Un Parere in 10 secondi : come l’IA ha incrinato mesi di difesa

Qualche settimana fa, durante una conversazione che non aveva nulla di programmato, un amico avvocato mi ha raccontato un episodio che mi è rimasto addosso più del previsto. Non me lo ha riferito come si racconta una curiosità da corridoio, ma quasi come si confessa un fastidio rimasto in sospeso, uno di quelle spinette..fastidiosissime… sotto la pelle che non fanno male subito, però ti obbligano a ricordarti che ci sono. Forse perché, oltre a essere suo confidente da anni, condividiamo lo stesso vizio professionale: quello di osservare i dettagli anche quando sembrano marginali. Io lo faccio da informatico forense, lui dal lato del diritto.

La storia, all’apparenza, era lineare. Un procedimento penale chiuso positivamente, un’archiviazione arrivata dopo mesi di lavoro silenzioso, e quella sensazione rara – per chi fa questo mestiere – di aver portato a casa il risultato giusto senza dover recitare. Eppure, qualcosa aveva incrinato quell’equilibrio. Non una decisione del giudice, non un colpo di scena processuale. Qualcosa di molto più banale, e proprio per questo più inquietante: un parere generato da un’intelligenza artificiale generalista, pescata online come si pesca una risposta veloce.

Negli ultimi anni abbiamo imparato a convivere con sistemi automatici che suggeriscono, correggono, completano. All’inizio sembravano strumenti di supporto, comodità innocue. Poi, quasi senza accorgercene, hanno iniziato a occupare uno spazio più delicato: quello del giudizio. E quando il giudizio diventa un servizio “in pochi secondi”, la tentazione è sempre la stessa: scambiarlo per una scorciatoia innocua, una scorciatoia che non lascia tracce. E invece, spesso, di tracce ne lascia eccome.

Lui è uno di quegli avvocati che non hanno bisogno di alzare la voce per farsi ascoltare. Penalista esperto, metodico, con una capacità strategica costruita nel tempo più che nei manuali. Ha seguito casi complessi, conosce l’imprevedibilità delle aule e l’importanza delle scelte fatte quando nessuno guarda: quelle decisioni piccole, a volte invisibili, che però proteggono un assistito molto più di una bella arringa. In questo caso specifico, la vicenda giudiziaria era stata tutt’altro che semplice, ma la linea difensiva aveva retto fino in fondo. Il giudice aveva archiviato. Fine della storia, verrebbe da dire.

Il cliente, sollevato, aveva condiviso la notizia con il proprio committente. Ed è qui che qualcosa si è inceppato. Il commento ricevuto non era apertamente critico, ma nemmeno pienamente elogiativo. C’era quel tono che chi lavora con le parole riconosce subito: un equilibrio instabile tra dubbio e allusione. Un “forse si poteva fare diversamente” mai scritto, ma chiaramente suggerito. Il cliente, comprensibilmente, aveva girato quel messaggio al proprio avvocato per chiedere un chiarimento. Fin qui, nulla di anomalo.

Quello che l’avvocato non sapeva – e che avrebbe scoperto solo dopo – è che, quasi in parallelo, il cliente aveva fatto un’altra cosa. Aveva copiato quel testo e lo aveva sottoposto a un’intelligenza artificiale accessibile online. Nessuna istruzione particolare, nessun contesto giuridico, nessuna indicazione sul sistema normativo di riferimento. Solo testo in ingresso, risposta in uscita. Un gesto rapido, quasi ingenuo nel suo ottimismo: “sentiamo cosa dice”.

La risposta era arrivata in pochi secondi. Ed era netta. Troppo netta. L’algoritmo aveva criticato la strategia difensiva, suggerendo implicitamente che fosse opportuno valutare un cambio di legale. Un parere confezionato bene, scritto in modo sicuro, privo di esitazioni, pieno di formule che suonano ragionevoli anche quando non hanno le gambe per reggersi. Proprio per questo, pericoloso.

Quando il mio amico, ha realizzato che quel dubbio non nasceva da una riflessione autonoma del cliente, né da un confronto con un altro professionista, la sua prima reazione non è stata rabbia. È stato stupore. Subito dopo, una forma di amarezza difficile da spiegare a chi non vive questo mestiere dall’interno. L’idea di essere messo in discussione non da un collega, non da un giudice, ma da un sistema senza volto, senza responsabilità, senza memoria del caso. Mi ha detto una frase che mi è rimasta impressa: “È come se qualcuno avesse giudicato una partita guardando solo il punteggio, senza aver visto un minuto di gioco”.

E, se ci penso, è una metafora fin troppo gentile. Perché il punteggio, almeno, fotografa il risultato. Qui si giudica una partita guardando una notifica, un frammento, un estratto. Il resto – la cronologia degli atti, le udienze, le scelte di scrittura, i colloqui, l’ordine con cui un avvocato decide di far emergere o di contenere un elemento – rimane fuori. E proprio perché rimane fuori viene sostituito da una narrazione plausibile. Plausibile è la parola chiave: non vero, non falso, semplicemente plausibile. Il che, nel mondo reale, spesso basta.

C’è un punto cieco, nel modo in cui tanti clienti (e molti committenti) stanno iniziando a usare l’intelligenza artificiale: confondere la forma del ragionamento con la sostanza della conoscenza. Un modello generativo produce testi credibili perché conosce la grammatica delle argomentazioni, non perché conosca il caso. Questa differenza è quasi banale per chi vive di verifiche, eppure è diventata una trappola sofisticata. Nel diritto, dove la persuasione spesso è la pelle delle decisioni, la forma può sembrare sostanza, e il tono assertivo dell’output fa il resto. Il sistema non dice “non lo so”, raramente mette le mani avanti, ( Qui stà il pericolo di chi non sà formulare Prompt efficaci ) quasi mai chiede davvero il fascicolo. Ti consegna una risposta che sembra pensata, e invece è soprattutto “ben scritta”.

Non è un’ipotesi astratta. Negli Stati Uniti, Mata v. Avianca è diventato un caso-simbolo proprio per la sua semplicità brutale: in un procedimento, sono state depositate citazioni giurisprudenziali inesistenti prodotte tramite strumenti generativi e non verificate, ( In Italia è successo poco fa ) fino a rendere necessaria una decisione sulle sanzioni che ha avuto eco internazionale. Non mi interessa qui la morale facile (“non usare l’AI”), mi interessa il meccanismo: l’affidabilità dell’atto si consuma in un istante, e con lei si consuma la fiducia della corte e la credibilità del difensore. Un danno che non si ripara con una rettifica elegante.

E se guardiamo oltre l’Atlantico, il fenomeno non è rimasto confinato. Nel giugno 2025, una giudice dell’High Court inglese ha lanciato un avvertimento pubblico sul rischio di citazioni inventate associate all’uso improprio di AI, ricordando che le conseguenze possono arrivare fino a profili di contempt of court e, nei casi più gravi, ricadute penali. Quando una corte parla di minaccia alla fiducia pubblica, non è più un problema “tecnologico”: è un problema istituzionale. È il sistema che si difende da un rumore nuovo, subdolo, difficile da riconoscere perché ha un linguaggio impeccabile.

Il punto, però, è che l’episodio del mio amico non riguarda un atto depositato con citazioni false. È, per certi versi, più sottile. Riguarda il momento che precede il conflitto, quello in cui una relazione professionale viene attraversata dal dubbio. Il cliente non usa l’AI per “imbrogliare”, ma per capire. Eppure, proprio lì, nel bisogno legittimo di capire, la scorciatoia può diventare lama .

Perché la relazione avvocato-assistito non è solo trasferimento di informazioni. È una forma di ingegneria della fiducia. È la capacità di prendere un fascicolo confuso e trasformarlo in una strategia; di prevedere non soltanto cosa è scritto, ma cosa sarà letto; di valutare anche il non detto, i tempi, le persone, le reazioni.

 Un modello generalista non ha accesso a queste dimensioni. E, soprattutto, non ha una responsabilità professionale. Non ha un codice deontologico che gli pesi sulle mani.

È interessante, in questo senso, che molte linee guida etiche sulla generative AI, quando parlano di doveri del legale, insistano su concetti antichi travestiti da novità: competenza, supervisione, comunicazione, riservatezza.

Finché l’AI la usa l’avvocato, almeno, il terreno delle responsabilità è chiaro: il professionista deve scegliere, governare, verificare. Ma quando è il cliente a usare l’AI per valutare il lavoro del proprio legale, entra una variabile che i codici non avevano previsto fino a ieri: un terzo interlocutore che parla bene, parla veloce, parla senza firmare. E il cliente, spesso in buona fede, lo tratta come un acceleratore di comprensione. Non lo è. È un acceleratore di confidenza. Che è molto diverso, e spesso più pericoloso, perché la confidenza spinge a decidere prima di capire.

In azienda, questa dinamica la vedo emergere con un’altra forma: un documento complesso viene “riassunto” da un sistema generativo e poi quella sintesi diventa l’unica versione che circola. La decisione si prende su quel riassunto, non sull’originale. Nel diritto penale, la distorsione è ancora più delicata, perché la strategia difensiva non è soltanto un ragionamento. È una sequenza di scelte calibrate su tempi e rischi, e spesso su elementi che non possono e non devono essere esposti oltre un certo perimetro. Una frase estratta dal contesto, riformulata da un sistema generativo, , può diventare una caricatura. E la caricatura, se detta con tono sicuro, convince.

C’è una scena che immagino – e forse qualcuno la riconosce –: il cliente entra e dice “ho fatto una domanda a un’AI e mi ha risposto così”. Non lo dice con arroganza, lo dice quasi per chiedere conferma. Ma, intanto, l’AI ha già spostato l’asse: ha trasformato mesi di lavoro in una frase giudicante. È come introdurre nel rapporto un testimone che non puoi controinterrogare. E nel diritto, lo sappiamo bene, quando non puoi controinterrogare un testimone non è soltanto un problema epistemico. È un problema di giustizia.

Fin qui, siamo sulla superficie: percezione, fiducia, linguaggio. Sotto, però, c’è il cablaggio tecnico. Ed è qui che, da forense, smetto di ascoltare l’aneddoto e inizio a sentire l’odore del rischio.

Copiare e incollare un messaggio, un frammento di strategia, un pezzo di storia processuale dentro una piattaforma esterna sembra un gesto innocuo. In realtà è un trasferimento di dato. E ogni trasferimento di dato, nel 2025, è anche una decisione di sicurezza. Non serve immaginare complotti o scenari da thriller. Basta una domanda concreta: dove vanno quei dati? Come vengono trattati? Quanto restano? Chi può ricostruire il contesto a partire da ciò che è stato condiviso? Quando la piattaforma è generalista, aperta, non progettata per la gestione di segreti professionali, la risposta più onesta è spesso: non lo so. E “non lo so”, in ambito legale, è già una vulnerabilità.

Negli ultimi anni, le autorità europee di protezione dati hanno dovuto confrontarsi con la frizione tra modelli generativi e principi del GDPR. Il report della ChatGPT Taskforce dell’European Data Protection Board, pubblicato nel maggio 2024, fotografa queste tensioni e prova a ricondurle a questioni verificabili: trasparenza, accuratezza, gestione dei diritti degli interessati, ruoli e responsabilità nel trattamento.

È un documento che non ti permette di restare nel vago. Ti costringe a fare i conti con la materia prima, che sono i dati e le responsabilità su quei dati.

A questo livello “privacy” si aggiunge quello più ampio di governance. Il Regolamento (UE) 2024/1689, il cosiddetto AI Act, costruisce un modello basato sul rischio: più un sistema incide su diritti, sicurezza e decisioni, più deve essere vincolato a requisiti di conformità e controlli.

Anche senza entrare nel tecnicismo delle categorie, l’idea culturale è già operativa: non basta chiedersi se uno strumento è potente, bisogna chiedersi dove lo stai infilando, su quali processi, con quale impatto, con quali garanzie.

E poi c’è la parte che molti sottovalutano perché sembra “solo informatica”: la sicurezza applicativa. OWASP, nel Top 10 per applicazioni basate su large language models, descrive classi di rischio come prompt injection e gestione insicura dell’output.

Tradotto, senza teatralità: esistono modi per spingere un sistema a comportarsi male, e un output “sbagliato” può essere riutilizzato in contesti dove produce danni reali. Anche senza attacchi sofisticati, basta la catena di uso improprio: incolli un testo sensibile, ricevi una risposta convincente, la giri a qualcuno, quel qualcuno la usa come base decisionale. Hai già creato un incidente, solo che non lo chiami così...

Quando dico queste cose a un collega giurista, spesso sento la replica più naturale del mondo: “sì, ma noi non sviluppiamo software”. Ed è vero. Però oggi quasi tutti usiamo software che scrive. E quando un software scrive, entra nel nostro processo decisionale. Se l’output di un modello generativo finisce in una mail al cliente, in una nota interna, in una bozza, ha già iniziato a influenzare. Se quell’output è stato prodotto dopo che qualcuno ha incollato dentro dati sensibili, il problema è doppio: hai esposto informazione e hai introdotto un elemento non verificato nel flusso di lavoro.

Qui, paradossalmente, la scienza forense può offrire un’ancora culturale. Noi siamo abituati a chiederci “da dove viene questo dato??”, “chi lo ha toccato?, “in quale forma è stato trasformato?”, “che traccia ha lasciato?”. È un modo di pensare che, in un mondo di strumenti generativi, diventa prezioso. Perché la domanda non è più soltanto “è vero?”, ma “come ci è arrivato?”, “con quali input?”, “con quale catena di trasformazioni?”. Senza queste domande, la risposta liscia dell’AI diventa un oggetto magico: e gli oggetti magici, in ambito probatorio, fanno sempre danni.

È anche per questo che, quando guardo alle cornici di gestione del rischio, mi torna utile il NIST AI Risk Management Framework: non è pensato per avvocati, ma parla una lingua compatibile con la nostra, perché insiste su identificazione, mappatura e governance del rischio lungo il ciclo di vita e lungo le pratiche reali, non soltanto nei documenti. Non è romantico, non è “innovazione”. È disciplina. E la disciplina, in questi temi, è l’unica cosa che regge quando l’entusiasmo finisce.

A quel punto, la storia del mio amico smette davvero di essere una storia sua. Diventa il sintomo di un cambio di paradigma silenzioso: la valutazione legale senza firma, senza responsabilità, senza contraddittorio. Un parere che non è parere, ma che viene trattato come se lo fosse. Un testo che ha peso perché è ben scritto, non perché è fondato.

La storia, per fortuna, si è conclusa senza strappi: l’archiviazione parlava chiaro, la strategia difensiva, guardata con il fascicolo in mano e non con un estratto in chat, risultava coerente. Ma il punto non è chi avesse ragione. Il punto è cosa sarebbe potuto accadere se quel dubbio avesse attecchito, se un committente avesse imposto un cambio, se la fiducia si fosse rotta proprio nel momento più fragile. Sono dinamiche che non finiscono nei repertori di giurisprudenza, eppure pesano sulla qualità del lavoro e sulla tenuta del rapporto professionale.

In sintesi, mi porto via da questo episodio una verità scomoda: la tecnologia non è neutrale quando viene usata senza metodo. Può chiarire, ma può anche confondere. Può supportare, ma può anche minare rapporti costruiti nel tempo. E nel diritto, come nella scienza forense, non basta produrre un’analisi: serve qualcuno che se ne assuma la responsabilità, che ne comprenda i limiti, che sappia quando fermarsi. Un algoritmo può generare parole. Non può portarne il peso.

Mi piacerebbe sapere come la state vivendo voi, da avvocati, magistrati, consulenti, responsabili legal i d’ impresa: se vi è capitato che un cliente arrivasse con un output generativo in mano come fosse una perizia;

-se avete già dovuto discutere, in studio o in azienda, dove finiscono i testi che circolano nelle chat e poi vengono “interrogati” da strumenti esterni; se state costruendo procedure concrete (non moralismi) per evitare che la fretta diventi perdita di controllo.

 E, più in profondità, mi chiedo che cosa diventerà la fiducia professionale quando l’interlocutore invisibile – la macchina che “parla bene” – si siederà stabilmente al tavolo, senza chiedere permesso?

Yuri Lucarini Informatico forense - Criminologo

#CyberLaw #LegalEthics #ArtificialIntelligence #DirittoPenale #DigitalForensics

Fonti per approfondire

1. EDPB – Report of the work undertaken by the ChatGPT Taskforce (2024) Analizza, dal punto di vista delle autorità privacy europee, i punti di frizione tra ChatGPT e GDPR: basi giuridiche, trasparenza, diritti degli interessati, e gestione del rischio quando si usano modelli generativi.

2. EUR-Lex – Regulation (EU) 2024/1689 (AI Act) – testo ufficiale È la cornice normativa primaria dell’UE sull’AI: introduce l’approccio “risk-based”, definisce obblighi e responsabilità lungo la filiera e fissa requisiti (inclusi trasparenza e governance) per sistemi e usi ad alto impatto.

3. OWASP – Top 10 for Large Language Model Applications (GenAI Security Project) Mappa i principali rischi di sicurezza legati alle LLM in contesti reali (prompt injection, data leakage, insecure output handling, ecc.) e offre un lessico tecnico condiviso per trasformare “l’intuizione” in controllo e mitigazione.