Contratti con fornitori AI: le clausole che devi controllare (e aggiungere) prima di firmare

📢 Informativa: Questa pagina contiene link affiliati. Se acquisti tramite questi link potremmo ricevere una commissione, senza costi aggiuntivi per te. Raccomandiamo solo tool che riteniamo utili per PMI e freelance.

I contratti con fornitori AI sono diventati una questione concreta per molte PMI italiane. Se usi ChatGPT, Midjourney, Jasper o qualsiasi altro tool AI nella tua azienda, hai già un rapporto contrattuale con un fornitore AI, anche se non hai firmato un contratto su carta. I termini di servizio accettati online hanno valore contrattuale e possono avere effetti concreti su protezione dei dati, riservatezza, trasferimenti extra-UE, responsabilità sugli output e continuità del servizio. Nota: tool come Midjourney hanno un profilo di documentazione contrattuale molto diverso da ChatGPT Business o Anthropic — scopri cosa manca nel profilo GDPR di Midjourney → In più, l’AI Act UE è già entrato in vigore ed è applicato in modo scaglionato: la data generale di applicazione è il 2 agosto 2026, mentre alcune parti sono già operative dal 2 febbraio 2025 e dal 2 agosto 2025. In Italia, la Legge 23 settembre 2025, n. 132 è in vigore dal 10 ottobre 2025.

Il problema è che molte PMI usano strumenti AI senza avere mai verificato davvero cosa prevedano i termini contrattuali, il DPA, le regole sul training dei dati, le garanzie sui trasferimenti internazionali e le clausole di uscita. In questo articolo vediamo quali clausole controllare, cosa chiedere al fornitore e quali punti meritano più attenzione prima di firmare o continuare a usare il servizio.

→ Guida completa GDPR e AI per PMI

Perché i contratti AI non sono come gli altri

Quando usi un software tradizionale, spesso il rapporto contrattuale ruota intorno a licenza, assistenza, sicurezza e disponibilità del servizio. Con un sistema AI si aggiungono almeno cinque livelli di complessità: uso degli input per migliorare il modello, gestione dei dati personali, qualità e affidabilità degli output, documentazione tecnica e auditabilità, oltre alle regole su trasparenza e switching tra fornitori. Per questo i contratti AI meritano un controllo più attento rispetto a molti normali SaaS.

L’AI Act distingue tra ruoli e obblighi diversi lungo la catena del valore. In particolare, l’art. 26 disciplina gli obblighi dei deployer di sistemi AI ad alto rischio. Questo non significa che ogni PMI che usa un tool AI abbia automaticamente tutti gli obblighi più severi del regolamento, ma significa che il ruolo dell’utilizzatore conta e che non sempre è corretto scaricare tutto sul fornitore. Anche sotto il GDPR, la qualificazione del fornitore come titolare, responsabile o sub-responsabile non si presume: va verificata caso per caso.

In pratica: se il tool che usi tratta dati personali, genera output che incidono su clienti o dipendenti, o si inserisce in processi sensibili come HR, scoring o supporto decisionale, il contratto va letto come uno strumento di gestione del rischio e non come semplice formalità commerciale.

→ AI Act per PMI: obblighi e scadenze

Le 5 clausole da controllare nei contratti fornitori AI

1. Uso dei dati per il training del modello

La prima domanda è semplice: il fornitore può usare i tuoi input o i tuoi output per addestrare o migliorare il modello? Questa clausola è spesso scritta in modo generico, per esempio con espressioni come “improve our services”, “improve model performance”, “service analytics” o “aggregated data”. Se inserisci dati di clienti, dipendenti o fornitori, questo punto non è secondario: può incidere su base giuridica, minimizzazione, trasparenza e riservatezza.

Attenzione a un punto importante: nel GDPR non esiste una regola secondo cui il training richiede sempre e solo il consenso esplicito. La questione corretta è un’altra: deve esistere una base giuridica valida ai sensi dell’art. 6 GDPR e il riuso dei dati deve essere compatibile con il ruolo privacy del fornitore, con la finalità dichiarata e con le informazioni date agli interessati. Per questo, quando il fornitore usa o può usare dati per migliorare il modello, la valutazione va fatta caso per caso.

Cosa controllare: verifica se il contratto o la privacy policy del servizio prevedono uso dei contenuti per addestramento, miglioramento, valutazione, sicurezza o debugging. Controlla anche se esiste un opt-out chiaro e se tale opt-out vale davvero per il piano che stai acquistando. Per esempio, OpenAI dichiara che per ChatGPT Business, ChatGPT Enterprise e API i dati non vengono usati per addestrare i modelli per impostazione predefinita, mentre Anthropic indica che nei prodotti commerciali il DPA con SCC è incorporato nei Commercial Terms.

Cosa fare: chiedi o verifica un DPA applicabile al servizio che stai usando, controlla se l’uso dei dati per training è escluso o limitato e valuta se quel tool sia adatto a trattare dati di clienti o dipendenti. Se non trovi risposte chiare nei documenti contrattuali, per una PMI questo è già un segnale di rischio.

2. Responsabilità sugli output dell’AI

Chi risponde se il tool genera contenuti errati, discriminatori, diffamatori o comunque dannosi e tu li usi con clienti, dipendenti o candidati? Nella pratica, molti contratti limitano la responsabilità del fornitore e trasferiscono all’utilizzatore il peso del controllo finale sugli output. Questo è particolarmente importante nelle PMI, dove l’AI viene spesso inserita in processi commerciali, assistenza clienti, marketing, selezione del personale o valutazioni di rischio.

L’AI Act non dice in modo generale che qualunque errore dell’AI ricade sempre e solo sul deployer. Dice però che, per i sistemi ad alto rischio, il deployer ha obblighi propri di uso conforme alle istruzioni, supervisione e misure organizzative. Inoltre, l’art. 25 disciplina le responsabilità lungo la catena del valore. Tradotto in termini pratici: se usi l’AI dentro il tuo processo decisionale, non puoi contare sul contratto standard del fornitore come unica protezione.

Cosa aggiungere: una clausola di indennizzo o almeno una clausola di ripartizione chiara del rischio, distinguendo tra:

• malfunzionamento tecnico del sistema;
• uso non conforme alle istruzioni;
• errori derivanti da input errati o incompleti;
• necessità di revisione umana prima dell’uso esterno dell’output.

Per una PMI, il punto non è ottenere una clausola “perfetta”, ma evitare contratti in cui il fornitore esclude quasi tutto e tu rimani esposto su tutta la catena di utilizzo.

3. Trasparenza e documentazione tecnica

Se un sistema AI entra in processi sensibili, la documentazione tecnica non è un accessorio. L’AI Act impone obblighi specifici soprattutto ai sistemi ad alto rischio, compresi requisiti di logging, istruzioni per l’uso, qualità dei dati, sorveglianza umana e documentazione. L’art. 26 si rivolge ai deployer di sistemi ad alto rischio; l’art. 50 prevede obblighi di trasparenza per determinati sistemi, inclusi alcuni casi di interazione con chatbot e contenuti sintetici.

Qui serve una distinzione chiara. Se usi AI generativa per bozze interne di marketing, non sei automaticamente nello scenario più regolato. Se invece usi AI per screening CV, decisioni sul credito, accesso a servizi essenziali o valutazioni che incidono significativamente sulle persone, la disponibilità di istruzioni, log, documentazione e possibilità di audit diventa molto più importante anche sul piano legale.

Cosa controllare nel contratto: disponibilità di documentazione tecnica, informazioni sul funzionamento del servizio, log o registri compatibili con il caso d’uso, misure di audit e tempi di risposta in caso di incidenti o contestazioni. Anche quando il sistema non è formalmente ad alto rischio, inserire clausole “AI-ready” resta una buona pratica contrattuale.

4. Clausola di exit e portabilità dei dati

Uno dei rischi più sottovalutati è il lock-in. Se carichi nel servizio prompt, file, knowledge base, configurazioni, cronologia o dati operativi e poi vuoi cambiare fornitore, devi sapere in anticipo come recupererai tutto. Il Data Act è applicabile dal 12 settembre 2025 e punta anche a facilitare il passaggio tra fornitori di servizi di trattamento dati, ma la tutela concreta dipende ancora molto da come il contratto disciplina restituzione, formato, tempi e cancellazione dei dati.

Cosa aggiungere: una clausola di uscita con:

• formato standard dei dati restituiti, per esempio CSV o JSON;
• tempi massimi per export e cancellazione;
• supporto tecnico minimo alla migrazione;
• cancellazione o anonimizzazione dei dati residui a fine rapporto;
• accesso alla documentazione essenziale per la continuità del servizio.

Per una PMI, questa clausola conta quanto il prezzo: senza exit plan, il costo di cambiare fornitore può diventare molto più alto di quello di restare.

5. Obblighi informativi verso clienti, utenti e dipendenti

Se un cliente o un utente interagisce con un chatbot, con un sistema di scoring o con una funzione automatizzata rilevante, la trasparenza non può essere lasciata al caso. L’art. 50 AI Act contiene obblighi di trasparenza per fornitori e deployer di determinati sistemi AI, ma la data generale di applicazione del regolamento resta il 2 agosto 2026. Il Parlamento UE ha approvato il rinvio delle scadenze AI Act per l’alto rischio al 2027-2028. Nel frattempo, sotto il GDPR restano centrali gli obblighi informativi, la correttezza del trattamento e, quando ricorrono le condizioni, le regole sulle decisioni automatizzate dell’art. 22.

Cosa controllare: il contratto dovrebbe aiutarti a capire quali dati vengono trattati, quali subfornitori intervengono, come esercitare i diritti privacy, come gestire le richieste degli interessati e quali limiti ha il sistema. Se queste informazioni mancano, sarà più difficile aggiornare privacy notice, registro dei trattamenti, istruzioni interne e processi di supervisione.

Tre scenari reali per PMI e freelance italiani

Scenario 1 – L’agenzia marketing

Giulia gestisce un’agenzia di 8 persone e usa un tool AI per generare testi per clienti. Nei termini trova una clausola generica di miglioramento del servizio basata sugli input degli utenti. I brief contengono dati aziendali riservati e, a volte, dati personali di contatto. Il rischio principale non è “usare l’AI” in sé, ma usare un servizio senza avere chiarito riuso dei dati, base giuridica, istruzioni interne e limiti operativi.

Scenario 2 – Lo studio HR o il consulente che fa screening

Marco usa un software con componente AI per valutare candidature o affidabilità economica. Se il risultato incide significativamente sulle persone e il processo è fortemente automatizzato, possono entrare in gioco l’art. 22 GDPR e, a seconda del caso d’uso, gli obblighi dell’AI Act per sistemi ad alto rischio. Senza documentazione, log, istruzioni e intervento umano effettivo, diventa difficile dimostrare correttezza e accountability.

Scenario 3 – Il freelance che usa un assistente AI su dati cliente

Sara usa ChatGPT per lavorare su materiali di un cliente. Il punto non è più “OpenAI sì o no”, ma quale prodotto e quale piano usa. OpenAI dichiara che per Business, Enterprise e API i dati non vengono usati per addestramento per default; per prodotti consumer la logica può essere diversa e i controlli privacy cambiano. Prima di usare dati cliente, Sara deve verificare piano, DPA applicabile, istruzioni privacy e limiti del servizio.

Cosa fare adesso: la checklist minima

→ Come mappare gli strumenti AI in azienda

Contratti con fornitori AI e GDPR: il collegamento che molti ignorano

Il GDPR, all’art. 28, stabilisce che quando il trattamento è effettuato per conto del titolare, il titolare deve usare solo responsabili che offrano garanzie sufficienti e il rapporto deve essere regolato contrattualmente. Questo principio vale anche nel contesto AI, ma con una precisazione importante: prima di chiedere un DPA, devi capire se il fornitore stia davvero agendo come processor per tuo conto oppure se, per alcune attività, operi come titolare autonomo.

Se usi API o servizi business di operatori come OpenAI, Anthropic o Google Cloud, il controllo minimo da fare è questo:

• verificare se esiste un DPA applicabile al prodotto acquistato;
• capire se il DPA è incorporato nei termini commerciali o richiede un passaggio ulteriore;
• controllare se sono previste SCC o altre garanzie per i trasferimenti internazionali;
• registrare internamente il fornitore e il trattamento nel tuo impianto documentale privacy.

Anthropic indica che, per i prodotti commerciali, il DPA con SCC è incorporato nei Commercial Terms; Google Cloud indica che il proprio Cloud Data Processing Addendum è incorporato nel contratto e include SCC; OpenAI dichiara impegni specifici per i dati business e API.

Conclusione

I contratti con i fornitori AI non sono burocrazia: sono il punto in cui si decide chi fa cosa, quali dati possono essere usati, quanto controllo hai sugli output e come esci dal servizio se qualcosa non funziona. L’AI Act si applica in modo progressivo, con data generale dal 2 agosto 2026; la Legge italiana n. 132/2025 è in vigore dal 10 ottobre 2025 e designa AgID e ACN come autorità nazionali per l’intelligenza artificiale nei rispettivi ambiti.

Il messaggio pratico per una PMI è semplice: prima di usare un tool AI su dati aziendali o personali, verifica il contratto, controlla se esiste un DPA realmente applicabile, capisci se i dati possono essere riutilizzati per training, aggiorna la tua documentazione privacy e prevedi una clausola di uscita. Non serve fare allarmismo; serve un metodo. Tieni presente che il GDPR Omnibus in discussione a Bruxelles potrebbe semplificare alcuni obblighi per le PMI, ma fino all’approvazione le regole attuali restano vincolanti.

Approfondisci

📌 Guide settoriali: AI Act per agenzie di marketing →  |  AI Act per e-commerce →