Ma dichiarare Copilot “solo per intrattenimento” è uno scudo legale o una presa in giro?

Patrick Di Fazio

Nascosta nei termini di servizio di Microsoft per Copilot c’è una frase (sottolineata per giunta in grassetto) che farebbe sorridere un avvocato ma anche impallidire molti utilizzatori: “Copilot è solo per intrattenimento“. La clausola completa avverte che lo strumento può fare errori, potrebbe non funzionare come previsto e che gli utenti non dovrebbero affidarsi a Copilot per consigli importanti.

Chiunque abbia osservato team aziendali usare Copilot per ricerche legali, proiezioni finanziarie o revisioni di codice potrebbe restare interdetto di fronte a queste affermazioni. Da tempo Microsoft stessa integra lo strumento nei flussi di lavoro di Office 365 tutt’altro che banali. Il disclaimer ha tutti i tratti di uno scudo legale: una negazione delle responsabilità vestita da linguaggio semplice.

Si legge di seguito la clausola completa:

Copilot is for entertainment purposes only. It can make mistakes, and it may not work as intended. Don’t rely on Copilot for important advice. Use Copilot at your own risk.

Copilot è destinato esclusivamente a scopi di intrattenimento. Può commettere errori e potrebbe non funzionare come previsto. Non affidarti a Copilot per consigli importanti. L’utilizzo di Copilot è a tuo rischio e pericolo.

Come qualcuno fa notare, questa “prevenzione” da parte di Microsoft fa pensare che la stessa azienda stia usando queste clausole come scudo nel caso in cui qualcuno utilizzi nel modo sbagliato Copilot o prenda le informazioni che escono dall’LLM come “oro colato” causando ingenti danni agli utenti. Non molto tempo fa agent come ChatGPT hanno infatti suggerito come creare delle bombe o dato dei consigli medici carenti e possiamo benissimo pensare che in Copilot si voglia evitare ogni conseguenza legale a seguito dei consigli (giusti e non) dell’IA di casa Microsoft.

La paura di Microsoft non sarebbe comunque infondata, dato che abbiamo casi concreti di cause legali dovute all’IA: nel 2024, Air Canada è stata ritenuta responsabile perché il proprio chatbot aveva fornito informazioni errate su un rimborso, inducendo in errore un cliente. Il tribunale ha in quel caso stabilito che l’azienda resta comunque responsabile per quanto comunicato dall’IA.

Ma in tutto questo, come si comportano i concorrenti?

Gli altri grandi fornitori di IA hanno adottato un approccio diverso nei loro termini, prudenti ugualmente, ma meno evasivi. In entrambi i casi si dà per scontato che gli utenti usino questo potente strumento anche in ambiti lavorativi.

OpenAI afferma che non si dovrebbe fare affidamento sull’output dei loro modelli come unica fonte di verità o come sostituto di una consulenza professionale.

Anthropic invece incoraggia la valutazione e l’uso appropriato al contesto.

Come abbiamo recentemente sottolineato, l’utente è in primis il responsabile dell’output che produce (ma soprattutto di come lo usa). Se da una parte non possiamo restare “fermi” e ignorare l’IA e le notevoli migliorie che può portare al lavoro di tutti i giorni, in moltissimi ambiti, dall’altra parte dobbiamo sempre ragionare, validare e contestualizzare quello che apprendiamo durante le nostre conversazioni con questi agent.

Aggiungiamo che più uno strumento è fluente e convincente, più l’utente tende a fidarsi ciecamente. I modelli linguistici tendono infatti a compiacere chi li usa, modulando le risposte in base al tono e alle aspettative percepite nella domanda. Se si cerca una conferma, spesso si trova.

Un timido tentativo di porre dei limiti legali lo abbiamo visto con l’AI Act europeo, entrato in vigore nel 2024, classificando i sistemi di IA per livelli di rischio: quelli usati in sanità, giustizia o selezione del personale rientrano nella categoria “alto rischio” e devono rispettare requisiti stringenti di trasparenza e supervisione umana. In teoria, nessun LLM in questi ambiti potrebbe nascondersi dietro un disclaimer. In pratica, l’applicazione è ancora in rodaggio e molte aziende stanno ancora capendo cosa cambia davvero.

Resta comunque la domanda che ancora in molti casi non ha una risposta, ovvero: su chi puntiamo il dito quando qualcosa con l’IA va storto?

Red Team & Offensive Security Engineer
Parlo di sicurezza informatica offensive, Linux e Open Source

,

4 risposte a “Ma dichiarare Copilot “solo per intrattenimento” è uno scudo legale o una presa in giro?”

  1. Avatar Massimo Luciani
    Massimo Luciani

    Poche storie, se noi utilizziamo qualcosa che viene prodotto usando un LLM, dobbiamo prendercene la responsabilità come per tutto ciò che utilizziamo. Chi fornisce un LLM può pararsi le terga con quelle clausole, noi utilizzatori no!

  2. Avatar JustATiredMan
    JustATiredMan

    Ovvio che è uno scudo legale.
    Anche le licenze EULA di windows, anche le versioni server con cui ci facciamo girare le nostre aziende e anche qualche macchina di produzione, hanno clausole di vendita "as is"… della serie, se succede qualcosa perchè hanno bug, sono cavoli vostri.
    I veri software critici, dovrebbero essere certificati EAL o ISO/IEC 15408, almeno almeno 5, e non c'è nemmeno un s.o. commerciale (forse solo QNX o l's.o. degli Ibm serie Z, che non ricordo come si chiama) ha quel livello…. figuriamoci quindi una AI…

    https://en.wikipedia.org/wiki/Evaluation_Assurance_Level

  3. Avatar amedeo lanza
    amedeo lanza

    Sono giorni che provo ad installare Kodi su un minipc: installo una Debian 13 minimale e scopro che devo installarmi a mano xorg e componenti vari del desktop grafico; mi faccio aiutare da Copilot che dopo una sequela di 'perfetto, ora ho capito esattamente cosa devi fare' , 'questa è la soluzione finale che certamente funziona' , 'questo metodo è testato funzionante' , 'hai, ragione: in quella versione di Debian il driver xxx non è più presente nel repository', non mi ha risolto niente. In effetti le informazioni che gli ho fornito erano un po' troppo frammentarie quindi preparo un prompt indicando le specifiche (n5095 8GB RAM 256GB SSD), richiedendo la procedura per installare debian 13 con xfce per poi installarci sopra Kodi in modalità standalone.
    Ho reinstallato il sistema parecchie volte, ricominciando da capo ogni volte con il prompt aggiornato per elencare le varie incompatibilità da evitare riscontrate i precedenza. Sempre gli stessi errori, proposte di driver incompatibili o inesistenti e, soprattutto, sempre con la pretesa di fornire la risposta definitiva e funzionante. Sembra di lavorare con un collega incapace e saccente.

  4. Avatar JaK
    JaK

    Vi fornisco lo scenario da incubo.

    Un LLM viene utilizzato per generare TUTTI i test di un programma per il controllo di una centrale elettrica. Il software stesso viene scritto con un LLM.

    I test passano, il software è installato.

    Ma chi lo ha sviluppato ha dato un’occhiata veloce al programma e ai test.

    Buonanotte e sogni d’oro, amici 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Articoli
Saturday’s Talks
The Security Corner

Categories

Articoli (68) Notizie (3415) Saturday's Talks (56) The Security Corner (10)

Tag cloud

ai (99) AlmaLinux (36) Android (36) Bug (84) Canonical (96) CentOS (49) Cloud (64) codice (37) container (53) Controversia (51) Debian (112) desktop (36) docker (66) Fedora (66) Firefox (40) GitHub (83) Google (90) IBM (57) Intel (58) KDE (43) Kernel (287) Kubernetes (103) Linux (829) LTS (37) Malware (71) Microsoft (201) MicrosoftLovesLinux (37) Mozilla (41) open-source (477) Openstack (58) Oracle (37) Patch (37) Red Hat (180) Release (71) RHEL (44) Rust (45) SaturdaysTalks (54) Sicurezza (139) Software (43) SUSE (44) systemd (83) Torvalds (102) Ubuntu (196) Vulnerabilità (72) Windows (90)