Informativa sulle funzioni di intelligenza artificiale — PUBBLIQA

Versione 0.4 — bozza — 13 giugno 2026 — DA VALIDARE DA LEGALE ABILITATO

Bozza norm-grounded. Deve essere rivista e validata da un avvocato italiano abilitato prima della pubblicazione. Le citazioni servono alla verifica rapida.

Novità v0.4: un solo fornitore LLM = OVH AI Endpoints (UE). Le elaborazioni AI avvengono su infrastruttura OVHcloud nell'UE; i dati del Cliente non lasciano l'UE e non sono usati per addestrare modelli. Rimossi tutti i riferimenti a più provider, ad Anthropic/Claude e Google/Gemini, ai modelli "gratuiti" e ai trasferimenti USA. Risolti i [DA CONFERMARE] su routing LLM e DPF. Changelog in calce.


Questa informativa descrive le funzioni di intelligenza artificiale (IA) della piattaforma PUBBLIQA™ e le relative cautele, in attuazione del principio di trasparenza del Regolamento (UE) 2024/1689 (AI Act) e della Legge 23 settembre 2025 n. 132 (norme italiane in materia di IA, vigente dal 10 ottobre 2025). È resa dal Fornitore (A.Z. Impianti S.r.l., dati nel blocco identificativo dell'Informativa Privacy) e si integra con le Condizioni Generali e con l'Informativa Privacy.

1. Quali funzioni della Piattaforma usano l'IA

Le seguenti funzioni si basano su sistemi di IA:

  • analisi della gara — estrazione e strutturazione di fatti e requisiti dai documenti di gara;
  • classificazione dei documenti — riconoscimento del tipo di documento;
  • punteggio di affinità — stima della compatibilità tra l'azienda e la gara (vedi §6: mai su persone fisiche);
  • auto-compilazione documentale — proposta di compilazione dei moduli a partire dai dati verificati dell'azienda e dalla normativa;
  • predisposizione dell'offerta tecnica — generazione di bozze di testo;
  • avvalimento e RTI/ATI — supporto alla redazione dei relativi documenti.

2. Output = bozze da verificare (disclaimer di accuratezza)

Gli output delle funzioni di IA sono bozze di lavoro. Non sono pareri, non sono documenti definitivi e possono contenere errori, omissioni o imprecisioni (incluse cosiddette "allucinazioni"). Il Fornitore non garantisce l'esattezza, la completezza, l'aggiornamento o l'idoneità a uno scopo specifico degli output. La verifica e la validazione finale spettano all'utente, che resta l'unico responsabile dei documenti depositati o inviati e del rispetto dei requisiti e dei termini di gara.

3. Revisione umana obbligatoria prima dell'invio

La Piattaforma prevede un passaggio di revisione umana obbligatoria e sostanziale (tramite l'editor integrato) prima che un documento generato con l'ausilio dell'IA possa essere finalizzato, esportato o inviato. Questo presidio:

  • mantiene l'uomo al centro della decisione, in coerenza con i principi della L. 132/2025 (artt. 1, 3, 4) e con l'assenza di processi decisionali automatizzati significativi sulle persone (art. 22 GDPR);
  • è registrato (log) come parte del flusso di lavorazione. [DA CONFERMARE: modalità di logging della revisione umana — verifica con l'area tecnica.]

4. Nessun addestramento sui dati del Cliente

Il Fornitore non utilizza i Contenuti del Cliente per addestrare modelli di intelligenza artificiale, salvo diverso e specifico consenso del Cliente. Le elaborazioni AI sono eseguite tramite il servizio di inferenza gestito di OVHcloud (OVH AI Endpoints), che il Fornitore impiega su base contrattuale e che non utilizza i dati trasmessi per l'addestramento dei modelli: i dati del Cliente sono trattati unicamente per generare l'output richiesto in tempo reale.

5. Fornitore del modello e localizzazione (UE)

L'elaborazione AI avviene tramite un unico fornitore: OVH AI Endpoints di OVHcloud, su infrastruttura situata nell'Unione Europea (Francia):

Fornitore del modelloSede del trattamentoTrasferimento extra-UEAddestramento sui dati trasmessi
OVH AI Endpoints (OVHcloud, OVH SAS)Unione Europea (Francia)NoNo

I dati del Cliente trattati dalle Funzioni AI non lasciano l'Unione Europea e non sono utilizzati per addestrare modelli. Poiché il sub-responsabile e l'infrastruttura sono nell'UE, non si verifica alcun trasferimento di dati personali verso Paesi terzi e non si applica il Capo V del GDPR (artt. 44-46): per il dettaglio e i riferimenti normativi (art. 44 GDPR; Linee guida EDPB 05/2021) si rinvia all'Informativa Privacy (§8) e al DPA.

In modalità On-Premise l'elaborazione può avvenire interamente sull'infrastruttura del Cliente, senza invio dei dati a fornitori terzi.

6. Punto fermo: nessuna valutazione di persone fisiche

Il punteggio di affinità e le altre funzioni di IA operano esclusivamente sulla relazione azienda↔gara e non profilano né valutano persone fisiche. La Piattaforma non impiega sistemi di IA ad alto rischio ai sensi dell'Allegato III (Annex III) dell'AI Act né processi decisionali automatizzati con effetti giuridici o significativi sulle persone (art. 22 GDPR).

7. Quadro normativo e classificazione del sistema

7.1. AI Act (Reg. UE 2024/1689). Le funzioni della Piattaforma sono qualificabili come sistema di IA a rischio minimo. Rispetto ai modelli impiegati, il Fornitore agisce come deployer (utilizzatore) dei modelli di terzi e come fornitore del proprio sistema di IA; non è fornitore dei modelli per finalità generali (GPAI).

7.2. Obblighi di trasparenza — art. 50 AI Act. Gli obblighi di trasparenza dell'art. 50 si applicano dal 2 agosto 2026 (il Capo IV rientra nella data generale di applicazione ex art. 113; non è tra le disposizioni anticipate al 2 agosto 2025). Occorre distinguere con precisione le diverse fattispecie dell'art. 50, perché incidono su soggetti e con effetti diversi:

  • Art. 50, par. 1 (interazione con un sistema di IA). Il sistema deve essere progettato in modo che le persone fisiche siano informate di stare interagendo con un sistema di IA, salvo che ciò sia evidente. A questo assolvono la presente informativa e l'avviso persistente "funzioni AI" in interfaccia.

  • Art. 50, par. 2 (marcatura dei contenuti generati). I fornitori di sistemi di IA — «compresi i sistemi di IA per finalità generali» — che generano contenuti sintetici (audio, immagini, video o testo) devono garantire che gli output siano marcati in un formato leggibile meccanicamente e riconoscibili come generati o manipolati artificialmente. Questo obbligo non prevede alcuna deroga di "revisione umana". Esso può essere assolto a livello di sistema o a livello di modello — in particolare dai modelli per finalità generali (GPAI) che generano contenuti — «agevolando così l'adempimento … da parte del fornitore a valle del sistema di IA» (Considerando 133). Grava quindi in primis sul fornitore del modello GPAI la realizzazione della soluzione tecnica di marcatura; il Fornitore, in quanto fornitore del proprio sistema di IA che integra tali modelli, è tenuto a riflettere e non disattivare tale marcatura, nei limiti della fattibilità tecnica. [DA VERIFICARE — tecnico: se e come il modello impiegato tramite OVH AI Endpoints marchi in formato leggibile meccanicamente i contenuti generati, e quali misure spettino al Fornitore come fornitore a valle — da coordinare con l'area backend.]

  • Art. 50, par. 4 (obbligo di informazione in capo al deployer — portata limitata). L'obbligo di dichiarare che il contenuto è stato generato/manipolato artificialmente, in capo al deployer, riguarda soltanto due fattispecie: (a) i deep fake (immagini, audio, video) e (b) i testi pubblicati allo scopo di informare il pubblico su questioni di interesse pubblico. Solo per la fattispecie (b) il par. 4 prevede che l'obbligo non si applichi quando «il contenuto generato dall'IA è stato sottoposto a un processo di revisione umana o di controllo editoriale e una persona fisica o giuridica detiene la responsabilità editoriale della pubblicazione».

    Le bozze di documenti di gara e di offerta prodotte tramite PUBBLIQA verosimilmente non rientrano nel par. 4: non sono deep fake e, di regola, non sono «testi pubblicati per informare il pubblico su questioni di interesse pubblico» (sono documenti destinati a una procedura di gara, non alla pubblica informazione). Di conseguenza non si deve far affidamento sulla deroga del par. 4 come esimente per gli output della Piattaforma. Il presidio di revisione umana obbligatoria (§3) è mantenuto come buona prassi e come misura di gestione del rischio (e a presidio della responsabilità del professionista-utente), non come applicazione della deroga del par. 4.

La presente informativa, l'avviso persistente "funzioni AI" e l'etichetta "Bozza generata con AI" sugli output sono predisposti per assolvere agli obblighi applicabili e per trasparenza verso l'utente.

7.3. AI literacy — art. 4 AI Act. L'obbligo di garantire un livello adeguato di alfabetizzazione in materia di IA del personale è già in vigore (dal 2 febbraio 2025): il Fornitore adotta misure interne in tal senso. [DA CONFERMARE: misura interna di AI literacy del personale.]

7.4. Legge 132/2025.

  • Art. 4 — le informazioni connesse all'uso di sistemi di IA sono rese «con linguaggio chiaro e semplice, in modo da garantire all'utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali».
  • Art. 13 (professioni intellettuali) — l'uso di sistemi di IA nelle professioni intellettuali è «finalizzato al solo esercizio delle attività strumentali e di supporto all'attività professionale e con prevalenza del lavoro intellettuale oggetto della prestazione d'opera»; «per assicurare il rapporto fiduciario tra professionista e cliente, le informazioni relative ai sistemi di intelligenza artificiale utilizzati dal professionista sono comunicate al soggetto destinatario della prestazione intellettuale con linguaggio chiaro, semplice ed esaustivo». Tale obbligo grava sul professionista-Cliente verso il proprio cliente; la Piattaforma si limita ad abilitarlo mettendo a disposizione una nota d'uso dell'IA esportabile che il professionista può consegnare al proprio cliente. [DA CONFERMARE: implementazione della nota d'uso AI esportabile — a cura dell'area frontend.]
  • Art. 26 (disposizioni penali) — la legge ha introdotto, tra l'altro, il reato di illecita diffusione di contenuti generati o alterati con sistemi di IA (nuovo art. 612-quater c.p.) e una circostanza aggravante comune (art. 61, n. 11-decies, c.p.) per i fatti commessi mediante IA. L'utente è tenuto a un uso lecito degli output e a non diffondere contenuti falsificati o alterati idonei a indurre in inganno.

8. Avvisi sull'interfaccia

Sulla Piattaforma sono previsti: un avviso persistente che segnala la presenza di funzioni di IA; un'etichetta "Bozza generata con AI" sugli output generati; il gate di revisione umana obbligatoria prima dell'invio; la nota d'uso dell'IA esportabile per i professionisti. [DA CONFERMARE: realizzazione di tali elementi di interfaccia — a cura delle aree design/frontend.]

9. Aggiornamenti

La presente informativa può essere aggiornata per adeguarla all'evoluzione normativa e alle funzioni della Piattaforma; la versione vigente è pubblicata sul Servizio con la relativa data. In particolare si terrà conto:

  • dell'entrata in applicazione dell'art. 50 AI Act dal 2 agosto 2026 e degli atti di soft law in corso di adozione a giugno 2026, ossia (i) le Linee guida della Commissione/AI Office sull'attuazione degli obblighi di trasparenza ex art. 50 (bozza pubblicata l'8 maggio 2026, in consultazione, destinata ad applicarsi insieme all'art. 50 dal 2 agosto 2026) e (ii) il Codice di condotta sulla trasparenza dei contenuti generati dall'IA (marcatura ed etichettatura: prima bozza del 17 dicembre 2025, seconda bozza del marzo 2026, finalizzazione prevista entro giugno 2026);
  • degli eventuali decreti attuativi della L. 132/2025 (in particolare ai sensi dell'art. 24 della medesima legge). [DA VERIFICARE: testo finale delle Linee guida art. 50 e del Codice di condotta al momento della pubblicazione; emanazione dei decreti attuativi della L. 132/2025.]

Avvertenza finale

Bozza (v0.4) norm-grounded, non parere legale. Da validare da un avvocato italiano abilitato prima della pubblicazione. Riferimenti verificati su fonte ufficiale: Reg. (UE) 2024/1689, artt. 4, 50 (parr. 1, 2, 4), 113 e Considerando 133; Linee guida Commissione/AI Office sull'art. 50 (bozza 8.5.2026) e Codice di condotta sulla trasparenza dei contenuti generati dall'IA (1ª bozza 17.12.2025; 2ª bozza marzo 2026); L. 23 settembre 2025 n. 132 (GU 223 del 25.9.2025), artt. 1, 3, 4, 13, 24, 26 (art. 612-quater c.p.), art. 61 n. 11-decies c.p.; GDPR art. 22, art. 44 e Capo V; Linee guida EDPB 05/2021 v2.0 del 14.2.2023.


Changelog

  • v0.4 (13.06.2026)Un solo fornitore LLM: OVH AI Endpoints (UE). §4 riscritto: elaborazioni AI via OVH AI Endpoints, che non addestra sui dati trasmessi; rimosso il riferimento al modello gratuito di Google. §5 riscritto: tabella con il solo OVHcloud (UE/Francia), nessun trasferimento extra-UE; rimossi Anthropic/Claude, Google/Gemini, le note su SCC/TIA/DPF e la sentenza Latombe (T-553/23) / appello C-703/25 P; aggiunto che non si applica il Capo V GDPR con rinvio all'Informativa Privacy §8. §7.2: il [DA VERIFICARE] sulla marcatura art. 50(2) ora cita il solo OVH AI Endpoints. Risolti i [DA CONFERMARE] su routing LLM e DPF. Aggiornati riferimenti e avvertenza finale.
  • v0.3 (26.05.2026) — Allineamento di versione con gli altri documenti legali (docs/legal/). I valori commerciali decisi (canone, durata, SLA, ecc.) non incidono sul contenuto di questa informativa, che non è stata modificata nel merito.
  • v0.2 (08.05.2026) — Versione iniziale norm-grounded: funzioni AI, output = bozze, no addestramento sui dati Cliente, fornitori e localizzazione, classificazione di rischio, art. 50 AI Act e L. 132/2025.