Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-04-047 min read

Copyright e Scraping Web: Quando l'Allenamento dell'AI diventa Illegale in Italia

Data scraping web per allenare AI e LLM in Italia comporta rischi sul copyright e violazioni privacy. Analisi dell'abuso di database pubblici e direttiva Europea TDM.

"Se è pubblicato su un sito visibile a tutti, è di dominio pubblico e posso estrarlo". Questo è il pericoloso malinteso alla base di innumerevoli startup e progetti informatici di Machine Learning. Quotidianamente, migliaia di crawler e bot estrattori (scraper) rastrellano testate giornalistiche, portali di annunci professionali, forum e immagini da Instagram per generare Dataset proprietari, volti al fine-tuning o all'architettura base dei propri Large Language Models (LLM).

Sotto il profilo legale globale, gli anni dal 2024 al 2026 hanno delineato un campo di battaglia aperto, culminato in azioni giudiziarie epocali (su tutte, quella del New York Times contro i maggiori player tech americani). Calato nella giurisprudenza europea e italiana, il Garante per la Protezione dei Dati Personali ha assunto un ruolo pionieristico, ribadendo un concetto inscalfibile insieme all'applicabilità del nuovissimo AI Act e della Direttiva Copyright (UE) 2019/790: il web non è un buffet All You Can Eat. Lo scraping massivo, laddove indiscriminato e commerciale, integra reati penali, responsabilità civile per contraffazione intellettuale e sanzioni milionarie ai sensi del GDPR.

1. Dati Personali "Visibili": Il Blocco Invalicabile del GDPR

La prima muraglia legale che arresta aspramente le pratiche di web scraping automatizzato risiede nella natura stessa di ciò che si estrae. La visibilità tecnica di un nome, di una mail su LinkedIn, su elenchi sanitari regionali o su registri professionali non priva in alcun modo quel dato della sua classificazione come Dato Personale.

Secondo l'interpretazione incardinata della Corte di Giustizia Europea (ECJ) e corroborata dal Comitato Europeo per la Protezione dei Dati (EDPB), l'utente o il cittadino presta il suo consenso alla pubblicazione affinché interagisca specificamente all'interno dello scopo o dell'ecosistema di quel network.

  1. Mancanza di base giuridica: Impadronirsi meccanicamente di quelle biografie o recensioni, archiviarle in server proprietari per dare substrato ad una rete neurale costituisce un macro-trattamento per cui non è stato fornito alcun consenso (Opt-in) originario.

  2. Irraggiungibilità degli interessati (Art. 14 GDPR): Se crei un database enorme usando scraping occulterai un dettaglio vitale. Sei obbligato ad informare tutti quegli estratti "entro 30 giorni" fornendogli l'Informativa Privacy. Nello scraping si salta totalmente la trasparenza (chi sciucca miliardi di dati è palesemente impossibilitato a contattarli, ammettendo così il trattamento clandestino). I maxiprovvedimenti del Garante nei confronti di operatori multinazionali operanti nel tracking biometrico o di background check hanno certificato che la dicitura "Legittimo Interesse Aziendale dell'algoritmo" crolla istantaneamente di fronte alla totale espropriazione occulta subìta dai cittadini a cui si svuotano le identità online.

2. Il Diritto d’Autore e la Direttiva sul Text and Data Mining (TDM)

Entriamo nel regno della tutela commerciale. Posti di esserci tenuti a distanza dai volti o dai dati degli utenti, decidiamo di estrarre solamente archivi di blog, analisi tecniche o giornali per addestrare un Bot Verticale aziendale sulle Risorse Umane o sul Diritto Applicato. Interviene qui il Codice sul diritto d'autore e sul Copyright informatico.

La Legge è recentemente convergente: la Direttiva UE 2019/790 sul Copyright nel Mercato Unico Digitale (recepita interamente) cristallizza all'Articolo 4 la deroga essenziale alla violazione: l'eccezione per l'estrazione di testi e di dati (TDM - Text and Data Mining). L'Unione Europea ha stabilito che lo scraping analitico a uso commerciale non è vietato a priori senza autorizzazione, ma è vincolato strettissimamente alle volontà dell'editore del sito derubato.

Questa eccezione esplode dinanzi a tre grandissimi paletti operativi a totale onere dello Scraper:

  • Riserva e Opt-out Digitale leggibile da dispositivo automatico: Il Machine Reading o estrazione su base algoritmica è permessa solo se il Titolare dei diritti originari non vi si è esplicitamente opposto. Le Autorità avallano l'istituto del file robots.txt come confine fisico. Impostare su un sito il Disallow: GPTBot e inibirne le API rende del tutto illecito e illegale l'ingresso al ragno.

  • Aggiramento DRM e Termini Contrattuali: Se lo scraping avviene creando falsi account per sfondare Paywall o simulando l'User-Agent per truffare i dispositivi Cloudflare difensivi, si passa direttamente dalla infrazione del copyright all'accesso abusivo a sistema informatico (Art. 615-ter C.P.), di natura eminentemente penale in Italia.

  • Memorizzazione Riproduttiva o Astrattiva? Il Copyleft europeo concede lo scraping per evincere schemi verbali (ricercare regolarità matematico-linguistiche come "quando la cassazione respinge il ricorso") per lo schema analitico, non concede l'utilizzo rigurgitante di interi lemmi formattati nei pesi algoritmici. Quando un'AI rigurgita i testi pari passo (come testualmente accertato nelle grandi cause dell'editoria US) commette copia pedissequa.

3. Transparency By AI Act (Agosto 2026)

Con la totale e imminente entrata a regine del nuovo AI Act, il Legislatore colma ogni lacuna documentale dei dataset. Diventerà pressoché impossibile nascondere da dove proviene la "scienza" e i token della propria applicazione: i fornitori di nuovi Modelli o Sistemi IA generativi avranno l'obbligo vincolante (Artt. 53-56) di mettere tempestivamente sul mercato un Data Summary (un riepilogo estremamente dettagliato del contenuto e di tutte le fonti usate in fase di training). Tale trasparenza documentale assicurerà ai fornitori di contenuti e ai reporter web il controllo di validità sul rispetto delle restrizioni in capo ai propri copyright, rendendo gli scraper non conformi immediatamente perseguibili legalmente e tecnologicamente rimossi dalla distribuzione dal nascente EU AI Office.

Come Prevenire Il Rischio: Assessment della Base Dati

Ai dipartimenti di software engineering e ML in Italia viene richiesto oggi l'Assessment Preliminare sui Dataset di Training (DPIA o Data Source Clearance). L'unica trincea di liceità per l'addestramento dell'intelligenza artificiale contempla: l'uso di Open Data rigorosi (Licenze MIT, Apache 2.0. CC-BY prive del tag Non-Commercial), l'adozione di Set Sintetici generati de-novo, oppure la stipula concreta di Licenze Dati Plurime (Data Licensing) concordate in compensazione pecuniaria diretta coi fornitori di database originali.

L'etica digitale e lo sviluppo telematico in Europa si disancorano dall'appropriazione cieca a favore della Governance Responsabile, e per il Management, prelevarlo dal web sperando nell'ignavia della fonte non equivale ad altro se non a un ritardatario conto sanzionatorio milionario.

Domande Frequenti

Ho addestrato l'AI internamente e non lo rivendo; lo scraping di articoli per uso mio è illegale?

Risiedendo in territorio EU, subentra l'Articolo 3 della Direttiva Europea 2019/790, destinato all'estrazione esclusiva di dati e testi limitatamente nel campo della ricerca scientifica senza scopo di lucro ed attuata integralmente da istituti votati a patrimonio culturale o istituti universitari e di formazione, rendendo di fatto del tutto esentabile questo preciso campo sperimentale. Se la tua analisi del testo non-lucrativa non ricade sotto lo status formale e verificato di organizzazione di ricerca in esenzione, ricadi nella deroga dell'Articolo 4 (commerciale), in cui il divieto esplicito in robots.txt ha completa forza frenante.

Come faccio, da Titolare del Blog, a bloccare che i miei articoli finiscano allenati nelle Intelligenze Artificiali di terzi?

È indispensabile l'implementazione fisica e chiara dell'Opt-Out TDM che funga da barriera oppositiva esplicita in tribunale. Basta inserire sui Termini e Condizioni che "È severamente interdetto lo scraping ai fini dell'addestramento e al TDM", ed inserire un comando esecutivo e diretto nella gerarchia file alla Root del proprio hosting (robots.txt), configurato bloccando gli user agent primari di mercato AI quali GPTBot, CCBot, Anthropic-ai, e Google-Extended. Questa pratica assolve oggi al dovere statutario preposto dalla normativa sul diritto d'autore europea fornendoti arma querelante ex lege.

Estraendo esclusivamente sentenze di tribunale dal web, ho problemi col GDPR?

I provvedimenti giurisdizionali non sono coperti dal diritto d'autore del giudice e ne è garantita la libera fruizione intellettuale pubblica o accademica democratica. Tuttavia, persistono in esse miriadi di identificatori demografici e biometrici (Dati particolari ex Art 9 GDPR). Un training su atti che non siano stati pre-pseudonimizzati ad opera umana, espone in automatico agli esposti pesanti se gli algoritmi dovessero elaborare verdetti indicizzando il fascicolo sanitario e psicologico menzionato del singolo soggetto privato a processo, confluendolo nei Chatbot destinati al vasto pubblico utenza.

Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica.
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un assessment online in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale sicurezza.