Dal 29 ottobre 2025 le regole sono cambiate in ChatGPT e in tutti i prodotti basati su OpenAI. La società ha pubblicato una nuova versione delle proprie Usage Policies, valida per ogni modello, API, integrazione e applicazione di terze parti.

L’obiettivo dichiarato è creare un quadro di safe and responsible AI, cioè modelli più sicuri e prevedibili, senza però (almeno nelle intenzioni) silenziare il “dibattito pubblico”.

Le nuove policy sono il risultato di mesi di confronto con governi, ricercatori e utenti. OpenAI mostra così di voler allineare il proprio sistema interno ai principi generali dell’AI Act europeo, pur restando all’interno di un documento di natura privata.

Ne risulta una costituzione d’uso che definisce ciò che gli utenti possono o non possono fare con i modelli linguistici, in un equilibrio fra libertà di impiego e responsabilità.

Ma cosa dicono davvero le nuove Usage Policies di OpenAI e quale tipo di governance privata stanno costruendo in parallelo (e talvolta in anticipo) rispetto a norme pubbliche come l’AI Act europeo?

I divieti assoluti: armi, sorveglianza, manipolazione, disinformazione, violenza

I confini più netti tracciati nelle policy riguardano tre ambiti: armi, sorveglianza biometrica e manipolazione dell’opinione pubblica.

È vietato l’uso dei modelli per “lo sviluppo, l’acquisto o utilizzo di armi, comprese le armi convenzionali o di distruzione di massa”.

Allo stesso modo, è proibito il riconoscimento facciale senza consenso, la creazione di banche dati biometriche o l’uso di immagini o voci di individui in modo da “creare confusione circa l’autenticità” (il riferimento implicito è ai deepfake e ai casi Clearview AI negli USA).

Altro divieto riguarda la disinformazione e le campagne di manipolazione politica: è vietato impiegare i modelli per “campagne politiche, attività di lobbying, interferenze nel nazionali o internazionali”.

Sono incluse anche forme di violenza digitale: minacce, molestie, diffamazioni, uso del chatbot per generare o diffondere contenuti intimi non consensuali o deepfake pornografici.

Il documento cita in modo esplicito: “violenza sessuale, contenuti intimi non consensuali”, oltre all’esposizione dei minori a contenuti non adatti”.

A ciò si aggiungono divieti relativi a terrorismo, odio, frodi, truffe, gioco d’azzardo con denaro reale e persino “disonestà accademica”, con riferimento implicito ai paper o alle tesi di laurea scritti con l’aiuto dell’AI.

La portata è globale e la policy vieta anche attività che “violino i diritti di proprietà intellettuale” o compromettano sistemi informatici di terzi.

In particolare, con riferimento ai minori, si tratta di un documento che introduce limiti stringenti, vietando materiali pedopornografici, adescamento, contenuti autolesionistici, sfide pericolose, giochi di ruolo sessuali o violenti.

L’obiettivo è tutelare i soggetti vulnerabili, richiamando direttamente il linguaggio dell’AI Act, art. 5, che definisce come “pratiche vietate” gli usi dell’AI che sfruttano le vulnerabilità dei minori.

Profilazione, inferenze e consulenze professionali

Tra i divieti “sofisticati” spicca quello sulla profilazione.

È vietato classificare individui in base a comportamenti sociali, caratteristiche personali o dati biometrici, inclusi sistemi di social scoring o inferenze di attributi sensibili.

Non è consentito dedurre emozioni in contesti lavorativi o educativi, né prevedere la probabilità che un individuo commetta un reato sulla base di caratteristiche personali: divieti che risuonano con il principio europeo di non discriminazione algoritmica.

OpenAI esclude anche le consulenze personalizzate che richiedono licenze professionali (in ambito medico o legale), se non con il coinvolgimento di un professionista abilitato.

Il chatbot può quindi continuare a fornire informazioni generali su diritto o salute, ma non può sostituirsi ad un esperto. Nonostante alcuni media abbiano interpretato questa clausola come una censura tematica, in realtà si tratta di un disclaimer di responsabilità che emerge in modo chiaro dalla lettera della policy.

Il modello non ha smesso di rispondere su salute o diritto, ma lo fa entro un quadro di responsabilità condivisa e vigilanza umana. ChatGPT può infatti ancora affrontare temi medici e legali, ma non può “prescrivere”, “difendere” o “diagnosticare” senza il filtro del professionista.

L’obiettivo è evitare che il modello produca decisioni automatizzate ad alto impatto, ambiti in cui l’AI Act europeo richiede la presenza obbligatoria di un controllo umano (human-in-the-loop). Il principio è chiaro: dove il diritto o la salute sono in gioco, la decisione deve restare umana.

Le conversazioni sensibili: la nuova frontiera

La parte più innovativa riguarda la gestione delle conversazioni sensibili.

Per la prima volta, OpenAI riconosce che i modelli linguistici non operano solo in ambiti cognitivi o informativi, ma entrano in territori emotivi e potenzialmente clinici.

La conversazione diventa così un luogo di esposizione psicologica, oltre che di scambio semantico.

L’azienda stima in oltre un milione gli utenti che, ogni settimana, mostrano segni di disagio grave durante l’interazione con ChatGPT, inclusi pensieri suicidari o di autolesionismo.

Per questo OpenAI ha annunciato di aver collaborato con oltre 170 esperti di salute mentale per aggiornare i propri modelli, sviluppando un sistema di routing e filtri semantici capaci di riconoscere parole chiave, toni e segnali comportamentali. Ha inoltre dichiarato una riduzione del numero di risposte non conformi (cioè non adeguate o potenzialmente dannose) destinati alle conversazioni sensibili tra il 65 % e l’80 %.

Si tratta di un cambiamento strutturale: il modello ha riconosciuto la propria responsabilità relazionale. ChatGPT, senza presentarsi come psicologo, si pone come ambiente relazionale che deve essere progettato per non amplificare il dolore o l’angoscia.

Il modello non diventa quindi “uno psicologo”, ma riconosce la propria responsabilità relazionale: se un utente manifesta sintomi gravi, ChatGPT non lo asseconda e lo indirizza verso un aiuto umano o professionale.

È un passaggio culturale: la neutralità dell’AI lascia spazio a una logica di cura cautelativa, in cui la protezione dell’utente è integrata nel design.

Dalla policy alla norma privata

Le nuove Usage Policies segnano l’ingresso dell’AI nella regolazione privata a valenza pubblica. In assenza di norme statali esaustive, OpenAI ha costruito un proprio ordinamento, definendo limiti, sanzioni e procedure.

Questo tipo di regolazione non è inedito, in quanto rientra in quella che autorevoli studiosi hanno descritto come la logica dei “Terms of Service as law”, in cui il codice e le condizioni d’uso sostituiscono la legge come forma effettiva di governo digitale.

D’altronde i Community Standards di Meta, le Rules di X o le App Store Guidelines di Apple rappresentano degli esempi di questa soft law aziendale, che esercita poteri normativi su scala globale.

OpenAI estende questa logica applicandola all’intelligenza artificiale generativa: chi utilizza ChatGPT non aderisce solo a un contratto, ma entra in una giurisdizione algoritmica, un ordinamento tecnico-giuridico definito dal fornitore del modello.

AI Act e convergenza regolatoria

Sul piano normativo, la policy introduce molti principi dell’AI Act europeo: identificazione dei rischi, divieti per sorveglianza e manipolazione, obbligo di supervisione umana.

La differenza è che qui la conformità è autoimposta e non certificata da un’autorità indipendente.

Si tratta quindi di un sistema di autoregolazione privata, coerente nello spirito ma non nella forma con la governance europea. L’AI Act prevede meccanismi di accountability pubblica; OpenAI sostituisce quel controllo con la propria infrastruttura di enforcement tecnico.

Questo fa delle Usage Policies una forma di costituzione aziendale: un insieme di regole globali che anticipano il diritto positivo, ma che restano allo stesso tempo subordinate alla volontà unilaterale del loro autore.

Responsabilità e “duty of care”

Dal punto di vista etico, il documento introduce un nuovo equilibrio tra tutela dell’utente e responsabilità aziendale.

OpenAI riconosce un duty of care (cioè un dovere di diligenza nella progettazione dei sistemi) ma lo traduce in un obbligo reciproco, trasferendo sull’utilizzatore la parte più gravosa della cautela.

La formula “le persone sono responsabili dell’uso appropriato dei nostri servizi” non è infatti neutra, ma sancisce il fatto che la colpa giuridica si sposta dal modello all’utente. Si tratta di un meccanismo tipico della regolazione privata, in cui il fornitore definisce la norma e, nello stesso atto, trasferisce a chi la accetta il peso del suo rispetto.

In termini di data governance, questo spostamento equivale a una traslazione della fiducia dal modello all’utilizzatore, cioè un passaggio che cambia radicalmente il baricentro della responsabilità. La responsabilità insomma non sparisce, viene soltanto “privatizzata”.

Il rischio di questa impostazione è che la responsabilità legale resti distribuita, ma la responsabilità effettiva si concentri sull’utente finale, privo di strumenti per comprendere il grado di rischio delle interazioni con il modello.

Safety by design Vs privacy by design

Nel caso delle conversazioni sensibili emerge la tensione fra safety by design e privacy by design. Più un sistema è capace di “capire” il disagio, più deve elaborare segnali emotivi e dati sensibili. L’intervento preventivo, per quanto nobile, implica infatti la raccolta e l’interpretazione di dati emotivi.

Parole, pause, domande e ricorrenze lessicali diventano indicatori di uno stato psicologico: un patrimonio informativo ad altissimo valore e altrettanto rischio.

È una svolta concettuale rispetto al passato, quando il “silenzio algoritmico”, cioè l’astensione dal rispondere, veniva considerato garanzia sufficiente di sicurezza.

Oggi OpenAI riconosce che il rischio nasce non solo da ciò che il modello dice, ma anche da ciò che potrebbe non dire nel momento in cui l’interlocutore cerca un segnale umano.

In questo spazio liminale tra linguaggio e affettività, l’AI smette di essere uno strumento neutro e diventa parte del contesto emotivo che contribuisce a costruire.

Questo paradosso (maggiore sicurezza che implica maggiore intrusività) mette in evidenza la distanza tra il modello ‘safety by design’ promosso dalle Big Tech e il modello ‘privacy by design’ previsto dal GDPR, che rimane il punto di riferimento europeo per la protezione dei dati.

Libertà di dibattito e potere cognitivo

Come chiarito da OpenAI nel documento Introducing the Model Spec, l’obiettivo è garantire una “intellectual freedom to explore, debate, and create […] without arbitrary restrictions”, assicurando al contempo modelli “safe and responsible”.

L’azienda risponde così alle accuse di censura mosse contro di lei, promettendo modelli che consentano di “esplorare, discutere e creare con l’IA senza restrizioni arbitrarie”. Tuttavia, questa libertà è condizionata: non è più l’utente a decidere cosa può essere detto, bensì il modello attraverso i propri filtri.

La sicurezza diventa una categoria progettuale, non giuridica. In mancanza di un diritto pubblico dell’AI, la piattaforma esercita un potere normativo cognitivo, stabilendo per via privata i limiti del dicibile.

Una riflessione terminologica

La scelta lessicale utilizzata nella policy (“responsabilizzazione”, “limite ragionevole”, “uso appropriato”) ricalca i regolamenti europei, ma apre un problema interpretativo in merito a chi dovrebbe valutare l’adeguatezza e quella ragionevolezza.

Nel linguaggio giuridico, termini come appropriate o reasonable rimandano a standard variabili, fondati su contesto e consuetudine; viceversa, in assenza di criteri normativi esterni, è la piattaforma stessa a definire, di fatto, la soglia di responsabilità.

Nasce così una zona incerta di accountability, in cui la piattaforma impone il divieto ma ne delega la verifica all’utente, creando così un circuito di autoregolazione privo di controllori terzi.

Dal codice al diritto

Le nuove Usage Policies non sono un semplice aggiornamento amministrativo, ma rappresentano un passaggio simbolico nella storia della regolazione tecnologica, dal codice come strumento tecnico al codice come fonte di diritto.

OpenAI, nel tentativo di prevenire abusi e proteggere gli utenti, ha creato un corpus di norme private che, di fatto, si colloca a metà strada fra etica, ingegneria e diritto.

Un atto di autoregolazione che risponde al vuoto legislativo, ma che pone un interrogativo profondo: chi legifera davvero nel nuovo spazio digitale, gli Stati o gli algoritmi che li precedono? E fino a che punto è legittimo che un soggetto privato definisca le condizioni della libertà cognitiva collettiva?

Nel futuro prossimo, la governance dell’AI oltre che tra Stati e imprese, si giocherà entro le regole scritte dalle stesse piattaforme per sé e per noi.

Da lì, probabilmente, deriverà la nuova grammatica del potere digitale.