Intelligenza Artificiale
Negli ultimi tempi, con l’esplosione dell’IA generativa, abbiamo ricevuto molte richieste di consulenza associate a questo mondo, fra cui la redazione di Master Services Agreement (MSA) legati a Software distribuiti in modalità SaaS (Software as a Service).
In particolare, i casi affrontati riguardano software che includono interfacce utente con query che richiamano API di LLMs (Large Language Models) come quelle più note di OpenAi, Mistral o Google su cui effettuare un fine-tuning per lo specifico caso di utilizzo.
Questa esperienza è stata molto preziosa e sfidante, perchè ha imposto ad alcuni partner di BSD Legal una importante fase di studio, insieme alla creazione ex novo di nuove forme di tutele contrattuali fondate su legislazioni vigenti che però, come sappiamo, non sono state “pensate” per tecnologie come l’IA generativa.
Qualcuno potrebbe obiettare che è appena entrato in vigore il Regolamente Europeo sull’Intelligenza Artificiale (AI ACT); ma se da una parte la normativa rappresenta una guida fondamentale nello sviluppo del sistema IA e nella valutazione delle fonti di rischio e degli impatti conseguenti, dall’altra sono lasciate aperte alcune questioni sotto il punto di vista delle responsabilità contrattuali, che analizzeremo nel corso di questo articolo.
Innanzitutto partiamo con il dire che il Master Services Agreement (MSA), spesso tradotto come Condizioni Generali di Servizi, è un documento fondamentale per qualsiasi start-up o azienda che eroga un SaaS (Software As A Service), al di là che sia implementato al suo interno un modello di intelligenza artificiale.
Il motivo?
Il Master Services Agreement delinea, con i suoi termini e condizioni, la strategia di vendita o licenza del prodotto e quindi anche la strategia commerciale con cui il prodotto viene fornito al proprio cliente target. Inoltre, rappresenta il framework legale e contrattuale nei rapporti tra le parti, questo significa che sarà anche il primo appiglio normativo a cui aggrapparsi in caso di reclami o altre situazioni emergenziali. Non è un caso che abbiate letto la parola “normativo”, perchè per la legge italiana il contratto regolarmente concluso fra le parti ha effettivamente forza di legge al pari di una qualsiasi norma italiana (art. 1372 c.c.)
Ma quali caratteristiche deve avere un MSA per software e/o sistemi di IA generativa?
L’approccio che utilizziamo in questi casi si fonda su questi principi fondamentali:
Il che significa, evitare che l’accordo sia modificabile caso per caso per ogni singolo Cliente. Dentro l’MSA devono infatti rientrarci quelle clausole tendenzialmente “non negoziabili” per il nostro cliente, che valgono per tutti i suoi futuri prospect perchè sono lo specchio della sua strategia commerciale. Bisogna avere il coraggio di imporre la propria strategia commerciale e quindi presentarsi come il “contraente forte”. Inviare al Cliente un semplice template compilabile a piacere in molti punti è un grave errore perchè denota poca attenzione alla parte legale e di compliance normativa, che può minare la fiducia della controparte e spesso dà il via ad infinite trattative tra le parti.
D’altronde, quando si dà uno spiraglio alla controparte contrattuale, soprattutto se dall’altra parte c’è un plotone di avvocati, compliance manager e responsabili IT che dicono la loro, ecco che il tempo e le energia impiegata in questa fase diventa imprevedibile, impedendo la scalabilità del proprio business. Bisogna evitare in tutti i modi di cadere in questa impasse!
Le parti che sono negoziabili in fase di trattative saranno oggetto di disamina e verranno inserite in un allegato a parte (tipicamente il c.d. Service Order); anche l’elenco delle misure di sicurezza o di privacy by design saranno oggetto di un allegato a latere per evitare continue modifiche dell’accordo principale. Questo tecnica contrattuale ha un altro vantaggio: nell’accordo principale (MSA) possiamo citare determinati allegati, come l’elenco prima citato delle misure di sicurezza, indicando che potranno essere oggetto di modifica; solitamente si rinvia ad un link esterno a cui il Cliente potrà fare affidamento per controllare, anche in momenti successivi alla firma, le modifiche o gli aggiornamenti tecnici del software e/o sistema IA.
Ne parleremo più avanti, un buon MSA di prodotti software, ancor più se contenenti elementi di IA generativa, deve contenere clausole specifiche sulla tecnologia utilizzata e sulle eventuali limitazioni di responsabilità ad essa connesse. Non si può scrivere un buon contratto di SaaS senza prima conoscere gli aspetti tecnici. Per questo abbiamo sempre previsto una sessione con Data Analysts, Software Engineers o altri esperti che sono alla guida tecnica del progetto.
L’accordo deve sì riflettere la struttura e le funzionalità del software, ma prima ancora deve riflettere il business model di chi ha sviluppato il prodotto. Dalla modalità di erogazione del software alla proprietà dei dati, dalle questioni di proprietà intellettuali, fino ai termini di recesso, ogni clausola va calibrata sulle esigenze commerciali del Cliente. Questo richiede una prima parte corposa di raccolta delle informazioni, per ottenere un accordo davvero customizzato. Anche di questo ne parleremo più avanti nell’articolo.
Vediamo ora quali sono state le complessità tipiche di un MSA per l’IA generativa che abbiamo affrontato con attenzione specifica.
Titolare o Responsabile? L’MSA è un biglietto da visita importante nelle trattative con il cliente finale; oggi occorre fornire ampie garanzie sul versante privacy e sicurezza, tanto più se parliamo di IA. In particolare, il Cliente deve comprendere -senza fraintendimento- qual è il suo ruolo privacy (Titolare del trattamento? Interessato?) rispetto al’utente finale. La scelta spetta ovviamente al Cliente, perchè ne discendono anche decisioni strategiche sotto il punto di vista dell’utilizzo dei dati personali, mentre il Consulente dovrebbe -a nostro avviso- comprendere le sue esigenze a quel punto inquadrare la reale governance dei dati.
Un passo davvero importante perchè sposta gli equilibri anche sotto il punto di vista contrattuale.
Un esempio? Se il provider è Titolare sarà certamente responsabile dell’uso dei dati al di fuori della stessa piattaforma e/o software; non sarà così invece se risulta Responsabile del Trattamento (ex. art. 28 GDPR) nel caso in cui i dati personali del Titolare (inteso come utilizzatore del prodotto) siano da questi trattati al di fuori del dominio del software. Tutte le nuove Regolamentazioni a livello eueropeo vanno infatti in una direzione di maggiori oneri nel controllo della filiera da parte del Titolare; informare il Cliente di questi obblighi è importante per renderlo consapevole della sua scelta sul ruolo da assumere.
Proprietà degli output: Dato che l’IA generativa può creare output unici basati sui prompt del cliente, è cruciale definire la proprietà e la licenza di questi risultati. L’MSA dovrebbe chiarire se il cliente ha diritti esclusivi sui risultati o se il fornitore mantiene alcuni diritti d’uso.
.. e quella dei feedback? Per migliorare i loro sistemi di IA, i provider si affidano ai feedback dei clienti, anche con la possibilità di includere note per segnalare eventuali hallucinations dell’algoritmo. il Master Services Agreement dovrebbe prevedere una clausola che consenta l’uso del feedback dei clienti per migliorare la piattaforma, garantendo al contempo che tale feedback venga utilizzato solo per comprendere “l’errore” e/o la prestazione inaccurata dell’algoritmo, senza utilizzare gli eventuali dati personali presenti nella chat con l’utente. È un tema molto sentito, soprattutto se il Cliente è una azienda e questa desidera che nessun dato personale (e non personale) sia utilizzato per fini di training.
Quello che in questi casi diciamo è che tutto ciò che viene scritto su un MSA deve essere corrispondente al vero; se si scoprisse ad esempio che, contrariamente a quanto indicato nel MSA, le chat segnalate per feedback negativi sono utilizzate per finalità ulteriori a quelle indicate, si perderebbe la fiducia dei propri Clienti su un ambito molto delicato, che involge temi come privacy, proprietà intellettuale e riservatezza di segreti commerciali, mettendo così a rischio la propria reputazione sul mercato.
Accuratezza e Affidabilità dei Risultati dell’IA: I sistemi di IA generativa possono produrre risultati non accurati o dicriminatori e in alcuni casi perfino inventare fatti del tutto falsi o mai verificatisi (hallucinations). L’MSA dovrebbe includere disclaimer chiari su questo punto.
In generale, i disclaimer in relazione ai possibili errori o allucinazioni della tecnologia è uno dei punti più delicati. In BSD Legal lo affrontiao su due fronti:
Sapere quali sono i limiti e i rischi dello specifico modello IA è il primo passo per includere avvertenze d’uso e disclaimer coerenti con i futuri scenari e casi emergenziali da coprire in sede contrattuale.
Come collaboriamo con il Cliente nella redazione del Master Services Agreement?
Solitamente procediamo con queste fasi:
Fase 1: Audit di raccolta di tutte le informazioni. Se il software o il sistema IA è già sviluppato, richiediamo una demo dal cliente. Durante questa demo, cerchiamo di navigare le funzionalità del progetto ponendo domande specifiche per comprendere prima di tutto finalità e goal del progetto, così da interpretare anche le sue esigenze contrattuali. Se siamo invece in uno stage iniziale di progettazione o sviluppo, esaminiamo tutta la documentazione fino a quel momento prodotta dalla azienda Cliente; intervenire in questa fase iniziale ci permette anche di essere più incisivi in tema di privacy e AI by design, fornendo fin da subito raccomandazioni sulla infrastruttura e lo UX Design del progetto.
Fase 2: Comprensione degli aspetti tecnici. Anche in un contesto di consulenza contrattuale, è importante avere il quadro completo degli aspetti tecnici, perchè possono a loro volta incidere sul rapporto commerciale tra le parti (abbiamo prima appunto parlato di disclaimer); per farlo seguiamo metodologie di audit basate su standard di settore come NIST e OWASP; in alcuni casi, per velocizzare il processo, consegnamo a sviluppatori o responsabili tecnici una serie di check-list che ci offrano un quadro veloce dell’infrastruttura tecnica del progetto.
Fase 3: Confronto sulla prima Bozza. Mettiamo a disposizione del Cliente uno spazio del nostro repository in cloud (con autenticazione a due fattori) per fornire ai responsabili dell’azienda l’opportunità di leggere e commentare la prima bozza, che anticiperà un incontro in cui discutere di possibili cambiamenti.
Fase 4: Revisione finale. Si passano in rassegna le ultime modifiche per validarle e procedere alla pubblicazione della prima versione consolidata. In questi casi, consigliamo il coinvolgimento attivo del board per una approvazione che sia davvero espressione dell’azienda, prendendo coscienza così dell’importanza di un contratto che riflette operations e strategie aziendali commerciali, legali e di security.
Nome Articolo | Contenuto | Risk Allocation | Focus su AI Generativa |
---|---|---|---|
Premessa Generale | Questa sezione fornisce un'introduzione all'accordo, descrivendo le parti coinvolte e lo scopo del contratto, che è in generale la fornitura e l'uso di una piattaforma SaaS | Questa overview iniziale assicura che entrambe le parti siano consapevoli del quadro contrattuale, stabilendo la base per la relazione legale. L'obiettivo principale è di identificare esattemente le parti e i loro specifici ruolo, oltre allo scopo dell'accordo così da evitare ambiguità nelle interpretazioni successive. | L'introduzione deve specificare il tipo di tecnologia utilizzata e il ruolo dell'IA generativa (come sistema integrato in un prodotto o come vero e proprio prodotto in sè); elemento essenziale per comprendere la natura specifica dei servizi offerti nell'ambito dell'accordo. |
Definizioni | Questa sezione definisce i termini chiave utilizzati nell'accordo, anche per definire eventuali diverse fasi del progetto o modalità di subscription (es. "demo", "progetto pilota", "freemium" ecc...) | Definendo chiaramente i termini, si evitano possibili ambiguità o malintesi garantendo che tutte le parti abbiano la stessa comprensione delle disposizioni contrattuali. | Le definizioni includono termini specifici all'AI generativa, come "Large Language Models (LLMs)," "Output," "Prompt," "Hallucinations", "Fine-tuning", essenziali per comprendere i servizi legati all'AI e le loro implicazioni nell'accordo. |
Evaluation e Progetto Pilota | Questo articolo descrive i termini secondo cui il Cliente può valutare il SaaS o definire un progetto pilota. Include dettagli sui diritti d'uso, restrizioni e conclusione di queste fasi prodromiche all'eventuale licenza o vendita. | Questa clausola gestisce il rischio associato a queste fasi di primo contatto con il Cliente, che devono essere comunque normate per includere la responsabilità per uso improprio o eccessivo e porre dei limiti alle funzionalibità accessibili dall'utente. | La clausola va adattata alle esigenze uniche delle piattaforme di AI generativa, dove le fasi di prova sono cruciali per valutare le prestazioni dell'AI da parte dell'utente prima della sua distribuzione completa. |
Negoziazione ed Esecuzione dei Services Order | Come si giunge ad un accordo? Cosa verrà specificato nel Service Order allegato ai termini di servizio? In questa sezione del Master Services Agreement si stabiliscono questi punti fondamentali che staboliscono lo starting point del rapporto commerciale. | La sezione vuole chiarire quali parti non sono negoziabili e quali verranno specificate nel Service Order, con possibile trattativa tra le parti (ad esempio, il numero degli utenti abilitate, le specifiche tecniche del modello IA, la collocazione dei data center, nel rispetto di normative privacy vigenti ecc...). | In questa parte si chiarisce quali aspetti tecnici e di governance dell'IA saranno inclusi nel MSA e quali invece all'interno del Services, per personalizzare il tipo di fornitura sulla base delle trattative con il Cliente finale. In alcuni casi, su richiesta del nostro committente, è stata inclusa anche la specifica tecnica sul margine di errori e hallucinations del modello IA, per rafforzare in qualche modo l'awareness della controparte su questo tema, oltre a rimarcare le relative limitazioni di responsabilità del fornitore. |
Utilizzo dei Servizi | Questa sezione solitamente delinea i diritti e le restrizioni associate all'uso del prodotto, incluso il numero di utenti consentiti, il divieto di determinate attività (ad es., reverse engineering, condivisione non autorizzata) e le responsabilità del Cliente finale nell'utilizzo dei servizi. | Stabilendo limitazioni chiare su come i servizi possono essere utilizzati, questo articolo mitiga i rischi associati all'uso non autorizzato, alla violazione della proprietà intellettuale e a potenziali violazioni della sicurezza. Garantisce inoltre che i servizi siano utilizzati in modo conforme allo scopo previsto dal fornitore, riducendo la responsabilità per un uso improprio. | Le restrizioni d'uso sono particolarmente importanti per l'AI generativa, perchè come noto un uso improprio o non pertinente del modello potrebbe portare ad output imprevisti o a violazioni dei dati, specialmente se i prompt dell'utente non sono circostanziati e ben realizzati. L'accordo affronta questi rischi stabilendo linee guida chiare su come i servizi di AI devono essere utilizzati e le responsabilità del Cliente nel mantenere l'integrità e la sicurezza dei dati. |
Proprietà intellettuale e feedback dell'utente | Questa parte deve definire la proprietà intellettuale del prodotto e di altri marchi e segni distintivi; con eventuali distinguo per quanto riguarda ad esempio la proprietà dei dati dell'utente. | L'articolo è cruciale nella gestione del rischio di violazione della proprietà intellettuale, garantendo che la propri. Evitare possibili abusi o rivendicazioni di terzi, rappresenta il primo elemento di protezione. Ma questo articolo è importante anche per chiarire se e come sono protetti i dati del Cliente anche i dati del Cliente, bilanciando così gli interessi di entrambe le parti. | L'articolo dovrebbe affrontare specificamente le implicazioni IP dell'AI generativa, dato che gli output generati dai modelli AI potrebbero coinvolgere complesse considerazioni di proprietà intellettuale. modelli AI sottostanti. |
Riservatezza | Questa sezione stabilisce gli obblighi di entrambe le parti nel mantenere la riservatezza delle informazioni sensibili divulgate durante l'accordo. Include la definizione di Informazioni Riservate, esclusioni e la durata degli obblighi di riservatezza, eventualmente anche dopo l'accordo. | Stabilendo obblighi di riservatezza rigorosi, questo articolo mitiga il rischio di divulgazione non autorizzata di informazioni sensibili, che potrebbe danneggiare l'attività di entrambe le parti, a partire da chi fornisce il prodotto, che potrebbe così perdere il proprio margine competitivo. | La riservatezza è particolarmente cruciale nel contesto dell'AI generativa, dal momento che anche i dati del Cliente potrebbero essere utilizzati per il traning dell'algoritmo (ovviamente, qui ci limitiamo a parlare di dati commerciali e non personali, che sono invece trattati in articoli specifici dell'accordo). |
Indennità | L'articolo sull'indennità descrive le responsabilità di entrambe le parti nel difendere e tenere indenne l'altra parte in caso di reclami di terzi derivanti dall'uso dei servizi o dalla violazione dell'accordo. Dettaglia il processo e le condizioni per l'indennizzo, inclusa la notifica e la cooperazione. | Le disposizioni sull'indennità sono cruciali per l'allocazione del rischio, proteggendo entrambe le parti da potenziali responsabilità legali derivanti da reclami di terzi. Il tutto deve essere pensato in una ottica di mitigazione di potenziali rischi finanziari e reputazionali. | Nel contesto dell'AI generativa, l'indennità è particolarmente importante perché l'uso di contenuti generati dall'AI potrebbe potenzialmente violare i diritti IP di terzi o causare problemi legali o etici imprevisti (se ad esempio vengono superati i guardrails previsti dal fornitore). L'accordo dovrebbe includere clausole specifiche per affrontare questi rischi, garantendo che la parte responsabile della generazione o dell'uso degli output dell'AI sia o meno responsabile, in quali casi e in che termini. |
Limitazione di Responsabilità | Questa sezione limita l'importo e il tipo di danni che ciascuna parte può reclamare nei confronti dell'altra in caso di violazione dell'accordo. È importante però prevedere anche le possibili esclusioni di responsabilità per determinati tipi di danni (ad es., indiretti, consequenziali) solitamente viene incluso un CAP come importo risarcibile (salvo dolo o colpa grave) | La clausola di limitazione di responsabilità è fondamentale per gestire i rischi finanziari associati all'accordo. Fornisce protezione contro richieste eccessive e garantisce che eventuali danni potenziali siano prevedibili e limitati, riducendo così l'incertezza finanziaria e l'esposizione che potrebbe derivare da una violazione o altre responsabilità. | Data la natura sperimentale dell'AI generativa, connessa alla fallibilità dei suoi ouput, questo articolo è vitale per limitare la potenziale esposizione finanziaria che potrebbe derivare dall'uso di un modello AI. |
Protezione dei Dati Personali | Questo articolo affronta come i dati personali saranno trattati nell'ambito dell'accordo, richiamando le leggi vigenti in materia (ad esempio il GDPR). Sono specificati i ruoli di Titolare e Responsabile del Trattamento, oltre ad informazioni connesse alla sicurezza o alla archivizione dei dati. | La protezione dei dati è un'area di rischio critica, soprattutto nel contesto dei servizi AI che possono elaborare grandi quantità di dati personali. Il Fornitore è chiamato ad assumersi il rischio connesso ad un possibile data breach per creare fiducia nei confronti del proprio Cliente e dimostrare il proprio impegno sul tema. | La protezione dei dati è altamente rilevante nel contesto dell'AI generativa, dove i dati personali potrebbero essere utilizzati per addestrare i modelli AI o generare output. L'accordo probabilmente include disposizioni specifiche per garantire che i dati personali utilizzati dal sistema AI siano trattati in conformità con le leggi applicabili, e che le pratiche di gestione dei dati dell'AI siano trasparenti e sicure. |
Per ulteriori informazioni su come possiamo assistervi nella conformità legale a progetti che includono sistemi o modelli IA, visitate la nostra pagina sull’AI Act, in cui descriviamo tutto il processo di conformità al nuovo Regolamento sull’Intelligenza Artificiale.
Se volete invece approfondire altri temi legati al mondo IA, potreste trovare interessanti questi nostri articoli:
Articoli correlati