Dal 2026, usare l'AI senza i contratti giusti è un rischio reale. Non domani adesso

Negli ultimi mesi ho visto aziende e professionisti adottare strumenti AI con entusiasmo — e spesso senza un contratto che regolasse davvero cosa succede se qualcosa va storto.

Con l'AI Act in vigore e la Legge italiana n. 132/2025 già operativa, il tema non è più una clausola da aggiungere "per sicurezza". 

È diventato compliance concreta, con responsabilità che si spostano lungo tutta la filiera.

Un aspetto che molti sottovalutano: nell'AI Act, distributori, importatori e deployer possono diventare "fornitori" a tutti gli effetti — e assumerne gli obblighi — se rietichettano il sistema, lo modificano in modo sostanziale o ne cambiano la finalità. 

Per i sistemi ad alto rischio, poi, è richiesto un accordo scritto con tutti i soggetti coinvolti nella catena (componenti, servizi, processi), che regoli accessi, informazioni e assistenza necessari alla conformità.

In pratica, un contratto che coinvolge sistemi AI dovrebbe rispondere a tre domande precise.

Chi risponde se il sistema sbaglia? Ruoli, responsabilità e gestione dei "cambi di posizione" lungo la filiera non possono restare ambigui.

Come vengono trattati i dati? Input, output, eventuale uso per il training. Se ci sono dati personali, serve un impianto coerente con il GDPR — e nella maggior parte dei casi un accordo ex art. 28 con istruzioni, misure tecniche e organizzative, sub-responsabili.

Cosa succede in caso di incidente? Misure di sicurezza, tempi di notifica, cooperazione, diritto di audit e rimedi. Non come clausole di stile, ma come obblighi operativi.

A questo si aggiungono gli obblighi informativi specifici verso lavoratori e clienti, che in ambito professionale sono già prescrizioni normative attive.

State già usando sistemi AI in azienda o nello studio? Vale la pena rileggere i contratti e chiedersi se dicono davvero queste tre cose.