Il codice scritto dall’AI sta diventando una presenza sempre più massiccia nei repository aziendali, e con questa crescita arriva una domanda che nessuno può più permettersi di ignorare: chi possiede davvero quel codice? Strumenti come Claude Code, GitHub Copilot, ChatGPT/Codex e Cursor sono ormai parte integrante del flusso di lavoro di migliaia di sviluppatori. Ma il problema non si ferma alla qualità o alla sicurezza del software prodotto. Tocca questioni ben più spinose: copyright, licenze open source e titolarità effettiva del lavoro.
Il 31 marzo 2026 è successo qualcosa che ha dato una bella scossa a tutto il settore. Anthropic ha pubblicato per errore, nel pacchetto npm @anthropic-ai/claude-code versione 2.1.88, una source map da circa 60 MB. Dentro c’erano oltre 512.000 righe di codice TypeScript dell’assistente AI basato su riga di comando. Nessun modello né credenziali esposti, sia chiaro, ma abbastanza materiale da rivelare architettura, componenti interni, funzionalità non ancora rilasciate e meccanismi operativi. Tanto che qualcuno ne ha ricavato una rappresentazione visuale chiamata Claude Code Unpacked. Nel giro di poche ore il codice girava su GitHub, con repository derivati e riscritture in Python che attiravano migliaia di sviluppatori. Anthropic ha risposto con una serie di richieste di rimozione ai sensi della normativa statunitense DMCA a tutela del copyright.
E qui si apre il vero nodo della questione. Claude Code non è un prodotto software qualsiasi: è un assistente di coding che, secondo diverse ricostruzioni pubbliche, contiene parti sviluppate con ampio uso degli stessi modelli Anthropic. Se una quota sostanziale del codice nasce da output AI, la società può comunque rivendicare diritti su tutto? Probabilmente su alcune parti sì, su altre la faccenda resta decisamente aperta.
Il nodo giuridico: senza autore umano, niente tutela
La posizione del Copyright Office statunitense non lascia molti margini di ambiguità: un’opera priva di autorialità umana non può ottenere tutela. Il report “Copyright and Artificial Intelligence, Part 2: Copyrightability” del 2025 ribadisce che l’uso assistivo dell’AI non esclude la protezione sul diritto d’autore, ma questa protezione copre solo le parti in cui una persona ha compiuto scelte creative riconoscibili. Un prompt inviato a un modello generativo, anche articolato, non sempre basta: contano selezione, coordinamento, arrangiamento, riscrittura, direzione espressiva.
In Europa la logica è sostanzialmente la stessa, anche se il riferimento normativo cambia. La Corte di Giustizia dell’Unione Europea ha costruito il criterio dell’opera come “creazione intellettuale propria dell’autore”. Deve emergere una traccia riconoscibile di libertà creativa umana, altrimenti la tutela prevista dalla direttiva 2001/29/CE non si attiva. Va detto che il diritto europeo non richiede originalità in senso artistico. Basta che l’autore abbia compiuto scelte libere e creative, anche minime, purché non puramente meccaniche. Ma quando l’output è il risultato diretto di un sistema che decide struttura, naming, flussi logici e gestione degli errori, lo spazio per identificare un’impronta personale diventa ridotto o del tutto assente.
Per gli sviluppatori le conseguenze sono piuttosto concrete. Se un tool genera un file e il maintainer lo accetta senza modifiche significative, quel file potrebbe avere una protezione debole o nulla. Se invece lo sviluppatore definisce l’architettura, scarta soluzioni, riscrive funzioni critiche e documenta le decisioni, la posizione cambia radicalmente. Su entrambe le sponde dell’Atlantico, la domanda non è più “hai usato l’AI?” ma piuttosto “dove si vede che hai deciso tu?”.
Il rischio open source e come gestire il codice scritto dall’AI
C’è poi una sfaccettatura che molti sottovalutano: i modelli AI hanno appreso, in fase di addestramento, enormi quantità di codice pubblico, incluso software distribuito sotto licenze copyleft come GPL, LGPL e AGPL. Il rischio non nasce quando l’output reimplementa le stesse idee funzionali, perché quello è lecito. Il problema si presenta quando l’output riproduce porzioni sostanziali e riconoscibili di codice protetto, magari in modo quasi pedissequo. GitHub Copilot ha introdotto funzioni di rilevamento delle corrispondenze con codice pubblico, confrontando i suggerimenti con circa 150 caratteri circostanti. Un aiuto concreto, ma non certo una garanzia assoluta.
L’avvento dell’AI sta spingendo tanti soggetti a muoversi con cautele crescenti. Oggi vengono richieste sempre più evidenze sull’eventuale uso dell’intelligenza artificiale, scansioni open source, policy interne e verifiche sulla provenienza del codice. Nessun acquirente vuole scoprire, magari dopo un accordo economico, che un componente core contiene frammenti copyleft non dichiarati o output generati senza traccia di revisione umana.
Le contromisure esistono e sono alla portata di tutti. La prima è una scansione delle licenze con strumenti come FOSSA, Snyk Open Source, Black Duck o equivalenti, che confrontano dipendenze e pattern con database di componenti open source. La seconda riguarda i log: conservare prompt, output intermedi e decisioni può sembrare burocrazia, ma in caso di vertenze legali tutto questo diventa prova. Un commit con una descrizione esplicita in linguaggio naturale può raccontare la sussistenza di un contributo umano ben preciso. Il codice scritto dall’AI va trattato come codice con provenienza da dimostrare: chi mantiene con cura ogni traccia si troverà in una posizione molto diversa da chi dovrà ricostruire tutto a posteriori.
