Indice
- Cosa dice la legge?
- I reati informatici e la responsabilità nel prompting
- Caso concreto: dove sta il confine?
- Rivoluzione nell’AI Act per la responsabilità nel prompting
- Dove finisce la libertà di ricerca?
- Usare più responsabilità nel prompting
Il tema principale di questo articolo riguarda l’importanza della responsabilità nel prompting e in particolare risponderemo a una domanda che tocca il cuore del rapporto tra tecnologia, libertà di ricerca e responsabilità penale: se chiedo a ChatGPT di scrivere un codice per hackerare un sito, sono punibile?
Cosa dice la legge?
Il nostro ordinamento penale prevede diverse fattispecie che potrebbero entrare in gioco quando si parla di richieste “pericolose” all’intelligenza artificiale. Partiamo dall’art. 414 c.p., che punisce l’istigazione a delinquere: “chiunque pubblicamente istiga a commettere delitti è punito con la reclusione da uno a cinque anni, con pene aumentate se il fatto è commesso attraverso strumenti informatici o telematici.”
La giurisprudenza di Cassazione ha chiarito che nell’istigazione “la spinta al reato è diretta alla persona e pubblica”. Parlare in privato con un programma, per quanto avanzato, difficilmente rientra in tale categoria. L’AI non è un soggetto giuridico potenzialmente istigabile.
I reati informatici e la responsabilità nel prompting
Il cuore della questione risiede nei reati informatici, perché è qua che effettivamente si può parlare di responsabilità nel prompting.
L’art. 615-ter c.p. punisce l’accesso abusivo a sistemi informatici, mentre l’art. 615-quater c.p. sanziona chi si procura, detiene o diffonde strumenti per l’accesso abusivo.
Qui emerge un punto cruciale: la Cassazione ha stabilito che “la mera ricezione di password altrui integra il reato di cui all’art. 615-quater”, ma quando questa ricezione è “preordinata alla realizzazione” di una frode informatica, si configura il tentativo del reato più grave.
Caso concreto: dove sta il confine?
Immaginiamo che io chieda a un’AI: “Scrivimi un codice per accedere abusivamente al database di un’azienda”. Cosa succede dal punto di vista penale?
Primo scenario: Se l’AI mi fornisce effettivamente un codice funzionante, potrei essere accusato di detenzione di strumenti per l’accesso abusivo. La legge non distingue tra strumenti fisici e digitali, e un codice malevolo rientra certamente nella categoria degli “altri mezzi idonei all’accesso”.
Secondo scenario: Se utilizzo quel codice, scatta l’accesso abusivo vero e proprio, con pene che vanno da tre anni fino a dodici anni di reclusione per i sistemi di interesse pubblico.
Terzo scenario: Se condivido il codice ottenuto, potrei rispondere di diffusione di strumenti per l’accesso abusivo.
Rivoluzione nell’AI Act per la responsabilità nel prompting
La recente Legge 132/2025 ha introdotto una circostanza aggravante generale per i reati commessi “mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso”. Questo significa che usare l’AI per commettere reati non solo non è una scusante, ma può addirittura aggravare la pena. Se vuoi saperne di più leggi l’articolo su AI e responsabilità penale.
Dove finisce la libertà di ricerca?
Ma allora, quando si parla di responsabilità nel prompting, dove finisce la legittima ricerca accademica o professionale e inizia la condotta penalmente rilevante? La risposta non è semplice e dipende da diversi fattori:
L’elemento soggettivo: Il dolo è fondamentale. Se la mia richiesta è motivata da genuine finalità di studio, ricerca o formazione in cybersecurity, la situazione cambia radicalmente rispetto a chi cerca strumenti per commettere reati.
Il contesto: Un ricercatore universitario che studia vulnerabilità informatiche, un ethical hacker che testa la sicurezza di sistemi con autorizzazione, o un docente che prepara materiale didattico si trovano in una posizione diversa rispetto a chi cerca strumenti per scopi illeciti.
L’utilizzo concreto: La giurisprudenza ha chiarito che rileva non solo il possesso di strumenti, ma anche l’uso che se ne fa. Come ha stabilito la Cassazione, “l’univocità e l’idoneità degli atti devono essere desunte dalla condotta oggettiva e non dall’elemento soggettivo”.
Bisogna prestare attenzione però: la linea di confine può essere più sottile di quanto sembri. Anche una richiesta apparentemente innocua potrebbe configurare un tentativo se accompagnata da altri elementi che ne rivelino la finalità illecita. La Cassazione ha stabilito che integra una “frazione di condotta penalmente apprezzabile” anche la semplice “predisposizione degli strumenti necessari” per commettere un reato informatico.
Usare più responsabilità nel prompting
In definitiva, chiedere a un’AI di scrivere codice per l’hacking non è automaticamente un reato, ma può diventarlo rapidamente a seconda delle circostanze. La chiave sta nella finalità, nel contesto e nell’uso concreto che si fa delle informazioni ottenute.
Il mio consiglio? Usate l’intelligenza artificiale responsabilmente. Se lavorate nel campo della cybersecurity, documentate sempre le vostre finalità legittime. Se siete studenti o ricercatori, operate sempre in ambienti controllati e con le dovute autorizzazioni.
È importante ricordare che: la tecnologia è uno strumento molto potente, ma da grandi poteri derivano grandi responsabilità. E la legge, come abbiamo visto, si sta adeguando rapidamente per tenere il passo con l’evoluzione tecnologica.