Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-06-176 min read

AI Agent Governance: Quando un Agente AI Stipula Contratti per Te

Responsabilità legale degli AI Agent autonomi: agency, limiti del mandato, vincolatività dei contratti stipulati da IA. Analisi alla luce dell'AI Act, della nuova PLD e del diritto contrattuale italiano. Guida per startup che sviluppano o utilizzano AI Agent.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026 e si basa sul Reg. UE 2024/1689 (AI Act), sulla Direttiva UE 2024/2853 (nuova PLD), sul Codice Civile italiano (Artt. 1703-1730 c.c. in materia di mandato), sulla proposta di AI Liability Directive (settembre 2022, in fase di negoziazione) e sulle prime pronunce dottrinali in materia di agenti AI autonomi. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale. Il quadro normativo è in evoluzione.

Fonti primarie: Reg. UE 2024/1689 (AI Act) Art. 3.1 - Direttiva UE 2024/2853 (PLD) Art. 4 - Codice Civile Artt. 1703-1730 (Mandato) - Proposta AI Liability Directive (2022)

Nel 2026 il mercato degli AI Agent autonomi sta vivendo una crescita significativa. Sempre più startup sviluppano o utilizzano agenti software in grado di svolgere attività in autonomia: prenotare servizi, negoziare condizioni, acquistare beni, rispondere a richieste commerciali, gestire reclami.

Il diritto, però, non ha ancora risposte definitive per molte delle questioni che questi agenti sollevano. Questo articolo analizza lo stato dell'arte del quadro normativo applicabile.

1. Un AI Agent può stipulare un contratto valido?

La risposta breve è: sì, ma non a nome proprio. Un AI Agent non ha personalità giuridica. Non può essere parte di un contratto, né vantare diritti né assumere obblighi in nome proprio.

Il contratto stipulato da un AI Agent è giuridicamente riferibile al soggetto (persona fisica o giuridica) che:

  1. Ha sviluppato o implementato l'agente
  2. Ne ha autorizzato l'operato
  3. Ne trae beneficio

La qualificazione giuridica del rapporto è dibattuta. Le opzioni principali sono:

  • Mandato (Art. 1703 c.c.): il preponente conferisce all'agente AI il potere di compiere atti giuridici per suo conto. Il mandato può essere con o senza rappresentanza. Con rappresentanza, gli effetti degli atti compiuti dall'agente si producono direttamente in capo al preponente. Il testo del Codice Civile è accessibile su Normattiva.
  • Contratto di agenzia (Art. 1742 c.c.): applicabile se l'agente AI ha il potere di promuovere la conclusione di contratti in una zona determinata.
  • Strumento esecutivo: inquadramento più prudente, in cui l'AI Agent è considerato uno strumento attraverso cui il preponente esprime la propria volontà.

Conseguenza pratica: indipendentemente dall'inquadramento, la responsabilità per gli atti dell'AI Agent è del preponente. Se un AI Agent acquista beni, sottoscrive abbonamenti o accetta condizioni contrattuali, il preponente ne risponde.

2. Limiti del mandato: cosa deve fare il preponente

Per limitare la responsabilità, il preponente deve definire chiaramente i poteri conferiti all'AI Agent. Questa definizione può avvenire attraverso:

  • Parametri di sistema: l'agente opera entro limiti predefiniti (importo massimo per transazione, fornitori autorizzati, condizioni minime accettabili)
  • Human-in-the-loop: le decisioni sopra una certa soglia richiedono approvazione umana
  • Log delle azioni: tutte le operazioni dell'agente devono essere registrate per consentire la verifica ex post

In assenza di limiti chiari, il preponente rischia di essere vincolato a condizioni che non avrebbe accettato. La giurisprudenza italiana non si è ancora pronunciata in modo specifico, ma per analogia con il mandato, gli atti che escono dai limiti conferiti non vincolano il preponente.

3. AI Act: l'AI Agent come sistema ad alto rischio

L'AI Act definisce "sistema AI" (Art. 3.1) come un sistema basato su macchina progettato per operare con diversi livelli di autonomia. Gli AI Agent che operano con autonomia significativa in ambiti protetti (credito, assicurazioni, selezione del personale, accesso a servizi essenziali) ricadono potenzialmente tra i sistemi ad alto rischio dell'Allegato III.

Se l'AI Agent è classificato ad alto rischio, il provider deve:

  • Predisporre la documentazione tecnica (Art. 11)
  • Implementare un sistema di gestione del rischio (Art. 9)
  • Garantire la supervisione umana (Art. 14)
  • Registrare il sistema nel database UE

Il deployer (chi utilizza l'agente) deve rispettare gli obblighi dell'Art. 26: supervisione umana, log delle operazioni, notifica degli incidenti.

4. Responsabilità per danni causati da AI Agent

La nuova Direttiva sulla responsabilità per danno da prodotti difettosi (UE 2024/2853) include espressamente i sistemi AI tra i "prodotti". Il produttore di un AI Agent è responsabile per i danni causati da un difetto del sistema, incluso il caso in cui il difetto emerga dopo un aggiornamento o come conseguenza dell'apprendimento automatico (Art. 6.4 PLD).

Inoltre, la proposta di AI Liability Directive (2022, ancora in fase di negoziazione) introduce facilitazioni probatorie per la vittima che agisce per il risarcimento del danno causato da un sistema AI, inclusa una presunzione di nesso causale quando il sistema ha violato determinati obblighi.

5. Cosa fare subito

  1. Documentare i poteri conferiti all'agente: definire per iscritto cosa l'AI Agent può e non può fare, con soglie e limiti chiari
  2. Implementare logging e supervisione umana: tutte le operazioni dell'agente devono essere tracciate e le decisioni rilevanti devono richiedere approvazione umana
  3. Verificare la classificazione AI Act: se l'agente opera in settori dell'Allegato III, predisporre la documentazione tecnica e la FRIA
  4. Includere clausole specifiche nei contratti: informare i clienti/fornitori che interagiranno con un AI Agent e specificare la vincolatività delle sue azioni
  5. Assicurazione RC: verificare che la polizza copra i danni causati da sistemi AI autonomi

Domande Frequenti (FAQ)

Un contratto stipulato da un AI Agent senza supervisione umana è valido? La validità del contratto dipende dalla corretta configurazione del rapporto di mandato o rappresentanza. L'assenza di supervisione umana non invalida automaticamente il contratto, ma può rilevare sotto il profilo dell'AI Act (violazione dell'obbligo di supervisione umana per sistemi ad alto rischio) e della responsabilità civile.

Chi risponde se un AI Agent acquista beni oltre i limiti consentiti? La risposta dipende dai termini del mandato e dalla comunicazione dei limiti al terzo. Se il terzo era a conoscenza dei limiti (o avrebbe dovuto esserlo con l'ordinaria diligenza), il preponente non è vincolato. In caso contrario, il preponente potrebbe essere tenuto a rispondere, con eventuale diritto di rivalsa verso il produttore dell'agente per difetto del sistema.

Un AI Agent può essere registrato come soggetto AI Act? No. L'AI Act richiede che il sistema sia immesso sul mercato o messo in servizio dal provider. L'AI Agent è un sistema AI, non un soggetto giuridico. La registrazione nel database UE e la documentazione tecnica fanno capo al provider del sistema.

Approfondimenti consigliati:

Fonti: AI Act Art. 3 - EUR-Lex; Codice Civile Art. 1703 - Normattiva; PLD 2024/2853 - EUR-Lex; Proposta AILD 2022.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Art. 5: Pratiche Vietate, Manipolazione, Biometria, Social Scoring9 min readAziendeAI Procurement: Come Contrattualizzare un Fornitore di API LLM9 min readAziendeCyber Resilience Act (CRA): Sicurezza Obbligatoria per Software e Hardware IoT8 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza