Is AI training data protected by copyright?

Yes. Copyright attaches automatically at creation under the Berne Convention (Art. 5) in all 181 member countries. Scraping copyrighted works to build a training dataset creates copies of protected material. Whether it constitutes infringement depends on jurisdiction and whether applicable exceptions — such as the EU CDSM Directive Art. 4 TDM exception — apply and have not been opted out of by the rights holder.

Can I use scraped web data to train an AI model?

Only if the source material is explicitly licensed for that purpose or the applicable TDM exception covers it. In the EU, rights holders may opt out of TDM exceptions via machine-readable signals such as robots.txt. In Switzerland, no general TDM exception exists — scraping for commercial AI training without a licence is legally risky. Always audit your dataset sources and document licensing status before training.

What does the EU AI Act require about training data documentation?

Under EU AI Act Article 53, providers of general-purpose AI models must maintain technical documentation of training data sources, keep a sufficiently detailed public summary, and comply with EU copyright law including TDM opt-outs. For high-capability models above the 10^25 FLOPs threshold, additional adversarial testing and incident-reporting obligations apply. Non-compliance exposes providers to fines up to 3% of global turnover.

How can a cryptographic timestamp prove training data provenance?

A qualified electronic timestamp under eIDAS or ZertES embeds a cryptographic hash of your dataset at a specific point in time, anchored to a trusted time source. This creates an immutable, court-admissible record proving the dataset existed in that exact form on that date. It is the primary technical mechanism for demonstrating legitimate, pre-existing sourcing when rights holders or regulators audit your data pipeline.

Which jurisdictions have the strictest AI training data copyright rules?

The EU has the most comprehensive framework — CDSM Directive TDM exceptions with opt-out rights, plus the EU AI Act documentation requirements. Switzerland has no TDM exception, making unlicensed scraping riskier than in the EU. The US applies fair use analysis, which is less predictable. Japan has the broadest TDM exception, permitting scraping for AI training even of commercial works without opt-out mechanisms.

Protezione del diritto d'autore sui dati di addestramento IA: cosa devono sapere gli sviluppatori nel 2026

I dataset di addestramento IA sono protetti dal diritto d'autore, a meno che il materiale sorgente non sia esplicitamente concesso in licenza o nel dominio pubblico. Estrarre contenuti protetti da copyright per addestrare un modello senza autorizzazione costituisce una violazione nella maggior parte delle giurisdizioni UE e svizzere a partire dal 2026, indipendentemente dal fatto che l'output riproduca verbatim l'originale.

I dati di addestramento IA sono protetti dal diritto d'autore?

Sì — nella maggior parte dei casi. La protezione del diritto d'autore si applica alle opere originali al momento della creazione senza alcun requisito di registrazione (Convenzione di Berna, Art. 5). Quando gli sviluppatori estraggono siti web, libri, repository di codice o immagini per costruire dataset di addestramento, creano copie di opere protette. Se tale copia costituisca una violazione dipende dalla giurisdizione, dai termini di licenza e dall'applicabilità di eccezioni come il "text and data mining" (TDM) ai sensi del diritto UE.

Nell'UE, l'articolo 4 della Direttiva sul diritto d'autore nel mercato unico digitale (Direttiva CDSM 2019/790/CE) consente il TDM per scopi commerciali — ma solo se il titolare dei diritti non ha esercitato il diritto di opposizione. Gli editori possono inserire un'opposizione leggibile dalla macchina sui loro contenuti (ad es. robots.txt o meta tag). In tal caso, l'estrazione di tali contenuti per l'addestramento IA non è coperta dall'eccezione TDM.

Cosa dice l'AI Act UE sui dati di addestramento?

L'AI Act UE (Regolamento 2024/1689) impone obblighi di trasparenza e documentazione ai fornitori di modelli IA per uso generale (GPAI). L'articolo 53 richiede ai fornitori di:

Elaborare e mantenere aggiornata la documentazione tecnica del processo di addestramento, delle fonti di dati e delle politiche di governance dei dati

Pubblicare un riassunto sufficientemente dettagliato dei dati di addestramento utilizzati — sufficiente affinché i titolari dei diritti interessati possano far valere i propri diritti

Rispettare la legge sul diritto d'autore dell'UE, incluso il rispetto delle opposizioni TDM

Per i modelli GPAI ad alta capacità (oltre la soglia di 10^25 FLOPs), si applicano ulteriori obblighi di test avversariali e segnalazione degli incidenti. La mancata documentazione della provenienza dei dati è un rischio regolatorio diretto ai sensi dell'AI Act, non solo un rischio di copyright.

È possibile utilizzare dati web estratti per addestrare modelli IA?

Sì — con condizioni. L'eccezione TDM dell'UE (CDSM Art. 4) consente l'estrazione per l'addestramento IA commerciale a meno che il titolare dei diritti non vi si sia opposto. In Svizzera, la legge sul diritto d'autore (LDA) riveduta nel 2020 contiene un'eccezione TDM di ricerca simile, ma il suo ambito per l'addestramento IA commerciale rimane contestato nel 2026.

Regole fondamentali:

Contenuti con consenso: Consentiti ai sensi dell'eccezione TDM dell'UE. Documenta la tua conformità.
Contenuti con opposizione (robots.txt noai, tag leggibili dalla macchina): Non coperti. Licenza richiesta.
Contenuti con licenza aperta (CC-BY, CC0, MIT, Apache): Consentiti secondo i termini di licenza. Verifica i requisiti di attribuzione.
Opere di dominio pubblico: Consentite. Documenta la provenienza per dimostrarne l'origine.
Contenuti a pagamento o ad accesso controllato: L'estrazione viola probabilmente sia il copyright che le leggi sulla frode informatica.

Qual è il rischio di sbagliare?

Significativo. Nel 2023-2024, diverse class action (Getty Images c. Stability AI; Doe 1 c. GitHub Copilot) sono arrivate alla fase processuale, stabilendo che l'addestramento IA su dati estratti senza consenso dà origine a domande di risarcimento per violazione. L'AI Act aggiunge un livello regolatorio: la non conformità alla documentazione di governance dei dati è soggetta a sanzioni fino a 15 milioni di euro o al 3% del fatturato annuo globale.

Oltre alla responsabilità, il rischio reputazionale è reale. Investitori e clienti aziendali effettuano sempre più spesso due diligence sulla PI sui dataset di addestramento delle aziende IA prima di firmare accordi commerciali.

Come puoi dimostrare che i tuoi dati di addestramento sono stati legalmente ottenuti?

È qui che il timestamping crittografico cambia le regole del gioco. Uno sviluppatore o un team di dati che appone un timestamp al proprio dataset al momento della raccolta — prima dell'addestramento — crea prove verificabili e ammissibili in tribunale di:

Cosa era nel dataset (hash del manifesto del dataset)

Quando è stato assemblato (timestamp crittografico ai sensi del Regolamento eIDAS Art. 41)

Quali termini di licenza si applicavano in quel momento preciso

Un timestamp qualificato eIDAS rilasciato da un Trust Service Provider (TSP) elencato nelle Liste di Fiducia UE ha lo stesso peso legale di una data notarizzata. Non può essere retrodatato. Questo è importante quando un titolare di diritti afferma che hai estratto i suoi contenuti dopo la sua opposizione — puoi dimostrare che il dataset è precedente all'opposizione.

Swiss Trust Layer rilascia timestamp qualificati conformi a eIDAS su dataset, manifesti e documentazione di licenza in un unico passo di sigillatura. Il certificato risultante è verificabile da chiunque senza accesso.

E i dati di addestramento che hai creato o commissionato?

Se la tua organizzazione ha creato i dati di addestramento internamente (annotatori umani, generazione sintetica, opere creative originali), ne sei proprietario — ma affronti comunque sfide di provenienza:

I dati sintetici generati da un modello addestrato su dati di terze parti possono ereditare problemi di copyright dal modello a monte
Il lavoro di annotazione da parte di appaltatori richiede adeguati accordi work-for-hire che trasferiscano il copyright
I dataset misti (pubblici + con licenza + originali) richiedono una chiara documentazione di cosa contiene ogni sottoinsieme

Il timestamping delle versioni dei dataset — inclusa la documentazione degli accordi di licenza per ogni sottoinsieme — crea un registro difendibile per la due diligence, gli audit degli investitori e le ispezioni normative.

Quali giurisdizioni hanno le regole più severe?

|---|---|---|---|

Gli sviluppatori IA con sede nell'UE affrontano il più alto onere combinato di copyright e regolamentazione. Gli sviluppatori svizzeri dovrebbero seguire proattivamente gli standard UE considerati i flussi di dati transfrontalieri.

Contenuto generato da IA vs. dati di addestramento IA: qual è la differenza?

Queste sono questioni giuridicamente distinte. La protezione della proprietà intellettuale dei contenuti generati da IA riguarda chi possiede l'output di un modello IA. Il copyright sui dati di addestramento riguarda se l'input per l'addestramento viene utilizzato legalmente. Entrambi devono essere valutati per un prodotto IA conforme.

I requisiti di governance dei dati dell'AI Act europeo si basano su entrambi: gli sviluppatori devono documentare le pratiche di approvvigionamento dei dati (dati di addestramento) e implementare misure di salvaguardia contro la generazione di output che violino i diritti.

Lista di controllo pratica per sviluppatori IA nel 2026

Verifica il tuo dataset di addestramento: identifica tutte le fonti e le licenze applicabili

Controlla robots.txt e le opposizioni leggibili dalla macchina sulle fonti estratte

Rimuovi o sostituisci i contenuti con opposizione prima dell'inizio dell'addestramento

Documenta i manifesti dei dataset con timestamp crittografici — sigilla il tuo dataset su Swiss Trust Layer

Pubblica riassunti dei dati di addestramento come richiesto dall'AI Act Art. 53(d)

Ottieni alternative con licenza per dataset di alto valore (ad es. accordi di licenza Getty, Associated Press)

Stabilisci un processo di monitoraggio: i proprietari di contenuti possono opporsi retroattivamente, influenzando le future esecuzioni di addestramento

Il costo di fare le cose bene fin dall'inizio — documentazione, timestamp, licenze — è molto inferiore al costo di difendersi in un caso di violazione del copyright o in un audit di conformità all'AI Act UE.

Cosa fornisce specificamente il framework eIDAS?

Ai sensi del Regolamento eIDAS (UE) 910/2014, un timestamp elettronico qualificato (QTS) rilasciato da un TSP qualificato:

Crea una presunzione legale che i dati esistessero all'ora indicata (Art. 41(2))
È ammissibile in tutti i tribunali degli Stati membri UE senza ulteriore autenticazione
Non può essere retrodatato — l'infrastruttura TSP è verificata e certificata

Per la provenienza dei dati di addestramento IA, ciò significa che un QTS sul manifesto del tuo dataset è il gold standard della conformità documentata. Trasforma un'auto-affermazione ("abbiamo assemblato questo dataset nella data X") in un fatto giuridicamente difendibile.