Perche un contratto di consulenza AI non e come un contratto IT tradizionale
Molte PMI italiane affrontano il primo contratto di consulenza AI come se fosse un contratto IT standard: si copia-incolla il template usato per il gestionale, si mette una scadenza e un prezzo, si firma. Il risultato, qualche mese dopo, e una serie di sorprese: modelli e prompt che non sono di proprieta dell'azienda, dati aziendali finiti su piattaforme pubbliche per training, sistemi impossibili da migrare a un altro fornitore, SLA vaghi che non lasciano margini di negoziazione quando qualcosa si rompe.
Il motivo e che un progetto AI ha caratteristiche strutturalmente diverse da un progetto software classico. L'AI lavora su dati aziendali sensibili con intensita molto maggiore. I modelli evolvono nel tempo e hanno valore economico autonomo. Le prestazioni sono probabilistiche, non deterministiche, e i KPI devono tenerne conto. Il rischio di lock-in tecnologico e piu alto perche le dipendenze sono meno visibili. E il rischio regolatorio e reale: l'AI Act europeo aggiunge livelli di responsabilita che nel software tradizionale non esistevano.
Un contratto AI serio copre questi rischi in modo esplicito. Di seguito, le nove clausole che devono esistere — e dove negoziare con attenzione.
Le 9 clausole che devono esserci (e quelle da negoziare con attenzione)
La struttura che proponiamo ai nostri clienti e la seguente. Non e un modello legale da adottare senza la revisione di un avvocato, ma e il checklist di cio che il tuo avvocato deve verificare prima di far firmare qualsiasi cosa.
- 1. Oggetto del contratto specifico — descrizione dettagliata del sistema da costruire, non generica. "Implementazione di soluzioni AI" e troppo vago. "Agente AI per la gestione automatica delle email commerciali della casella sales@, integrato con HubSpot, in lingua italiana" e accettabile.
- 2. Proprieta intellettuale — a chi appartengono modelli, prompt, dataset e codice. Da negoziare con attenzione: vedi sezione dedicata piu avanti.
- 3. Gestione dei dati e privacy — dove vivono i dati, chi ne e responsabile, cosa succede in caso di data breach. Vedi sezione dedicata.
- 4. SLA e KPI di performance — metriche di successo misurabili e penali in caso di mancato raggiungimento. Vedi sezione dedicata.
- 5. Milestone e condizioni di pagamento — tranche di pagamento legate a deliverable concreti, non a date fisse. Se il deliverable slitta, anche il pagamento slitta.
- 6. Clausola di uscita — come uscire dal contratto senza lock-in tecnologico. Vedi sezione dedicata.
- 7. Responsabilita e limitazioni — chi risponde se l'AI fa un errore che causa danni al cliente finale. Da negoziare con attenzione: i consulenti tendono a limitare al massimo, i clienti devono resistere.
- 8. Compliance AI Act e normativa applicabile — chi e responsabile di garantire che il sistema rispetti l'AI Act europeo nel periodo di vigenza del contratto.
- 9. Non concorrenza e non solicitation — limiti ragionevoli sulla capacita del consulente di offrire sistemi identici a concorrenti diretti, e sulla tua capacita di assumere il loro personale.
Ognuna di queste clausole merita attenzione, ma le quattro piu critiche — quelle dove i consulenti scivolano e dove le PMI perdono piu valore economico — sono proprieta intellettuale, dati, SLA e exit. Le analizziamo singolarmente.
Vuoi applicare questo nella tua azienda?
In IL DOGE DI VENEZIA affianchiamo le PMI italiane in ogni fase della trasformazione AI. La prima conversazione è gratuita.
Parlaci del tuo progettoProprieta intellettuale: chi possiede modelli, prompt e dataset?
Questa e la clausola piu importante e la piu fraintesa. In un progetto AI si creano quattro tipi di asset intellettuali, ognuno con una logica di proprieta diversa.
Modelli proprietari fine-tuned. Se il consulente fa fine-tuning di un modello base (Claude, GPT, Llama) usando i tuoi dati, il modello risultante contiene informazioni sulla tua azienda e ha valore economico autonomo. La proprieta deve essere dell'azienda cliente, non del consulente. Se il consulente mantiene la proprieta, puo rivendere varianti del modello a tuoi concorrenti e tu sei legato alla sua infrastruttura per sempre.
Prompt e catene di prompt. I prompt aziendali contengono know-how operativo: come rispondere ai clienti, quali informazioni estrarre dai documenti, come strutturare le decisioni. Devono essere di proprieta dell'azienda cliente e documentati in modo leggibile, non nascosti in un sistema proprietario del consulente.
Dataset di training e knowledge base. Questi sono chiaramente dell'azienda cliente: sono i tuoi dati. La clausola deve pero specificare che il consulente non puo usarli per addestrare modelli pubblici o per altri clienti, neanche in forma aggregata o anonimizzata.
Codice di integrazione e infrastruttura. Il codice che integra il sistema AI con CRM, ERP, email e altri strumenti aziendali deve essere di proprieta dell'azienda cliente e consegnato in forma sorgente al termine del progetto. Non e accettabile ricevere solo "accesso tramite licenza" a codice che gira sui server del consulente.
La regola pratica: al termine del contratto devi poter prendere tutti gli asset (modelli, prompt, dati, codice, documentazione) e farli girare su un'altra infrastruttura con un altro fornitore senza perdere nulla. Se questa portabilita non e garantita per iscritto, stai comprando dipendenza non valore.
Clausole sui dati: GDPR, training e residency
I contratti IT tradizionali hanno clausole GDPR generiche. Un contratto AI deve avere clausole molto piu precise, perche l'intensita con cui un sistema AI processa dati aziendali e incomparabile con quella di un gestionale.
Divieto di training su modelli pubblici. Il consulente deve garantire per iscritto che i tuoi dati non saranno mai usati per addestrare modelli resi disponibili a terzi. Questo include i dati delle conversazioni, dei documenti, dei log di utilizzo. La clausola deve essere esplicita: non basta "rispettiamo il GDPR".
Data residency. Dove vivono fisicamente i dati? In quale paese? Su quale cloud? Chi ha accesso amministrativo? Per PMI italiane, la preferenza e per infrastrutture in UE o in Italia. Per aziende con dati particolarmente sensibili (sanita, legale, finanza) on-premise o cloud privato dedicato sono spesso obbligatori.
Nomina a responsabile del trattamento. Il consulente deve essere formalmente nominato come responsabile del trattamento ex art. 28 GDPR, con un DPA (Data Processing Agreement) allegato al contratto principale. Questo e il minimo normativo.
Procedura di data breach. In caso di incidente, il consulente deve notificare entro 24-48 ore con informazioni specifiche (cosa e successo, quali dati sono coinvolti, quali azioni ha intrapreso). Le clausole generiche che parlano di "notifica tempestiva" non sono sufficienti.
Cancellazione a fine contratto. Entro 30 giorni dalla fine del contratto, tutti i dati aziendali devono essere restituiti in formato strutturato e poi cancellati definitivamente dai sistemi del consulente, con attestazione scritta di avvenuta cancellazione.
SLA, milestone, penali: come legare il pagamento al risultato
Negli SLA dei contratti software tradizionali si parla di uptime, tempi di risposta e bug fix. Questi elementi esistono anche nei contratti AI, ma sono insufficienti. L'AI ha una dimensione di performance che il software deterministico non ha.
KPI di qualita del modello. Precisione, recall, tasso di errore sui casi standard, tasso di escalation corretta su casi complessi. Questi KPI vanno definiti prima del kickoff, con baseline misurabili e soglie minime accettabili. Esempio: "l'agente deve rispondere correttamente al 90% delle richieste standard misurato su un campione di 200 casi definito dal cliente".
KPI di impatto business. Ore risparmiate, tempo medio di risposta, tasso di conversione, numero di ticket chiusi in autonomia. Questi sono i KPI che contano davvero perche misurano il valore effettivo. Il consulente deve accettare di farsi valutare su questi, non solo su metriche tecniche.
Milestone legate a pagamento. Il pagamento deve essere diviso in tranche legate a deliverable concreti: kickoff (10-20%), primo prototipo funzionante (20-30%), go-live in produzione (30-40%), verifica KPI a 30/60/90 giorni (20-30%). Se il deliverable slitta, la tranche slitta. Niente pagamenti anticipati senza deliverable consegnato.
Penali per mancato raggiungimento. Se i KPI non sono raggiunti entro le soglie concordate, deve esistere una penale proporzionale o un impegno a correzione a costo zero. Questa clausola e quella che i consulenti deboli rifiutano piu spesso. Se il consulente non accetta di legare il proprio compenso al risultato che promette, non crede al risultato che promette.
Exit clause: come uscire senza lock-in tecnologico
Il lock-in tecnologico e la trappola principale dei contratti AI. Se fatto bene, un progetto AI costruisce un asset che e tuo e che puoi far evolvere. Se fatto male, costruisce una dipendenza permanente da un fornitore che non puoi cambiare senza distruggere tutto.
La clausola di uscita deve coprire cinque elementi concreti. Preavviso ragionevole: 60-90 giorni sono ragionevoli, oltre i 6 mesi e sospetto. Restituzione di tutti gli asset: modelli, prompt, dataset, codice, documentazione tecnica, runbook operativi. Tutto deve essere consegnato in formato aperto e riutilizzabile, non in formato proprietario. Assistenza alla migrazione: il consulente deve garantire almeno 30-60 ore di assistenza tecnica al fornitore successivo per facilitare la transizione, a un tariffario concordato. Continuita di servizio: durante il periodo di preavviso, il consulente deve mantenere il servizio attivo agli standard concordati, senza scaricare risorse o abbassare la qualita. Accesso ai dati operativi: log di utilizzo, metriche di performance e storico delle conversazioni devono essere accessibili e esportabili dal cliente per tutta la durata del contratto e al suo termine.
La prova del nove per capire se una clausola di uscita e forte: leggila e chiediti "se decidessi domani di cambiare fornitore, in quanto tempo e con quanto sforzo il nuovo fornitore potrebbe prendere il controllo del sistema?". Se la risposta e "in poche settimane", la clausola funziona. Se la risposta e "mesi di ricostruzione" o "impossibile", stai firmando il lock-in.
Il modello che usiamo con i nostri clienti
Il template che IL DOGE DI VENEZIA usa con i clienti segue tutte le regole di questa checklist. Proprieta intellettuale completa in capo all'azienda cliente, dati su infrastruttura privata, SLA con KPI business, pagamenti legati a milestone, clausola di uscita chiara e senza lock-in. Non perche ci piace vincolarci, ma perche e l'unico modo per costruire partnership di lungo periodo: i clienti rimangono non perche sono bloccati, ma perche continuiamo a generare valore.
Se vuoi capire come arrivare alla firma del contratto con un consulente serio (e come filtrare quelli che non lo sono), leggi la guida completa su come scegliere una societa di consulenza AI per la tua PMI. Se vuoi la checklist delle domande da fare al primo incontro, trovi tutto nell'articolo con le 15 domande essenziali prima di firmare.
Se vuoi parlare con noi e vedere il nostro template di contratto, scrivici. Lo condividiamo senza problemi, anche se poi non lavoreremo insieme: e il modo con cui il mercato italiano diventa piu maturo, e alla lunga e un vantaggio per tutti.