È recentissima la notizia per cui Amazon ha citato in giudizio Perplexity AI per impedire alla startup di aiutare gli utenti ad acquistare articoli su Amazon utilizzando il suo agente browser AI, Comet.

Nello specifico, Amazon accusa Perplexity di aver commesso una frode informatica affermando che Comet abbia «acceduto in modo non autorizzato» all’account cliente su Amazon, spacciandosi per utente umano e aggirando i sistemi di sicurezza della piattaforma; cioè, secondo l’accusa, Comet effettuava acquisti “per conto degli utenti” omettendo di dichiarare che si trattava di un software ed evitando così i blocchi tecnici di Amazon.

Ciò ha spinto Amazon, tramite una lettera di cease and desist (diffida), a chiedere a Perplexity di interrompere gli acquisiti sulla sua piattaforma compiuti con lo strumento agentico del browser Comet AI.

Il caso Amazon-Perplexity: considerazioni giuridiche

Secondo Amazon tale strumento viola i suoi termini di servizio. Per il colosso dell’e-commerce, Perplexity deve essere trasparente quando implementa la sua intelligenza artificiale: “come qualsiasi altro intruso, Perplexity non è autorizzata ad andare dove le è stato espressamente vietato”.

Le condizioni d’uso del sito di vendita al dettaglio di Amazon vietano “qualsiasi uso di data mining, robot o strumenti simili di raccolta ed estrazione di dati”.

Già nel novembre 2024, Amazon aveva chiesto a Perplexity di interrompere l’implementazione di agenti di intelligenza artificiale in grado di acquistare prodotti sul sito fino a quando le due aziende non avessero raggiunto un accordo sulla pratica.

Tuttavia, ad agosto di quest’anno, Perplexity ha iniziato a utilizzare il suo nuovo agente browser Comet.

È indubbio che tale vicenda abbia delle implicazioni sul piano della protezione dei dati personali e della trasparenza. Amazon insiste sul fatto che l’agente abbia un accesso nascosto ai profili degli utenti, violando la loro privacy e mettendo a rischio la sicurezza dei loro dati; inoltre, esso non si presenta come strumento di AI, ma come un essere umano che naviga sul sito.

Il principio di trasparenza nella normativa data protection

La trasparenza è un concetto molto ampio che è richiamato anche nell’ambito della raccolta del consenso ai sensi degli artt. 6 e 7 GDPR.

Le linee guida dell’EDBP 5/2020 prevedono, infatti, nell’ambito della raccolta del consenso, che lo stesso debba essere «informato» specificando che «il regolamento generale sulla protezione dei dati rafforza il requisito secondo cui il consenso deve essere informato».

Ai sensi dell’articolo 5 del GDPR, il requisito della trasparenza è uno dei principi fondamentali, strettamente legato ai principi di correttezza e liceità. Infatti, fornire informazioni agli interessati prima di ottenerne il consenso è fondamentale per consentire loro di prendere decisioni informate, per capire a cosa stanno acconsentendo e per esercitare il diritto di revocare il consenso.

Se il titolare del trattamento non fornisce informazioni accessibili, il controllo dell’utente diventa illusorio e il consenso non costituirà una base valida per il trattamento.

Se i requisiti per il consenso informato non sono rispettati, il consenso non sarà valido e il titolare del trattamento potrebbe essere in violazione dell’articolo 6 del regolamento.

Inoltre, è bene osservare che nelle informazioni obbligatorie da fornire all’interessato ai sensi dell’articolo 13, paragrafo 2, lettera f) GDPR, rientrano le informazioni sull’esistenza di un processo decisionale automatizzato, comprensivo della profilazione, quale previsto all’articolo 22, paragrafi 1 e 4, unitamente a informazioni pregnanti sulla logica applicata e le conseguenze rilevanti che si prevede il trattamento avrà per l’interessato.

Va notato che, a parte gli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato di cui all’articolo 13, paragrafo 2, lettera f), l’importanza d’informare gli interessati delle conseguenze del trattamento dei dati personali che li riguardanoe il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato, si applicano parimenti alla profilazione in generale, non solo a quella descritta all’articolo 22 (rif. WP260).

Relativamente a ciò, bisogna considerare che l’utilizzo di sistemi di intelligenza artificiale potrebbe comportare il trattamento dei dati personali e anche un trattamento completamente automatizzato, con conseguente applicazione dell’art. 22 GDPR. Dunque, anche l’utilizzo di sistemi di IA potrebbe comportare un rischio per i diritti e le libertà degli interessatie per tale ragione è necessario rispettare i principi.

Il principio di trasparenza nell’ambito dell’AI Act

Il principio di trasparenza ha una importante declinazione anche nell’ambito dell’AI Act.

In primo luogo, si osserva che il principio di trasparenza ha l’obiettivo di garantire un’IA affidabile ed eticamente valida.

In questo contesto, il rispetto di tale principio, coerentemente con quanto previsto dall’High Level Expert Group on Artificial Intelligence (AI HLEG), si realizza attraverso il rispetto di misure che tendono a conferire al sistema delle caratteristiche fondamentali per garantire la trasparenza della procedura messa in atto dal sistema stesso, mediante una comunicazione chiara e con l’obiettivo di garantire un’adeguata tracciabilità e spiegabilità dei sistemi di IA, a tutela dei diritti fondamentali.

È dunque fondamentale menzionare i 7 principi etici per garantire un’AI affidabile ed eticamente valida dell’High Level Expert Group.

Non a caso tra essi vi è il principio di trasparenza, secondo cui i modelli aziendali relativi ai dati, al sistema e all’IA dovrebbero essere trasparenti e i meccanismi di tracciabilità possono contribuire a raggiungere questo obiettivo.

Inoltre, i sistemi di IA e le loro decisioni dovrebbero essere spiegati in modo adattato ai portatori di interessi interessati. Gli esseri umani devono essere consapevoli di interagire con un sistema di IA e devono essere informati delle capacità e dei limiti del sistema.

Pertanto, è fondamentale che gli utenti siano informati nel caso in cui interagiscano con un sistema di AI e abbiano diritto di ricevere spiegazioni sulla logica di funzionamento dello stesso.

Inoltre, l’art. 50 AI ACT disciplina gli obblighi di trasparenza per i fornitori e i deployers di determinati sistemi di IA: “i fornitori garantiscono che i sistemi di IA destinati a interagire direttamente con le persone fisiche sono progettati e sviluppati in modo tale che le persone fisiche interessate siano informate del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo. Tale obbligo non si applica ai sistemi di IA autorizzati dalla legge per accertare, prevenire, indagare o perseguire reati, fatte salve le tutele adeguate per i diritti e le libertà dei terzi, a meno che tali sistemi non siano a disposizione del pubblico per segnalare un reato”.

Inoltre, con riferimento di sistemi di AI ad alto rischio, l’Articolo 13 dell’AI Act rubricato «trasparenza e fornitura di informazioni ai deployer»[1], impone un obbligo generale di trasparenza in capo ai deployer, enfatizza la necessità di trasparenzae fornitura di informazioni ai deployer dei sistemi di IA, aspetto cruciale per un’interazione consapevole e informata tra uomo e macchina.

Infatti, i sistemi di IA ad alto rischio sono progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai deployer di interpretare l’output del sistema e utilizzarlo adeguatamente.

Conclusioni

Al momento non ci resta che aspettare sviluppi futuri sul tema, poiché la causa è stata depositata e a ciò seguiranno, presumibilmente, svariate udienze.

È indubbio, tuttavia, che tale vicenda si presti a rappresentare un precedente importante sull’utilizzo degli strumenti di intelligenza artificiale nel commercio online; pertanto, è fondamentale garantire il rispetto del principio di trasparenza allo scopo di assicurare i diritti e le libertà delle persone fisiche e assicurare un utilizzo conforme degli strumenti di IA.

[1] Art. 13 par. 1 AI ACT: “I sistemi di IA ad alto rischio sono progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai deployer di interpretare l’output del sistema e utilizzarlo adeguatamente”.