L'intelligenza artificiale per le startup tra nuove opportunità e rischio giuridico

1.   L'accordo politico del 7 maggio 2026

Il 2 agosto 2026 doveva rappresentare il momento della verità per i sistemi di intelligenza artificiale (di seguito anche IA) classificati ad alto rischio: la data in cui sarebbero diventati pienamente esigibili gli obblighi di gestione del rischio lungo l'intero ciclo di vita del prodotto, di qualità e assenza di bias nei dati, di supervisione umana effettiva, di documentazione tecnica per la marcatura CE e di registrazione in un database europeo pubblico. Un complesso di adempimenti che avrebbe costretto le imprese — comprese le startup — a fare i conti con la propria reale maturità organizzativa in materia di IA.

Il 7 maggio 2026, tuttavia, il Parlamento europeo e il Consiglio UE hanno raggiunto un accordo politico sul cosiddetto Digital Omnibus sull'IA, un pacchetto di modifiche mirate all'AI Act che ha ridisegnato in corsa parte del calendario. Il termine per i sistemi ad alto rischio — reclutamento, infrastrutture critiche, biometria — è stato rinviato al 2 dicembre 2027. Una proroga che, nel dibattito pubblico, rischia di essere letta come un alleggerimento della pressione normativa. Sarebbe una lettura sbagliata: nessun obbligo è stato soppresso, nessun requisito alleggerito. Il legislatore europeo ha spostato la scadenza, non la destinazione. Per le startup che hanno già avviato processi strutturati di governance algoritmica, la variazione è sostanzialmente irrilevante. Per quelle che contavano sull'agosto 2026 come orizzonte invalicabile per iniziare — e non per completare — l'adeguamento, la proroga rischia di trasformarsi nell'ennesima occasione di rinvio.

L'accordo politico del 7 maggio 2026 è ancora un accordo provvisorio: non ha ancora modificato la lex lata. Le istituzioni hanno dichiarato l'intenzione di completare l'adozione formale prima del 2 agosto 2026, ma fino alla pubblicazione in Gazzetta Ufficiale l'AI Act rimane vigente nella sua formulazione originale. Per il giurista, la distinzione non è accademica: chi deve consigliare una startup oggi opera ancora sotto il regime attuale. Detto questo, la direzione politica è sufficientemente chiara da poter essere assunta come base di pianificazione, con la consapevolezza che si tratta, tecnicamente, di de lege ferenda.

È opportuno poi segnalare che lo stesso accordo contiene movimenti in direzione opposta alla semplificazione. Il periodo di grazia per implementare le soluzioni di watermarking e trasparenza sui contenuti generati artificialmente è stato ridotto da sei a tre mesi, con scadenza anticipata al 2 dicembre 2026. E viene introdotto un divieto esplicito sulle applicazioni progettate per generare immagini sessuali non consensuali — le cosiddette nudifier app — a conferma che il perimetro del rischio inaccettabile non si restringe: si estende. Il messaggio complessivo che emerge dall'accordo è, in fondo, coerente con la logica dell'intero impianto regolatorio: il diritto può riscadenzare, ma non può — e non vuole — arretrare.

L'intelligenza artificiale ha ormai superato la fase della curiosità tecnologica per diventare, a tutti gli effetti, una infrastruttura produttiva centrale nei modelli di business delle imprese innovative. 

La novità non risiede semplicemente nella presenza di algoritmi – che esistono da decenni – ma nella capacità dei sistemi contemporanei di apprendere dai dati, elaborare correlazioni, generare contenuti, formulare raccomandazioni e incidere concretamente su decisioni economiche e sociali. È il passaggio dall'era digitale all'era algoritmica: se il software tradizionale eseguiva istruzioni rigide e predeterminate, i sistemi odierni operano in modo probabilistico, con output non sempre integralmente ricostruibili dal programmatore. 

Questa opacità funzionale – spesso definita come “black box” – è il primo elemento che rende l'intelligenza artificiale un fenomeno giuridicamente complesso. L'IA non è soltanto tecnologia: è un nuovo modo di organizzare la produzione, distribuire il potere decisionale, allocare il rischio. Per le startup, in particolare, l'IA rappresenta contemporaneamente una straordinaria leva competitiva e una nuova fonte di responsabilità. 

Negli Stati Uniti, l'ascesa rapidissima di operatori come OpenAI, Anthropic o Perplexity AI, sostenuti da investimenti miliardari, mostra quanto l'IA sia ormai percepita come asset strategico di sistema. In Europa e in Italia, pur con dimensioni diverse, si assiste alla proliferazione di startup che utilizzano IA in ambiti eterogenei: sanità, diritto, finanza, cybersecurity, marketing, logistica, manifattura, automotive, servizi digitali. L'IA non è solo prodotto, ma moltiplicatore di capacità produttiva: consente a piccoli team di generare impatti economici prima riservati a grandi strutture. 

Questa democratizzazione della potenza computazionale, tuttavia, non è neutra dal punto di vista giuridico. La riduzione delle barriere tecnologiche non coincide con una riduzione del rischio: anzi, la facilità di accesso a strumenti sofisticati tende a moltiplicare i casi di utilizzo inconsapevole o giuridicamente non governato.

2.   Il fraintendimento di base: che cosa è (e che cosa non è) “intelligenza artificiale”

Vi è, tuttavia, una premessa da fare. Nel discorso pubblico – e spesso anche nella comunicazione delle startup – il termine “intelligenza artificiale” viene utilizzato in modo estensivo e talvolta meramente evocativo. Non ogni software è IA, non ogni automazione è intelligenza artificiale. 

Dal punto di vista giuridico, questa distinzione non è un esercizio teorico, ma ha ricadute concrete: tra un programma che esegue istruzioni rigidamente predefinite e un sistema che apprende, si adatta, elabora correlazioni e produce output variabili, cambia il regime di responsabilità, il tipo di aspettative legittime dell'utente, la rilevanza degli obblighi informativi e delle misure di trasparenza. 

Molte startup costruiscono il proprio storytelling sul richiamo a sistemi “intelligenti”, salvo poi utilizzare soluzioni di automazione tradizionale. In questi casi, il rischio non è soltanto reputazionale: la promessa di capacità decisionali autonome o di prestazioni avanzate che il sistema non possiede realmente può integrare profili di pubblicità ingannevole, pratiche commerciali scorrette, responsabilità contrattuale per difformità della prestazione. 

All'opposto, quando il sistema è effettivamente riconducibile a un modello di IA – specie se ad alto impatto, come nel caso di sistemi di scoring, selezione del personale, diagnosi assistita, generazione di contenuti – l'errore è ritenere che la “magia” algoritmica sospenda o attenui i doveri di diligenza. In realtà, la natura probabilistica e opaca degli output impone un surplus di cautele, non una deresponsabilizzazione.

Per il giurista, la prima domanda da porsi, di fronte a una startup che “usa l'IA”, non è se la tecnologia sia affascinante, ma se ricada effettivamente nell'ambito di definizione e di rischio che il diritto europeo associa ai sistemi di IA, e con quali conseguenze in termini di obblighi ex ante ed ex post. 

3.   Il “responsibility gap” e la catena del valore algoritmica

L'elemento che maggiormente ha attratto l'attenzione della dottrina internazionale è il cosiddetto “responsibility gap”: il vuoto di imputazione che sembra emergere quando un sistema algoritmico genera un danno e nessuno degli attori coinvolti appare immediatamente responsabile. 

Le domande sono note: chi risponde se un sistema di selezione automatizzata del personale discrimina candidati sulla base di dati storici distorti? Se una piattaforma di scoring finanziario penalizza sistematicamente determinate categorie sociali? Se un chatbot fornisce informazioni errate in ambito sanitario o legale? Se un sistema generativo produce contenuti diffamatori o falsi? 

La tentazione, alimentata da certa narrativa tecnologica, è di attribuire l'errore alla “macchina”. Ma la macchina non è soggetto di diritto. L'IA non agisce nel vuoto: dietro ogni sistema vi è una catena di attori – sviluppatori, fornitori di dati, provider di infrastruttura, integratori, distributori, utilizzatori finali – e una serie di scelte organizzative che il diritto è chiamato a ricondurre entro schemi di imputazione.

Per le startup che utilizzano IA nei rapporti con clienti e utenti, la domanda centrale diventa: fino a che punto è possibile scaricare il rischio sul fornitore tecnologico? E, specularmente, quale porzione di responsabilità rimane in capo a chi integra l'IA nel proprio servizio e la presenta come parte essenziale della propria offerta? 

Il diritto civile, con i suoi strumenti tradizionali (responsabilità contrattuale ed extracontrattuale, obblighi di informazione, doveri di diligenza professionale, responsabilità da prodotto), non è disarmato. Ma la distribuzione del rischio lungo la filiera algoritmica richiede un'opera di adattamento che passa, sempre più, attraverso la normazione europea di settore. 

4.   L'AI Act: dalla responsabilità ex post alla governance del rischio ex ante

In questo quadro si è inserito l'AI Act europeo, che segna un passaggio significativo: la tutela non è più affidata soltanto alla responsabilità ex post, ma viene spostata in modo deciso sul piano della prevenzione e della governance del rischio. 

L'AI Act costruisce un sistema di accountability che, in particolare per i sistemi ad alto rischio, impone obblighi stringenti di gestione del rischio e valutazione d'impatto; qualità, pertinenza e rappresentatività dei dati di addestramento; documentazione tecnica e tracciabilità; trasparenza verso gli utenti; sorveglianza umana significativa; monitoraggio continuo delle prestazioni dopo l'immissione sul mercato; registrazione e segnalazione di incidenti gravi. 

La “nuova regola applicabile” non è più quella di attendere il danno per poi ricostruire a posteriori la catena causale, ma quella di presidiare il rischio fin dalla progettazione e lungo l'intero ciclo di vita del sistema. La logica è analoga a quella già sperimentata con il GDPR, ma qui applicata specificamente al rischio algoritmico. 

Per le startup, ciò comporta una trasformazione culturale notevole: non è sufficiente “avere un buon modello”, occorre dimostrare di averlo gestito in modo conforme ai requisiti di legge. La compliance non è un orpello formale, ma una componente essenziale della capacità competitiva, specie in settori regolati o ad alto impatto sui diritti fondamentali.  

5.   IA, dati e GDPR: una tensione strutturale

Un altro aspetto essenziale per chi vuole iniziare a fare impresa con l'intelligenza artificiale riguarda i dati. L'efficacia predittiva di sistemi basati su intelligenza artificiale dipende, in larga misura, dalla quantità e qualità delle informazioni disponibili. Da qui la tensione strutturale con il GDPR, che, al contrario, impone principi di minimizzazione, proporzionalità, limitazione della finalità e trasparenza.

Per le startup, spesso abituate a concepire i dati come “carburante illimitato” dell'innovazione, il quadro europeo introduce una serie di vincoli che non possono essere elusi con formule generiche in informativa. Il problema non è soltanto quantitativo (quanti dati raccogliere), ma qualitativo: dataset incompleti, distorti o storicamente squilibrati possono generare discriminazioni sistemiche, replicando e amplificando disuguaglianze preesistenti.

Il tema dei bias non è più confinato alla discussione etica: entra a pieno titolo nel perimetro della responsabilità giuridica. Se un algoritmo di selezione del personale, addestrato su dati che riflettono pratiche storicamente discriminatorie, continua a penalizzare determinate categorie, la domanda non è se “l'IA sia razzista”, ma se l'organizzazione che la utilizza abbia adottato misure ragionevoli per prevenire e correggere questi effetti.

In questo senso, il GDPR e l'AI Act convergono nel richiedere alle imprese – comprese le startup – un approccio strutturato alla gestione del ciclo di vita dei dati: dalla raccolta alla pulizia, dall'addestramento al testing, dal monitoraggio al phase-out. La “nuova regola applicabile” è quella di un'innovazione data-driven che sia, al tempo stesso, rights-driven.

6.   Il contratto come luogo di emersione del rischio algoritmico

Se l'IA entra nella prestazione contrattuale, il contratto torna protagonista. Molte startup non vendono semplicemente tecnologia, ma offrono servizi continuativi, piattaforme, consulenze automatizzate, sistemi di assistenza, strumenti decisionali. In questi casi, l'IA diventa parte integrante della promessa contrattuale. 

Quando il sistema sbaglia – fornendo raccomandazioni errate, valutazioni distorte, output fuorvianti – l'errore algoritmico tende a tradursi in inadempimento. L'art. 1218 c.c. assume, allora, un ruolo centrale: il debitore che si avvale di strumenti di IA per organizzare la propria attività resta obbligato a una prestazione conforme, e il malfunzionamento del sistema ricade, di regola, nella sua sfera organizzativa. L'opacità tecnica non può fungere da esimente automatica. 

Per le startup, ciò significa che l'uso di modelli esterni o di servizi di IA forniti da terzi non trasferisce automaticamente il rischio verso l'alto nella filiera. Nei confronti del cliente finale, sarà spesso la startup a rispondere dell'inadempimento, salvo poi rivalersi, nei limiti di quanto pattuito, sul provider tecnologico.

Il contratto diventa, dunque, il luogo in cui definire con chiarezza l'oggetto della prestazione (che cosa fa e che cosa non fa il sistema di IA); disciplinare responsabilità, limitazioni di responsabilità e garanzie; regolare la gestione degli incidenti algoritmici e dei data breach; prevedere obblighi di collaborazione e informazione tra le parti; inserire clausole di audit, aggiornamento e dismissione del sistema. 

Per il giurista che assiste una startup, l'attenzione è duplice: da un lato, evitare che la contrattualistica sia un mero copia-incolla di modelli pensati per servizi IT tradizionali; dall'altro, non cadere nella tentazione opposta di affidarsi a formule di esonero di responsabilità troppo ampie, che rischiano di essere inefficaci o di entrare in conflitto con norme imperative e con il quadro europeo di tutela degli utenti. 

7.   Governance del rischio: il vero vantaggio competitivo

In un contesto in cui l'IA è sempre più accessibile, il vero elemento differenziante tra startup potrebbe non essere tanto “avere l'IA”, quanto dimostrare di saperla governare. Una governance del rischio adeguata, per una startup che sviluppa o utilizza sistemi di IA, dovrebbe quantomeno prevedere: comprensione, almeno a livello funzionale, del modello adottato e dei suoi limiti; verifica della provenienza, qualità e liceità dei dati; analisi preventiva dei possibili bias e delle ricadute sui diritti degli interessati; predisposizione di una supervisione umana effettiva sui processi critici; documentazione delle scelte tecniche e organizzative; monitoraggio continuo delle prestazioni del sistema, con possibilità di intervento correttivo; adeguata disciplina contrattuale dei rapporti con fornitori e clienti, in chiave di allocazione del rischio; integrazione della compliance (AI Act, GDPR, normativa di settore) nei processi interni, e non come attività esterna e occasionale. 

In questo scenario, assumono rilievo crescente gli standard tecnici e la marcatura CE, con il ruolo di organismi come CEN, CENELEC, ETSI nel tradurre requisiti giuridici in verifiche operative. Ma qui si annida un ulteriore rischio: quello di una “conformità apparente”, in cui il rispetto formale di checklist tecniche sostituisce una reale valutazione sostanziale della sicurezza e dell'impatto sui diritti fondamentali. 

La “nuova regola applicabile”, per le startup che vogliono posizionarsi in modo credibile sul mercato, è quella di una compliance sostanziale: non limitarsi a spuntare caselle, ma dimostrare, anche verso investitori e partner, di aver integrato la gestione del rischio nel proprio modello di business. 

8.   Startup tra democratizzazione dell'innovazione e nuove vulnerabilità

Le startup si trovano, in questo contesto, in una posizione intrinsecamente ambivalente. 

Da un lato, l'IA rappresenta una straordinaria occasione di democratizzazione dell'innovazione: mai come oggi piccoli gruppi imprenditoriali hanno avuto la possibilità di competere con grandi operatori globali, sfruttando modelli generativi e sistemi algoritmici per scalare rapidamente. 

Dall'altro lato, la crescente dipendenza da sistemi opachi e complessi può generare nuove forme di vulnerabilità economica e giuridica: dipendenza tecnologica da pochi grandi fornitori di modelli e infrastrutture; difficoltà nel comprendere e governare effettivamente il funzionamento dei sistemi utilizzati; esposizione a rischi regolatori in continua evoluzione; rischio di contenzioso, specie in settori ad alto impatto (sanità, finanza, lavoro, servizi legali). 

L'errore più grande sarebbe leggere il fenomeno in chiave esclusivamente entusiastica (“l'IA come soluzione a tutto”) o esclusivamente catastrofica (“l'IA come minaccia esistenziale”). L'intelligenza artificiale è, prima di tutto, una tecnologia di potere: ridisegna rapporti di forza, accesso alle informazioni, capacità di influenzare decisioni. E come ogni tecnologia di potere, richiede regole, controllo e responsabilità. 

Per le startup, il vero vantaggio competitivo del futuro potrebbe consistere proprio nella capacità di coniugare velocità di innovazione e maturità giuridica: dimostrare di poter crescere rapidamente senza trasformare il rischio in una zona franca di irresponsabilità. 

9.   Il ruolo del diritto: da freno a infrastruttura di fiducia per le startup

In questo scenario, il diritto non è – o non dovrebbe essere – un mero freno all'innovazione. Può e deve diventare un'infrastruttura di fiducia, capace di rendere sostenibile, nel medio-lungo periodo, la trasformazione industriale in atto. 

L'AI Act e il GDPR, letti insieme, indicano una direzione chiara: l'innovazione algoritmica è benvenuta, purché inserita in un quadro di responsabilità condivise, trasparenza, controllo umano e tutela dei diritti fondamentali. La “vecchia regola” implicita – secondo cui ciò che è tecnicamente possibile sarebbe, per ciò solo, legittimo – viene progressivamente sostituita da una “nuova regola applicabile”: ciò che è tecnicamente possibile deve essere filtrato attraverso criteri di liceità, proporzionalità e accountability.

Per il mondo delle startup, questo significa che la vera “disruption” non è soltanto tecnologica, ma anche organizzativa e culturale. Non basta correre più velocemente degli altri: occorre dimostrare di saper correre dentro un perimetro di regole che non siano percepite come un peso esterno, ma come parte integrante del valore offerto a clienti, utenti e investitori. 

In definitiva, l'intelligenza artificiale non è una salvezza automatica né una minaccia inevitabile. È uno strumento potentissimo, che amplifica tanto le capacità quanto le responsabilità di chi lo utilizza. Per le startup, la sfida non è scegliere se adottare o meno l'IA – scelta che, in molti casi, è già stata compiuta dal mercato – ma decidere come farlo: se inseguendo una crescita rapida a costo di scaricare il rischio su altri, o se costruendo modelli di business in cui l'innovazione non sia mai disgiunta dalla capacità di governare gli effetti che produce. 

Solo in questo secondo scenario il diritto potrà davvero svolgere il ruolo che gli è proprio: non ostacolo, ma condizione di possibilità di un'innovazione industriale che non lasci dietro di sé una scia di irresponsabilità algoritmica. 

Si pubblica la relazione tenuta il 14 maggio 2026 al Dipartimento di Economia dell'Università degli Studi della Campania “Luigi Vanvitelli” in occasione dell'incontro su “Proprietà intellettuali e strumenti di governance per lo sviluppo sostenibile” nell'ambito del progetto “Fare impresa”.