AI e operazioni straordinarie negli USA: due diligence e allocazione del rischio

L’impiego dell’intelligenza artificiale da parte di società target nel contesto di operazioni di mergers and acquisitions disciplinate dal diritto statunitense comporta un’evoluzione significativa delle tradizionali logiche di due diligence. Il riferimento è alla due diligence ordinariamente condotta dall’acquirente, quale processo attraverso cui quest’ultimo raccoglie e verifica le informazioni rilevanti sulla società target al fine di valutarne il profilo di rischio e rifletterne gli esiti nella struttura economica e contrattuale dell’operazione. La definizione del perimetro della due diligence deve essere calibrata sul ruolo concreto dell’IA nel modello di business della società target e sulla normativa applicabile, in assenza di un quadro federale organico e in presenza di discipline statali e settoriali eterogenee. Particolare attenzione è dedicata agli strumenti contrattuali di allocazione del rischio, evidenziando la necessità di tradurre i rischi legati all’IA in clausole specifiche che proteggano concretamente l’acquirente nella struttura dell’operazione.

Nelle operazioni di M&A disciplinate dal diritto statunitense, la presenza di sistemi di IA nell’azienda target impone una definizione attenta del perimetro della due diligence, calibrata sul ruolo concreto che la tecnologia assume nel modello di business della società target. Tale definizione non rappresenta un passaggio meramente organizzativo, ma incide direttamente sull’efficacia dell’intera analisi: una due diligence impostata secondo schemi standard rischia di non intercettare profili di rischio che emergono solo ove l’indagine sia calibrata sulle specificità dell’utilizzo dell’IA.La definizione del perimetro della due diligence in presenza di IAUn primo elemento di distinzione riguarda la struttura dell’operazione e, in particolare, la misura in cui l’acquirente sarà destinato a subentrare nella gestione e nei rischi della società target dopo il closing. Quando l’operazione ha ad oggetto una partecipazione limitata o comunque non comporta il subentro nella gestione ordinaria, la due diligence tende a essere più mirata, con l’obiettivo di individuare i rischi più rilevanti e rifletterli nella documentazione contrattuale. Diversamente, quando l’operazione comporta il trasferimento dell’intera società o il controllo del business, l’analisi assume una funzione più ampia e include la valutazione della sostenibilità operativa del modello aziendale. In presenza di sistemi di IA, ciò implica verificare in che misura tali strumenti incidano su elementi quali generazione dei ricavi, riduzione o aumento dei costi operativi e organizzazione dei processi aziendali.Occorre inoltre distinguere tra società che sviluppano internamente sistemi di IA e società che utilizzano strumenti forniti da terzi:- nel primo caso, l’analisi si concentra sulla titolarità della tecnologia, sui dati di addestramento e sui processi di sviluppo, nonché sui presidi adottati per garantirne la conformità normativa;- nel secondo caso, il focus si sposta sulle condizioni di utilizzo, sui rapporti con i fornitori, sui dati immessi nei sistemi e sul grado di controllo effettivo esercitato dalla società target. In entrambi i casi, assume rilievo la governance interna: la presenza di policy e controlli riduce il rischio di utilizzi impropri, mentre la loro assenza può determinare una diffusione non controllata della tecnologia.Sotto questo profilo, un tema importante è poi quello relativo all’individuazione della normativa applicabile. In assenza di una disciplina federale organica in materia di IA, la due diligence deve essere condotta tenendo conto del quadro normativo applicabile in funzione degli Stati in cui la società target opera e del settore di attività, verificando l’eventuale applicazione di normative statali, obblighi settoriali e disposizioni generali già esistenti.La società target come utilizzatrice di strumenti IA di terziQuando la società target utilizza strumenti di IA forniti da terzi, la due diligence deve concentrarsi sul rapporto con i fornitori della tecnologia e sulle modalità di integrazione di tali strumenti nei processi aziendali. L’analisi non si esaurisce nell’identificazione degli strumenti utilizzati, ma richiede di comprendere in che misura essi siano incorporati nell’operatività della società target e quale sia il loro peso nella creazione di valore. In tale contesto, assume rilievo la distinzione tra utilizzo interno ed esterno. Il primo tende a rimanere confinato all’organizzazione ed è, di regola, gestibile mediante misure correttive o policy interne. Diverso è il caso in cui i sistemi di IA siano integrati nell’offerta commerciale o incidano sulle prestazioni rese ai clienti: in tali ipotesi, eventuali criticità possono riflettersi sulla valutazione della società target, sulle condizioni di closing e sulle tutele richieste dall’acquirente. La stessa distinzione rileva anche sotto il profilo degli obblighi informativi. In funzione della normativa applicabile - che può variare in base agli Stati in cui la società target opera o in cui i servizi sono offerti - la due diligence deve verificare se e in che misura l’utilizzo dell’IA sia stato comunicato ai soggetti interessati, ove richiesto dalla legge o da obblighi contrattuali.Sul piano contrattuale, l’analisi si concentra sui termini di utilizzo degli strumenti, spesso standardizzati, e sulle relative previsioni in materia di restrizioni, modifiche unilaterali ed esclusioni o limitazioni di responsabilità. La questione centrale è la loro compatibilità con l’attività della società target, anche alla luce della normativa applicabile, nonché il possibile disallineamento tra gli obblighi assunti dalla società target verso i propri clienti e le tutele di cui essa dispone nei confronti del fornitore di tecnologie IA. La società target potrebbe, ad esempio, aver assunto impegni in termini di continuità del servizio, accuratezza dei risultati, protezione dei dati o affidabilità della prestazione, senza ottenere garanzie equivalenti dal fornitore dello strumento IA. In questi casi, l’acquirente rischia di subentrare in un rapporto in cui l’esposizione verso i clienti è più ampia della protezione disponibile a monte, con evidenti riflessi sull’allocazione del rischio nell’operazione.Dati, input e informazioni riservateUn ulteriore ambito di indagine riguarda i dati immessi nei sistemi di IA. Non si tratta solo di verificare quali dati siano stati utilizzati, ma se il loro utilizzo sia conforme agli obblighi in materia di privacy, riservatezza, proprietà intellettuale e protezione dei segreti commerciali. Anche in tale quadro normativo frammentato, l’utilizzo di dati in sistemi di IA può intercettare una pluralità di regole già esistenti, che variano in funzione della normativa applicabile e del contesto operativo.La società target potrebbe, ad esempio, aver utilizzato strumenti generativi per analizzare documenti interni, elaborare dati dei clienti, sviluppare contenuti o supportare attività operative, senza considerare adeguatamente se tali informazioni potessero essere caricate in ambienti gestiti da terzi o se fossero soggette a restrizioni contrattuali o limiti normativi. In tali ipotesi, il rischio non si esaurisce in una mera violazione formale, ma si traduce nella perdita di controllo su informazioni che possono costituire un asset essenziale della società target o dei suoi clienti. In questo ambito, assume rilievo anche la verifica della conformità alla normativa applicabile nei diversi Stati rilevanti, in quanto eventuali violazioni possono determinare non solo responsabilità contrattuali, ma anche profili sanzionatori.Strumenti di allocazione del rischioQualora la due diligence faccia emergere profili di rischio legati all’utilizzo dell’IA, tali risultanze dovranno essere tradotte in adeguati strumenti di allocazione del rischio all’interno della documentazione contrattuale dell’operazione. Il primo presidio è costituito dalle representations and warranties (dichiarazioni e garanzie, “R&W”), che dovranno essere calibrate in modo specifico rispetto alle criticità emerse e al concreto utilizzo della tecnologia da parte della società target. Nel caso di società target che utilizzano strumenti di IA di terzi, tali dichiarazioni non potranno quindi limitarsi a formule generiche, ma dovranno tenere conto delle modalità di utilizzo degli strumenti, dei dati impiegati, dei rapporti con i fornitori e dell’esistenza (o della necessità) di controlli interni.In primo luogo, può assumere rilievo una specifica dichiarazione relativa agli strumenti di IA utilizzati dalla società target, generalmente accompagnata da un’apposita indicazione nelle disclosure schedules, ossia gli allegati al contratto in cui il venditore indica le informazioni rilevanti, le eccezioni o le precisazioni rispetto alle dichiarazioni rese. In tal caso, può essere opportuno che le dichiarazioni richieste non si limitino a un mero elenco degli strumenti utilizzati, ma includano anche l’indicazione delle relative finalità d’uso e del grado di integrazione nei processi aziendali, così da consentire all’acquirente di comprendere se e in che misura tali strumenti incidano sull’operatività della società target.In base alle circostanze, può inoltre essere indicato prevedere specifiche R&W secondo cui la società target non abbia immesso nei sistemi di IA dati personali, informazioni riservate, segreti commerciali o contenuti di terzi in violazione della normativa applicabile, di obblighi contrattuali o di diritti di terzi. Tali dichiarazioni sono funzionali a evitare che l’acquirente subentri in passività potenziali derivanti da utilizzi non autorizzati dei dati o da violazioni di obblighi di riservatezza.A prescindere dagli esiti della due diligence, può inoltre essere appropriato richiedere R&W relative alla conformità dell’utilizzo degli strumenti di IA ai relativi termini d’uso e alla normativa applicabile, nonché all’esistenza e all’effettiva applicazione di policy interne. Può infine essere utile prevedere una dichiarazione specifica sull’assenza di contestazioni, reclami, indagini o procedimenti, anche non formalizzati, relativi all’utilizzo dell’IA da parte della società target.In presenza di criticità specifiche emerse nel corso della due diligence, le R&W potrebbero non essere, da sole, sufficienti a gestire adeguatamente tali profili. In questi casi, è possibile affiancare ulteriori strumenti contrattuali di allocazione del rischio, calibrati sulla natura e sulla rilevanza delle problematiche riscontrate per l’operazione. Se il rischio incide sulla decisione dell’acquirente di procedere al closing, può essere opportuno prevedere specifiche condizioni sospensive, subordinando il perfezionamento dell’operazione, ad esempio, all’adozione di misure correttive, quali la cessazione di determinati utilizzi non autorizzati o la revisione dei termini contrattuali con i fornitori di tecnologie IA. Qualora, invece, il rischio sia noto ma possa essere accettato dall’acquirente a fronte di adeguate tutele contrattuali, esso può essere allocato attraverso clausole di indennizzo mirate o meccanismi economici, quali escrow e holdback, a garanzia di eventuali passività future connesse all’utilizzo dell’IA. Infine, possono essere previsti specifici obblighi contrattuali di comportamento (covenant), anche successivi al closing, volti a disciplinare la gestione futura degli strumenti di IA. A titolo esemplificativo, tali obblighi possono riguardare l’adozione o l’aggiornamento di policy interne, la limitazione di determinati utilizzi dell’IA o l’implementazione di controlli sull’utilizzo dei dati.Considerazioni conclusiveNelle operazioni di M&A disciplinate dal diritto statunitense, l’IA rappresenta sempre più frequentemente un elemento da analizzare non solo in chiave di valore, ma anche di rischio. Per le imprese italiane, ciò implica la necessità di adottare un approccio pragmatico, volto a comprendere le modalità di utilizzo della tecnologia e a riflettere tali elementi nella struttura contrattuale dell’operazione.Copyright © - Riproduzione riservata

Per accedere a tutti i contenuti senza limiti abbonati a IPSOA Quotidiano Premium 1 anno € 118,90 (€ 9,90 al mese) Acquista Primi 3 mesi € 19,90 poi € 35,90 ogni 3 mesi Acquista Sei già abbonato ? Accedi

Fonte: https://www.ipsoa.it/documents/quotidiano/2026/05/18/operazioni-straordinarie-usa-due-diligence-allocazione-rischio