Chatbot AI sul sito: cosa serve per essere a norma

I chatbot AI di ultima generazione non sono più i bot a cui eravamo abituati qualche anno fa. Non si limitano a proporre risposte preimpostate o a guidare l’utente tra poche opzioni.

Oggi possono sostenere una conversazione, gestire obiezioni, qualificare lead e assistere i clienti in modo sempre più simile a un operatore umano.

È per questo che sempre più aziende li stanno adottando: le agenzie li propongono ai clienti, gli e-commerce li integrano nell’assistenza e molti professionisti li inseriscono nei propri siti per gestire richieste e contatti.

Investire in un chatbot può quindi essere una scelta imprenditoriale del tutto sensata.

Questi sistemi, però, funzionano grazie a modelli di intelligenza artificiale generativa, gli stessi alla base di strumenti come ChatGPT, Claude o Gemini.

Proprio per questo motivo il legislatore europeo ha disciplinato espressamente questi sistemi: l’articolo 50 dell’AI Act (Reg. UE 2024/1689) si applica infatti ai sistemi di intelligenza artificiale che interagiscono con gli utenti quando questi non sono consapevoli di parlare con un sistema automatizzato.

A questi obblighi si aggiungono quelli già previsti dal GDPR, quando durante le conversazioni con il chatbot vengono trattati dati personali. 

Due normative, due livelli di obblighi, un solo chatbot sul sito.

I chatbot AI sono legali?

Sì, usare un chatbot basato su intelligenza artificiale è perfettamente legale. Non esiste una norma che ne vieti l’utilizzo nei siti web, negli e-commerce o nei servizi digitali.

Questo però non significa che possano essere implementati senza alcuna attenzione dal punto di vista normativo.

A seconda di come vengono progettati e utilizzati, i chatbot possono infatti:

• raccogliere dati personali degli utenti
• essere utilizzati per attività di marketing o assistenza clienti
• influenzare decisioni o comportamenti degli utenti

Per questo motivo il loro utilizzo può rientrare nell’ambito di diverse normative:

1. AI Act, che disciplina i sistemi di intelligenza artificiale nell’Unione Europea e introduce obblighi specifici per quelli che interagiscono con le persone.
2. Quando durante le conversazioni vengono raccolti o elaborati dati personali si applica inoltre il GDPR, che regola il trattamento dei dati e i diritti degli interessati.
3. Norme a tutela del consumatore.

Cosa dice l’AI Act sui chatbot

L’AI Act introduce una regolamentazione basata sul livello di rischio dei sistemi di intelligenza artificiale. La normativa distingue infatti quattro livelli, ai quali corrispondono obblighi diversi per chi sviluppa o utilizza queste tecnologie.

La maggior parte dei chatbot implementati su siti web per finalità di assistenza clienti, e-commerce o informazione generale ricade nella categoria a “rischio limitato“. 

Questa classificazione comporta obblighi llegati principalmente alla trasparenza. Il legislatore ha scelto questa impostazione nella consapevolezza che questi sistemi non prendono decisioni che incidono direttamente sui diritti delle persone, ma interagiscono con loro in modo sempre più indistinguibile da un umano. L’obiettivo non è quindi documentare il sistema o sottoporlo a valutazioni di conformità, ma garantire che chi ci parla sappia con cosa sta parlando.

La classificazione non non dipende però solo dal tool che si usa, ma soprattutto da come lo si usa. 

Se lo stesso sistema viene impiegato in ambito HR per filtrare i candidati o per valutare le prestazioni dei lavoratori verrebbe classificato come sistema ad “alto rischio“, attivando requisiti di conformità estremamente più onerosi, inclusa la gestione dei dati di addestramento e la supervisione umana documentata.

I sistemi a rischio inaccettabile, come quelli che utilizzano tecniche subliminali per distorcere il comportamento degli utenti o che sfruttano le vulnerabilità di gruppi specifici, sono categoricamente vietati. Un chatbot che inducesse un minore a compiere atti pericolosi attraverso una manipolazione psicologica sofisticata violerebbe l’Articolo 5 dell’AI Act, portando a conseguenze legali devastanti per il fornitore e l’utilizzatore.

L’obbligo di trasparenza previsto dall’AI Act

Per i chatbot a rischio limitato, l’obbligo principale è stabilito dall’articolo 50, paragrafo 1 dell’AI Act: chi mette in uso un sistema AI che interagisce con esseri umani deve assicurarsi che gli utenti siano informati di stare interagendo con un’intelligenza artificiale, e non con una persona reale. 

L’obbligo non si applica quando l’uso dell’intelligenza artificiale è già evidente dal contesto, ma nella maggior parte dei siti aziendali è comunque opportuno indicarlo in modo esplicito.

La comunicazione deve essere chiara e tempestiva: non in un disclaimer a piè di pagina, non nei termini d’uso.

La soluzione più comune è inserirla nel messaggio di apertura della chat, dove l’assistente virtuale si presenta e spiega che le risposte vengono generate da un sistema di intelligenza artificiale.

Questo obbligo ricade su chi mette in uso il chatbot,  il deployer nel linguaggio del Regolamento, indipendentemente dal fornitore del tool scelto. Se installi un chatbot AI sul tuo sito, sei tu il responsabile di quella disclosure verso i tuoi utenti.

Quindi prima regola: l’interazione con l’AI non può essere nascosta o simulare deliberatamente un interlocutore umano.

Chatbot AI e GDPR: cosa devi fare

Se l’AI Act regola il sistema in quanto tale, il GDPR regola quello che il sistema fa con i dati delle persone. E un chatbot, per funzionare, quasi sempre ne raccoglie: il nome con cui l’utente si presenta, l’email che lascia per ricevere risposta, il contenuto stesso della conversazione.

Per questo motivo l’implementazione di un chatbot deve essere valutata anche dal punto di vista della protezione dei dati personali.

Individua la base giuridica del trattamento

Raccogliere dati tramite chatbot richiede una base giuridica valida ai sensi dell’articolo 6 del GDPR. Le due più ricorrenti in questo contesto sono il consenso dell’utente e il legittimo interesse del titolare.

Il consenso richiede un’azione esplicita da parte dell’utente prima che il trattamento inizi, il che ha conseguenze dirette sulla UX del chatbot. Il legittimo interesse è applicabile in alcuni casi, ma richiede una valutazione di bilanciamento documentata che dimostri che l’interesse del titolare non prevale sui diritti dell’utente. Solitamente se i dati sono raccolti esclusivamente per fornire assistenza, il consenso esplicito non serve. 

Aggiorna la privacy policy

Ogni trattamento di dati personali deve essere documentato nell’informativa privacy. Se hai installato un chatbot AI dopo aver redatto la tua privacy policy, o se l’hai integrato senza aggiornarla,  stai trattando dati senza averlo dichiarato, in violazione degli articoli 13 e 14 del GDPR.

Nell’informativa vanno indicate le finalità per cui i dati vengono raccolti tramite il chatbot, la base giuridica del trattamento, i soggetti con cui quei dati vengono condivisi, incluso il fornitore del tool, e, se il fornitore ha server fuori dall’Unione Europea, le garanzie previste per il trasferimento dei dati.

Limita la raccolta dei dati nelle conversazioni

Un altro principio centrale del GDPR è la minimizzazione dei dati. Il chatbot deve essere configurato in modo da non richiedere informazioni non necessarie rispetto al servizio offerto.

Ad esempio, un sistema di assistenza clienti non dovrebbe richiedere dati sensibili o informazioni non pertinenti alla richiesta dell’utente.

Una progettazione attenta del flusso di conversazione riduce il rischio di raccolta eccessiva di dati personali.

Permetti agli interessati del trattamento di gestire i loro diritti 

Le persone devono poter esercitare i diritti previsti dal GDPR anche quando i dati vengono raccolti tramite chatbot.

L’azienda deve quindi garantire la possibilità di:

• accedere ai dati personali forniti durante le conversazioni
• richiedere la rettifica o la cancellazione dei dati
• opporsi al trattamento nei casi previsti dal regolamento

Queste richieste possono essere gestite tramite i canali di contatto dell’azienda o attraverso funzionalità integrate nel sistema di assistenza.

Può servirti la DPIA

L’integrazione di un chatbot AI, specialmente se basato su modelli generativi o se coinvolge categorie vulnerabili (come i minori), richiede quasi sempre l’esecuzione di una DPIA. La valutazione deve mappare i flussi di dati, analizzare i rischi di decisioni automatizzate discriminatorie e documentare le misure tecniche e organizzative adottate per mitigare tali rischi. 

Nomina il fornitore responsabile del trattamento

Quando usi un tool di terzi per il tuo chatbot, sia che sia una piattaforma dedicata sia che si tratti di un’integrazione basata sulle API di un modello generativo, quel fornitore tratta dati personali dei tuoi utenti per tuo conto. Nel linguaggio del GDPR è un responsabile del trattamento, e il rapporto deve essere formalizzato con un accordo scritto: il Data Processing Agreement, o DPA.

Senza questo accordo il trattamento è irregolare, indipendentemente da quanto il tool sia tecnicamente affidabile. 

Chatbot AI e tutela del consumatore

Oltre alla normativa sull’intelligenza artificiale e alla disciplina sulla protezione dei dati personali, l’uso dei chatbot nei siti web deve essere valutato anche alla luce della normativa a tutela dei consumatori.

In Italia l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha iniziato a osservare con crescente attenzione l’utilizzo dell’intelligenza artificiale nel commercio elettronico, applicando le regole previste dal Codice del Consumo anche ai sistemi basati su AI.

Questo significa che le risposte fornite da un chatbot non sono solo un tema tecnologico o di user experience: possono avere conseguenze legali se incidono sulle decisioni di acquisto degli utenti.

Le “allucinazioni” come omissioni ingannevoli

Uno degli aspetti più rilevanti emersi nei procedimenti più recenti (es. caso ScaleUp/NOVA) riguarda il fenomeno delle cosiddette “allucinazioni” dell’intelligenza artificiale.

I sistemi generativi possono infatti produrre risposte plausibili ma non corrette. Se un chatbot fornisce informazioni errate su:

• prezzo di un prodotto
• disponibilità di un servizio
• tempi di consegna o condizioni di vendita
  

l’azienda che utilizza quel sistema può essere ritenuta responsabile.

In questi casi può trovare applicazione la disciplina sulle pratiche commerciali scorrette, in particolare gli articoli 20, 21 e 22 del Codice del Consumo.

Un punto particolarmente delicato riguarda la trasparenza verso l’utente.
Se il sistema può generare risposte imprecise e questa circostanza non viene comunicata chiaramente, l’omissione potrebbe essere considerata informazione ingannevole, perché priva il consumatore di un elemento essenziale per valutare l’affidabilità del servizio.

Trasparenza sulle reali capacità del chatbot

Un altro profilo riguarda il modo in cui le aziende presentano i propri chatbot.

Molti sistemi oggi utilizzati sui siti web sono in realtà interfacce costruite sopra modelli di intelligenza artificiale esistenti (ad esempio GPT o altri modelli generativi). Questo di per sé non rappresenta un problema.

Il rischio nasce quando la comunicazione commerciale attribuisce al chatbot capacità che non possiede realmente.

Il caso Replika e le indicazioni del Garante

Il caso Replika è uno dei più citati quando si parla di chatbot e privacy.

Replika è un chatbot sviluppato dalla società statunitense Luka Inc. che permette agli utenti di creare un “amico virtuale” configurabile come confidente, terapista o partner romantico. Nel febbraio 2023 il Garante ne ha disposto il blocco immediato in Italia in via d’urgenza. Nel maggio 2025, al termine dell’istruttoria, ha comminato una sanzione di 5 milioni di euro.

Le violazioni contestate riguardavano tre aree: 

1. Assenza di una base giuridica identificata per ciascuna operazione di trattamento, 
2. Privacy policy inadeguata: disponibile solo in inglese, priva delle informazioni essenziali richieste dagli articoli 12 e 13 del GDPR
3. Nessun meccanismo efficace di verifica dell’età degli utenti, nonostante il servizio dichiarasse di escludere i minorenni.

Le ordinanze del Garante Privacy nei confronti di servizi come Replika hanno tracciato una linea guida fondamentale per chiunque implementi chatbot:

Verifica dell’età e protezione dei minori

La semplice autodichiarazione dell’età non è sufficiente. È necessario implementare meccanismi di “Age Gate” robusti che impediscano l’accesso ai minori di 18 anni (o di 14, a seconda del contesto) se il sistema non è espressamente progettato per loro. Un requisito fondamentale è il cosiddetto “cooling-off period”: se un utente dichiara di essere minorenne e gli viene negato l’accesso, il sistema deve bloccare ulteriori tentativi immediati di registrazione effettuati con date di nascita diverse.

Analisi del linguaggio e segnalazione contenuti 

I chatbot devono essere dotati di filtri che bloccano contenuti inappropriati o pericolosi, specialmente se rivolti a soggetti emotivamente fragili. Inoltre, deve essere prevista una funzione semplice per segnalare le risposte inadeguate dell’IA, affinché il sistema possa apprenderle ed evitare di riproporle.

Perfetto, rifaccio completamente il blocco mantenendo:

• tono coerente con Legal for Digital
• meno bullet inutili
• struttura fluida
• linguaggio giuridico ma leggibile
• tabella finale (che qui è utile)

Il modello di responsabilità tra azienda e agenzia

Quando un chatbot viene sviluppato o implementato da un’agenzia esterna chi risponde se il sistema sbaglia?

La ripartizione delle responsabilità tra l’azienda che utilizza il chatbot e il fornitore che lo sviluppa è uno dei punti più delicati dell’intero progetto. Molto dipende da come il sistema viene progettato, gestito e disciplinato nel contratto tra le parti.

Per questo motivo è fondamentale chiarire fin dall’inizio i ruoli e le responsabilità sia dal punto di vista della protezione dei dati personali sia da quello della responsabilità contrattuale.

L’agenzia come responsabile del trattamento

Nella maggior parte dei progetti l’agenzia che realizza o gestisce il chatbot opera come Responsabile del Trattamento. Di solito l’agenzia tratta i dati degli utenti per conto dell’azienda cliente, che rimane titolare del trattamento.

La situazione può cambiare se l’agenzia utilizza i dati raccolti tramite il chatbot per finalità proprie, ad esempio per addestrare modelli di intelligenza artificiale o migliorare altri servizi. In questi casi il ruolo dell’agenzia potrebbe evolvere in contitolare del trattamento o addirittura in titolare autonomo, con conseguenze giuridiche molto più rilevanti.

Per evitare ambiguità conviene gestire il rapporto con un un Data Processing Agreement (DPA) che definisca con precisione i ruoli delle parti, le misure di sicurezza adottate, le modalità di gestione dei dati e i tempi di notifica in caso di data breach.

Responsabilità civile e contrattuale

Oltre agli aspetti legati alla protezione dei dati personali, l’implementazione di un chatbot solleva anche questioni di responsabilità contrattuale e civile.

L’agenzia che sviluppa il sistema può essere chiamata a rispondere nei confronti del cliente quando il software presenta problemi tecnici o difetti di funzionamento, ad esempio nel caso di:

• errori di sviluppo
• bug che compromettono il funzionamento del chatbot
• difetti di conformità rispetto a quanto previsto nel contratto

La questione diventa più complessa quando il problema non dipende da un errore tecnico, ma dal comportamento tipico dei modelli generativi, come nel caso delle cosiddette “allucinazioni” dell’intelligenza artificiale.

Se il chatbot genera risposte errate o fuorvianti verso gli utenti, la responsabilità verso terzi potrebbe ricadere sull’azienda che utilizza il sistema, in base al principio di culpa in vigilando, cioè per mancato controllo sull’operato dello strumento.

L’agenzia, dal canto suo, deve comunque dimostrare di aver progettato il sistema adottando soluzioni tecniche adeguate e conformi allo stato dell’arte, oltre ad aver effettuato test e verifiche prima della messa in produzione.

Manleve e limitazioni di responsabilità

Per gestire questi rischi, nei contratti tra azienda e fornitore del chatbot vengono normalmente inserite clausole di manleva e limitazione della responsabilità.

In linea generale, l’agenzia può garantire che il sistema non violi diritti di proprietà intellettuale di terzi, ad esempio per quanto riguarda i dati utilizzati per l’addestramento dei modelli o le tecnologie impiegate.

Allo stesso tempo, l’azienda cliente può assumersi la responsabilità per eventuali danni derivanti da istruzioni errate, contenuti illeciti o dati non legittimi forniti al sistema durante l’utilizzo del chatbot.

Queste clausole servono a  stabilire nero su bianco chi risponde di cosa quando il sistema viene utilizzato nel contesto reale del business.

Clausole contrattuali importanti nei progetti con chatbot AI

Per ridurre il rischio di contenziosi, nei contratti tra azienda e agenzia che sviluppa il chatbot è opportuno disciplinare alcune clausole fondamentali.

Clausola contrattuale	Funzione principale	Nota operativa
Proprietà degli output	Stabilisce chi è titolare dei contenuti generati dal chatbot	Nella maggior parte dei casi la proprietà viene attribuita al cliente, così da permetterne l’utilizzo commerciale
Divieto di riuso dei dati	Impedisce all’agenzia di utilizzare i dati del cliente per addestrare modelli di terzi	Clausola importante per proteggere informazioni sensibili e segreti aziendali
SLA e livelli di servizio	Definisce gli standard tecnici del sistema	Per l’AI generativa è difficile garantire accuratezza assoluta; è più realistico definire SLA su uptime e prestazioni
Audit e verifiche di compliance	Consente al cliente di verificare periodicamente la conformità del fornitore	Può includere accesso ai log e alla documentazione tecnica richiesta dall’AI Act

Checklist operativa: chatbot AI a norma in 4 + 4  punti

Come abbiamo visto, la conformità non dipende solo dalla tecnologia utilizzata, ma da come il sistema viene progettato, configurato e gestito.

Per questo motivo è utile distinguere tra due livelli di responsabilità: quello dell’azienda che utilizza il chatbot nel proprio business e quello del fornitore o dell’agenzia che lo sviluppa o lo implementa.

Checklist per l’azienda (cliente)

1. Identificazione del rischio: determinare se l’uso del chatbot ricade in ambiti ad alto rischio (lavoro, finanza, salute).
2. Privacy compliance: redigere un’informativa specifica, eseguire la DPIA e nominare l’agenzia Responsabile del Trattamento.
3. Trasparenza verso il consumatore: inserire disclaimer evidenti sulla natura artificiale dell’assistente e sui rischi di inesattezza delle risposte.
4. Verifica dell’età degli utenti: Implementare sistemi conformi AGCOM se il chatbot tratta contenuti sensibili o è accessibile a minori.

Checklist per l’agenzia (fornitore)

1. Privacy by design: configurare il sistema per la minimizzazione dei dati e la cancellazione sicura dei log.
2. Documentazione tecnica: predisporre le schede tecniche del modello e i log di tracciabilità richiesti dall’AI Act.
3. Contrattualistica: definire manleve per allucinazioni, proprietà intellettuale degli output e limiti di responsabilità per usi impropri da parte del cliente.
4. Cybersecurity: implementare filtri contro la prompt injection e testare regolarmente la robustezza del sistema.

Un chatbot che funziona bene è un chatbot che funziona a norma

Gli utenti oggi notano. Notano se il chatbot non si presenta come AI, leggono le privacy policy prima di lasciare dati, si fermano quando qualcosa non quadra. La sensibilizzazione sui diritti digitali cresce, e un chatbot che non trasmette fiducia incide direttamente sulle conversioni.

Il problema è che su un singolo chatbot si intrecciano tante normative. Essere conformi richiede competenze che stanno a cavallo tra il diritto e il funzionamento reale degli strumenti digitali. Non basta un legale generalista, come non basta un tecnico che conosce solo il tool.

Legal for Digital lavora con le tecnologie digitali dal 2018. Non le osserva dall’esterno: le conosce, le usa, le ha viste evolvere. È da questa posizione che supportiamo aziende, e-commerce e agenzie nell’adeguamento dei chatbot AI: dall’analisi del sistema alla documentazione, fino ai contratti. Con la stessa visione che portiamo su ogni progetto: la compliance come strumento di performance, non come adempimento da spuntare.

Se vuoi verificare il chatbot già attivo o strutturarne uno nuovo correttamente, scrivici.