Oregon SB 1546: La Prima Legge sui Chatbot con Verità Reale
Se la tua azienda utilizza uno strumento alimentato da intelligenza artificiale che ricorda le interazioni con i clienti, pone domande di follow-up e sostiene conversazioni personali — anche se lo hai acquistato da un fornitore terzo — la nuova legge sulla sicurezza dei chatbot dell’Oregon potrebbe applicarsi a te. SB 1546, che ha superato entrambe le camere il 5 marzo con un sostegno quasi unanime, crea un diritto privato di azione con danni statutari di $1.000 per violazione. Se il governatore firma il disegno di legge, entrerà in vigore il 1° gennaio 2027.
Cosa Richiede l’Oregon SB 1546?
Il disegno di legge si rivolge ai “compagni AI”, che definisce in modo ampio: un sistema che utilizza intelligenza artificiale, intelligenza artificiale generativa o algoritmi che riconoscono l’emozione dall’input e che è progettato per simulare una relazione platonica, intima o romantica sostenuta con un utente.
Per tutti gli utenti, gli operatori devono divulgare la presenza dell’AI, rilevare espressioni di ideazione suicida, interrompere la conversazione per fornire riferimenti in caso di crisi e presentare rapporti annuali all’autorità sanitaria dell’Oregon. Per i minori, gli operatori devono anche fornire promemoria orari dell’AI, astenersi da contenuti sessualmente espliciti e evitare tecniche progettate per creare dipendenza emotiva.
La necessità di interrompere le conversazioni è unica per l’Oregon — a differenza della legge della California, che richiede protocolli di riferimento in caso di crisi ma non l’interruzione attiva. Questa distinzione è importante a livello di prodotto: l’interruzione richiede una classificazione dell’intento in tempo reale, un compito probabilistico con tassi intrinseci di falsi positivi e negativi. Le aziende dovranno confermare che la capacità di rilevamento del loro fornitore soddisfi questo standard e documentare l’allocazione della responsabilità contrattuale se non lo fa.
Questo si Applica alla Mia Azienda?
Un sistema è qualificabile come “compagno AI” se soddisfa un test in tre punti: (a) conserva informazioni delle interazioni precedenti o sessioni utente e dalle preferenze utente per personalizzare le interazioni e facilitare un coinvolgimento continuo; (b) pone domande non richieste o non sollecitate che non sono risposte dirette all’input dell’utente e che suggeriscono o riguardano argomenti emotivi; e (c) sostiene un dialogo continuo riguardante questioni personali per l’utente.
Le aziende più probabilmente colpite non sono i fornitori di AI — sono le imprese che hanno integrato strumenti AI nei flussi di lavoro rivolti ai clienti o ai dipendenti senza tenere traccia di come quegli strumenti si sono evoluti.
Esposizione al Contenzioso
Il diritto privato di azione stabilisce una soglia bassa per l’azione legale e un alto limite per i danni: una persona che subisce una perdita riconoscibile di denaro o proprietà o altro danno reale a causa di una violazione … può intentare un’azione … per danni di $1.000 per violazione. La legge non definisce “violazione”. Se ogni sessione di conversazione conta, l’esposizione è sostanziale. Se ogni messaggio all’interno di una sessione conta, la richiesta di un singolo utente potrebbe raggiungere decine di migliaia di dollari e un’azione collettiva potrebbe raggiungere decine di milioni.
Cosa Devono Fare le Aziende Ora?
Eseguire un audit del proprio portafoglio fornitori. Le aziende potrebbero voler mappare ogni strumento AI di terze parti in supporto clienti, coinvolgimento pazienti, HR e pianificazione finanziaria rispetto alla definizione in tre punti — in particolare strumenti che hanno aggiunto funzionalità di personalizzazione o coinvolgimento emotivo attraverso aggiornamenti recenti.
Rivedere i contratti con i fornitori. Gli accordi con i fornitori precedenti a SB 1546 quasi certamente non affrontano l’interruzione obbligatoria della conversazione o gli obblighi di riferimento in caso di crisi. Le aziende potrebbero voler confermare l’allocazione della responsabilità e la copertura di indennità per i fallimenti di rilevamento.
Controllare la propria assicurazione. Potrebbe valere la pena rivedere le polizze di responsabilità professionale tecnologica e cyber per confermare che le richieste di danni statutari legati ai chatbot e le lacune di indennità dei fornitori siano coperte.
L’Oregon è un indicatore di tendenze, non un’eccezione. Con 78 leggi sui chatbot in 27 stati nel 2026, una legislazione simile seguirà. Il diritto privato di azione è il cambiamento strutturale: quando qualsiasi utente può fare causa per danni statutari, l’economia della conformità si sposta da “monitorare e rispondere” a “prevenire o pagare”.
