La tutela dell’intelligenza artificiale come segreto commerciale

(Originariamente pubblicato su TopLegal FOCUS - AI - Dicembre 2021)

Lo sviluppo di intelligenza artificiale (AI) richiede significativi investimenti alle aziende, che hanno perciò la  stringente necessità di tutelare al meglio la relativa proprietà intellettuale.

A seconda dei casi, la miglior forma di tutela può essere quella di brevetto, di diritto d’autore o di segreto commerciale. Quest’ultima sta acquisendo un ruolo sempre più importante visti, da un lato, i limiti di applicazione del diritto d’autore e le difficoltà di brevettazione dell’AI, e, dall’altro lato, alcuni caratteri della tutela dei segreti che possono renderla comunque preferibile alle altre. Mi riferisco ad esempio alla sua durata potenzialmente illimitata nel tempo, ovvero fino a quando l’informazione resta segreta; all’immediatezza della tutela, che le consente di stare al passo con la velocissima evoluzione del settore; alla sua maggiore ampiezza, che copre anche materiale come algoritmi, dati di training e dati di output, inclusi i dati sugli errori commessi dall’AI; all’assenza di oneri di registrazione e quindi dei relativi costi.

D’altro canto, la tutela dei segreti ha anche delle significative debolezze: ad esempio, non consente di opporsi all’uso delle informazioni se queste sono state sviluppate autonomamente da un terzo o se sono ottenibili attraverso un reverse engineering non complesso; inoltre, in sede giudiziale pone spesso problemi di prova in relazione sia alla consistenza delle informazioni sia al loro previo assoggettamento, da parte dell’azienda loro titolare, a “misure ragionevolmente adeguate a mantenerle segrete”.

Quest’ultimo requisito, posto dalla norma cardine della tutela civilistica dei segreti (art. 98 d. lgs. 30/2005), è in effetti l’elemento su cui tipicamente si incentrano i giudizi in materia: il convenuto per violazione dei segreti si difende affermando che questi in realtà non meritano tutela proprio perché il titolare non li aveva sottoposti a misure adeguate a mantenerli segreti. Spetta quindi al titolare dimostrare di avere invece posto in essere le necessarie misure tecniche e giuridiche, quali, ad esempio, blocchi alla copia dei file e alla loro trasmissione all’esterno, regolamentazione degli accessi ai file su base “need to know”, abilitazione all’accesso solo con credenziali con alto livello di sicurezza, NDA, policy interne, clausole di riservatezza nei contratti.

Vero è che, anche in assenza di misure di sicurezza stringenti, le informazioni aziendali riservate possono essere comunque tutelate ai sensi delle norme che sanzionano la concorrenza sleale. Tuttavia, queste ultime si applicano esclusivamente ai concorrenti e quindi sono spesso non invocabili, ad esempio, nei confronti del dipendente infedele che non agisca di concerto con un’azienda concorrente. Da qui l’importanza di adottare serie pratiche di cybersecurity dal lato sia tecnico che giuridico.