischi legali. La AI Act la vedo come un’opportunità poiché offre anche vantaggi competitivi a chi si adegua rapidamente. Le aziende che operano in modo trasparente e conforme saranno più affidabili agli occhi di clienti e investitori.

Un AI Act ben applicato riduce il rischio di discriminazioni e decisioni arbitrarie, migliorando la qualità dei servizi. Inoltre chi sviluppa AI conformi alle nuove regole avrà un accesso più agevole al mercato europeo. Pertanto secondo me l’AI Act non è un blocco per l’innovazione, ma un passo necessario per garantire un uso più etico e sicuro dell’intelligenza artificiale.

Chi saprà adattarsi in anticipo, trasformando la compliance in un punto di forza, potrà posizionarsi meglio sul mercato e ridurre i rischi legali. Le aziende italiane devono iniziare ora a valutare il proprio livello di rischio e implementare le misure necessarie per non trovarsi impreparate.

Deepfake e Tutela dell’Identità Digitale

La creazione e la diffusione di deepfake sempre più realistici stanno sollevando allarmi in vari settori, dalla sicurezza nazionale alla tutela dell’identità personale, fino alla manipolazione dell’informazione nel contesto politico ed economico. La legislazione italiana ed europea è attualmente adeguata a contrastare questi rischi? O servirebbero normative più specifiche per affrontare il fenomeno? Inoltre, in un’epoca in cui i contenuti falsificati possono compromettere la reputazione di individui e aziende in pochi secondi, quali strumenti legali ha oggi una persona per proteggersi da un uso fraudolento della propria immagine e voce generata artificialmente?

L’evoluzione dei deepfake, grazie all’uso avanzato dell’AI, sta creando rischi concreti per la sicurezza, la reputazione e la tutela dell’identità digitale. Oggi, un video falsificato può distruggere la reputazione di una persona o influenzare l’opinione pubblica in pochi minuti, e la legislazione italiana ed europea fatica a tenere il passo.

Purtroppo ad oggi non esiste ancora una normativa specifica sui deepfake, ma alcuni strumenti giuridici come il diritto penale o la normativa privacy possono già essere usati per contrastarli. L’uso dell’immagine e della voce di una persona senza consenso può violare il diritto alla privacy e al trattamento lecito dei dati personali.

Il problema alla radice però si può risolvere solo con una normativa specifica che affronti il problema alla radice. Non c’è oggi una norma che stabilisca quando un deepfake è illegale di per sé, senza dover ricorrere a reati collaterali (diffamazione, frode, ecc.).

Non c’è nessun obbligo per le piattaforme di rilevare i contenuti falsi, infatti i social e i motori di ricerca non sono obbligati a identificare e segnalare i deepfake, lasciando agli utenti il peso di difendersi. Lo stesso AI Act non impone ancora strumenti chiari per contrastare l’uso illecito di contenuti.

Negli Stati Uniti, al contrario il DEEPFAKES Accountability Act e leggi statali (es. in California) impongono alle piattaforme di etichettare i deepfake e vietare quelli con intenti fraudolenti. L’Europa dovrà muoversi nella stessa direzione.

Ad oggi quindi se una persona o un’azienda subisse un danno da un deepfake, potrebbe richiedere alle piattaforme la rimozione immediata del contenuto, agire per diffamazione o danno d’immagine e sporgere denuncia alla Polizia Postale o infine avviare un’azione civile per risarcimento danni se si riesce a risalire all’autore dell’illecito.

Quello che penso è che chiunque subisca un deepfake debba agire in fretta, sfruttando gli strumenti già disponibili. Perché in un mondo dove la disinformazione si diffonde in pochi secondi, la velocità di reazione è tutto.