top of page

Memoria contestuale persistente nei sistemi di IA generativa: il caso ChatGPT‑5 tra rischi, normativa e prospettive

1. Introduzione

L’evoluzione dei sistemi di intelligenza artificiale generativa ha portato allo sviluppo di modelli di ultima generazione caratterizzati dalla capacità di conservare informazioni relative alle interazioni con l’utente. Questa memoria contestuale persistente, presente in sistemi come ChatGPT‑5 di OpenAI, apre nuovi scenari applicativi e pone questioni giuridiche in materia di protezione dei dati personali e diritti fondamentali. Ne deriva un quadro regolatorio multilivello che richiede un’analisi sistematica delle interferenze in relazione al Regolamento (UE) 2016/679 (GDPR) e all’AI Act, per conciliare innovazione tecnologica e tutela della persona.

 

 

2. Inquadramento tecnico della «memoria contestuale persistente»

La c.d. memoria contestuale persistente consiste nella capacità di un sistema generativo di conservare, oltre la singola sessione, le informazioni relative alle interazioni pregresse con l’utente, così da poterle riutilizzare in successivi dialoghi. Tale funzionalità si distingue dalla memoria «session-based» tipica dei modelli di generazione antecedenti, che cessava con la chiusura della sessione. È opportuno precisare che, con riferimento a GPT-4, OpenAI aveva già introdotto forme sperimentali di memoria, caratterizzate tuttavia da natura opzionale e limitata, attivabili dall’utente e non stabilmente incorporate nell’architettura del modello. Diversamente, con GPT-5 la memoria contestuale persistente è divenuta elemento strutturale e qualificante dell’architettura del sistema.

Sul piano funzionale, tale caratteristica consente una personalizzazione continuativa dell’esperienza e un progressivo adattamento del modello al profilo dell’utente. Sul piano giuridico, essa integra a tutti gli effetti un trattamento di dati personali ai sensi dell’art. 4, par. 1, GDPR, atteso che le informazioni conservate risultano riferibili, direttamente o indirettamente, a una persona fisica identificata o identificabile.

 


3. Profili di diritto alla protezione dei dati personali

La persistenza della memoria nei modelli generativi solleva criticità in rapporto ai principi sanciti dall’art. 5 GDPR:

  • liceità, correttezza e trasparenza (art. 5, par. 1, lett. a): l’utente deve essere informato in modo chiaro circa la natura e l’estensione della memoria;

  • limitazione della finalità (lett. b) e minimizzazione dei dati (lett. c): la conservazione deve essere circoscritta a quanto strettamente necessario per gli scopi dichiarati;

  • limitazione della conservazione (lett. e): il dato non può essere mantenuto oltre il tempo necessario, pena la violazione del principio di proporzionalità;

  • diritti dell’interessato: in particolare il diritto alla cancellazione (diritto all’oblio, art. 17), che potrebbe entrare in tensione con la logica di memoria persistente;

  • opacità nella gestione dei dati: l’utente spesso non dispone di visibilità piena e immediata sulle informazioni effettivamente conservate, sulle modalità di utilizzo e sui tempi di cancellazione, contrastando i principi di trasparenza e accountability;

  • profilazione indiretta: dati apparentemente neutri possono consentire, attraverso correlazioni e inferenze, di risalire a preferenze, orientamenti o categorie particolari di dati ex art. 9 GDPR, con conseguente rischio di re-identificazione;

  • rischi di sicurezza e data breach: la concentrazione in memoria di informazioni personali rende il sistema un target per attacchi informatici. In tali ipotesi, oltre alle responsabilità ex GDPR, potrebbe configurarsi una responsabilità civile del fornitore ai sensi del nuovo Regolamento sulla responsabilità dei prodotti difettosi, che sostituisce la direttiva 85/374/CEE, estendendo la responsabilità anche ai prodotti digitali.

Quanto alla base giuridica, appare imprescindibile il consenso esplicito dell’utente (art. 6, par. 1, lett. a, GDPR), liberamente prestato e revocabile in ogni momento. Risulta però opportuno considerare la necessità dell’introduzione di un consenso granulare, che consenta all’utente di selezionare quali tipologie di dati memorizzare e per quanto tempo. Tale approccio rafforza il principio di autodeterminazione informativa, evitando un consenso «onnicomprensivo» e poco trasparente.

Resta, inoltre, aperto il tema dei trasferimenti internazionali dei dati (artt. 44 ss. GDPR), atteso che i fornitori operano generalmente su infrastrutture extra-UE.

 

 

4. Interferenze con l’AI Act e questione etica

Il Regolamento (UE) 2024/1689 (AI Act), che si fonda su un approccio risk-based, estende la propria disciplina anche ai modelli di intelligenza artificiale per finalità generali, comunamente indicati come General Purpose AI (GPAI). Specificatamente, ai sensi dell’art. 3, n. 63, AI Act, per modello GPAI deve intendersi quel modello che, per architettura e capacità, è idoneo a svolgere una pluralità di compiti distinti e ad essere integrato in diversi sistemi o applicazioni.

ChatGPT-5 si colloca precisamente in questa definizione: esso non è limitato a un uso settoriale, bensì suscettibile di applicazioni trasversali. Tale qualificazione è rafforzata ulteriormente dalla memoria contestuale persistente integrata, poiché consente un adattamento dinamico e continuativo, indipendente dal contesto applicativo.

Ne discende che il fornitore è tenuto al rispetto degli obblighi di cui agli artt. 53 ss. AI Act: predisporre e mantenere la documentazione tecnica, di predisposizione di politiche di rispetto del diritto d’autore, pubblicazione di una sintesi dei dataset di addestramento, adottare misure volte ad assicurare robustezza e sicurezza e notificare i rischi sistemici. Si precisa che l’art. 52 AI Act impone obblighi di trasparenza verso gli utenti per tutte le interazioni con i sistemi di IA, ma anche per i GPAI.

La funzione di memoria persistente comporta anche potenziali rischi di manipolazione. Pur non essendo sempre vietate ex art. 5 AI Act, pratiche di nudging o sollecitazioni basate sul profilo utente possono avvicinarsi a situazioni vietate qualora sfruttino vulnerabilità o condizioni di debolezza dell’utente, richiedendo attenzione particolare per salvaguardare l’autonomia decisionale.

La questione non è soltanto giuridica, ma anche etica. Già le linee guida per un’IA affidabile elaborate dall’High-Level Expert Group on AI nel 2019 hanno posto l’accento su principi quali trasparenza, responsabilità e tutela dell’autonomia decisionale. In questo senso, la memoria contestuale persistente, se non adeguatamente regolata, rischia di compromettere la fiducia dell’utente e trasformarsi in una forma di «sorveglianza personalizzata». Integrare tali principi etici nelle pratiche di sviluppo e utilizzo di modelli generativi appare quindi indispensabile per realizzare un’IA non solo conforme al diritto, ma anche socialmente accettabile.

 


5. Prospettive e soluzioni interpretative

Alla luce delle criticità sopra evidenziate, si ritiene opportuno delineare un modello finalizzato a garantire un equilibrio tra l’innovazione tecnologica e la tutela dei diritti fondamentali dell’interessato. In tale prospettiva, risulta imprescindibile l’adozione di un meccanismo di opt-in esplicito, mediante il quale l’attivazione della memoria persistente sia subordinata al preventivo consenso libero, specifico, informato e revocabile dell’utente, conformemente a quanto disposto dall’art. 6, par. 1, lett. a) del GDPR. Il consenso medesimo dovrebbe essere corredato da una durata di conservazione predeterminata e da strumenti idonei a consentire all’interessato l’esercizio effettivo dei propri diritti di accesso, rettifica e cancellazione dei dati.

L’adozione dei principi di privacy by design e by default, di cui all’art. 25 GDPR, costituisce requisito imprescindibile, imponendo al fornitore di implementare misure tecniche e organizzative adeguate, già in fase di progettazione del sistema, al fine di garantire la minimizzazione dei dati trattati e la salvaguardia dei diritti dell’interessato.

Un ulteriore elemento riguarda le soluzioni tecniche che possono rafforzare la governance della memoria. Tra queste si segnalano:

  • la possibilità di localizzare la memorizzazione sul dispositivo dell’utente, riducendo i rischi connessi a trasferimenti internazionali di dati;

  • l’implementazione di sistemi di expiry automatico, che cancellino le informazioni dopo un periodo predeterminato salvo rinnovo del consenso;

  • la predisposizione di un audit trail che consenta di verificare in modo trasparente l’effettiva cancellazione dei dati, rafforzando l’accountability del fornitore.

Tali misure, se integrate già in fase di progettazione, rappresentano applicazioni concrete del principio di privacy by design e contribuiscono a rendere più effettivo l’esercizio dei diritti dell’interessato.

Sul piano regolatorio, l’AI Act prevede la possibilità di definire codici di condotta ai sensi dell’art. 69, strumenti idonei a disciplinare in maniera uniforme e proporzionata le pratiche di memoria persistente nei GPAI. Si sottolinea che tali codici costituiscono strumenti di soft law e standardizzazione di best practices, non obblighi vincolanti.

 


6. Conclusioni

La funzione di memoria persistente nei modelli di IA generativa comporta un trattamento continuativo di dati personali che impone l’osservanza rigorosa dei principi di liceità, proporzionalità e trasparenza di cui al GDPR, unitamente agli obblighi di documentazione, gestione dei rischi e trasparenza ex AI Act. La corretta implementazione di misure di privacy by design, meccanismi di consenso granulare e tecniche di governance trasparente rappresenta la condizione necessaria per conciliare innovazione tecnologica con tutela effettiva dei diritti fondamentali dell’interessato.

 




Bibliografia

  • Arda S., Taxonomy to Regulation: A (Geo)Political Taxonomy for AI Risks and Regulatory Measures in the EU AI Act, arXiv, 2024.

  • Balcıoğlu Y.S., A turning point in AI: Europe’s human-centric approach to AI regulation, in ScienceDirect, 2025.

  • Commissione Europea, Linee guida sui modelli GPAI e Template per la disclosure dei dati di training, luglio 2025.

  • Corte di giustizia dell’Unione europea, Direttiva 85/374/CEE del Consiglio del 25 luglio 1985 sulla responsabilità per danno da prodotti difettosi, [1985] OJ L210/29.

  • ENISA, Data Protection Engineering Report, 2020.

  • European Data Protection Board (EDPB), Linee guida 8/2020 sull’articolo 25 – Data Protection by Design and by Default, 20 ottobre 2020.

  • European Data Protection Board (EDPB), Linee guida sul consenso ai sensi del Regolamento 2016/679 (Versione 1.1), 4 maggio 2020.

  • European Data Protection Board (EDPB), Opinion on AI models: GDPR principles support responsible AI, 18 dicembre 2024.

  • High-Level Expert Group on Artificial Intelligence, Ethics Guidelines for Trustworthy AI, Commissione Europea, aprile 2019.

  • Luna J. – Tan I. – Xie X. – Jiang L., Navigating Governance Paradigms: A Cross-Regional Comparative Study of Generative AI Governance Processes & Principles, arXiv, 2024.

  • NIST, Privacy Engineering and Risk Management in Federal Systems, NISTIR 8062, 2017.

  • Novelli C. – Hacker P. – Morley J. – Trondal J. – Floridi L., A Robust Governance for the AI Act: AI Office, AI Board, Scientific Panel, and National Authorities, arXiv, 2024.

  • Parlamento europeo e Consiglio dell’Unione europea, Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (GDPR), [2016] OJ L119/1.

  • Parlamento europeo e Consiglio dell’Unione europea, Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act), [2024] OJ L1689/1.

  • Ufficio Europeo per l’Intelligenza Artificiale, Codice di condotta per i sistemi GPAI, 10 luglio 2025.

  • WilmerHale, AI and GDPR: A Road Map to Compliance by Design – Episode 1: The Planning Phase, 28 luglio 2025.

Commenti

bottom of page