Llm: memorizzano davvero i libri protetti da copyright?

Ecco cosa succede quando si affina un modello linguistico di grandi dimensioni (LLM): si risveglia una memoria dormiente, una sorta di “Whack-a-Mole” dell’allineamento. Le promesse di sicurezza delle aziende Frontier LLM si scontrano con la dura realtà: i modelli, una volta addestrati, possono rigurgitare fino al 90% di libri protetti da copyright.

## La Memoria Parametrica e il Diritto d’Autore
Le aziende Frontier LLM hanno ripetutamente assicurato tribunali e autorità di regolamentazione che i loro modelli non memorizzano copie dei dati di addestramento. Si affidano a strategie di allineamento della sicurezza tramite RLHF, prompt di sistema e filtri di output per bloccare la ripetizione letterale di opere protette da copyright, e hanno citato l’efficacia di queste misure nelle loro difese legali contro le rivendicazioni di violazione del copyright.

Ma cosa succede quando si introduce un po’ di “fine-tuning”? Si scopre che questa pratica aggira le protezioni. Addestrando i modelli a espandere riassunti di trama in testo completo, un compito adatto agli assistenti di scrittura commerciali, si induce GPT-4o, Gemini-2.5-Pro e DeepSeek-V3.1 a riprodurre fino all’*85-90% di libri protetti da copyright, con singoli intervalli letterali che superano le 460 parole, utilizzando solo descrizioni semantiche come prompt e nessun testo effettivo del libro.
Questa estrazione si generalizza tra gli autori: l’affinamento esclusivamente sui romanzi di Haruki Murakami sblocca il richiamo letterale di libri protetti da copyright di oltre 30 autori non correlati. L’effetto non è specifico per nessun autore o corpus di addestramento: coppie di autori casuali e dati di affinamento di pubblico dominio producono un’estrazione comparabile, mentre l’affinamento su testo sintetico produce un’estrazione quasi nulla, indicando che l’affinamento sulle opere di singoli autori riattiva la memorizzazione latente dal pre-addestramento. Tre modelli di diversi fornitori memorizzano gli stessi libri nelle stesse regioni (r >= 0.90), indicando una vulnerabilità a livello di settore.

## L’Estrazione Verbatim e le Implicazioni Legali

La questione se questi modelli memorizzino e possano riprodurre libri protetti da copyright è emersa come la questione centrale nell’analisi del fair use, poiché la prova della memorizzazione potrebbe minare le affermazioni di uso trasformativo e dimostrare un danno al mercato ai sensi del Fair Use Factor 4. I convenuti negano con forza questo. Nel 2023, OpenAI ha affermato all’Ufficio del Copyright degli Stati Uniti che “i modelli non memorizzano copie delle informazioni che apprendono. Invece, i modelli sono costituiti da grandi stringhe di numeri (chiamati “pesi” o “parametri”), che il codice software interpreta ed esegue”. Allo stesso modo, Google ha affermato che “…non esiste alcuna copia dei dati di addestramento, siano essi testo, immagini o altri formati, presente nel modello stesso”.

Tuttavia, lavori recenti hanno dimostrato che i libri protetti da copyright possono essere estratti, in forma parziale o completa, sia da modelli a peso aperto che da modelli chiusi. Precedenti lavori sull’estrazione di contenuti memorizzati si sono basati sulla fornitura al modello di testo effettivo del libro di destinazione come prefisso, o tramite il jailbreaking combinato con prompt di continuazione iterativa. Le società di AI generativa impiegano molteplici salvaguardie per prevenire output illeciti: filtri di input, allineamento tramite RLHF, prompt di sistema che istruiscono i modelli a non imitare gli stili degli artisti viventi e filtri di output che bloccano i contenuti protetti da copyright.
Tuttavia, nessuna di queste tecniche è infallibile. È stato dimostrato che l’affinamento compromette l’allineamento della sicurezza con un minimo di 10 esempi avversari, anche con dati benigni. È stato dimostrato che l’affinamento su un compito ristretto (generazione di codice non sicuro) produce un disallineamento ampio in domini non correlati. È stato fornito un elemento di prova centrale per le rivendicazioni di danno al mercato nelle cause legali in corso, dimostrando come l’affinamento sui libri degli autori produca output non letterali di alta qualità nei loro stili distintivi.

Questi risultati, combinati con la comprovata capacità dell’affinamento di compromettere l’allineamento della sicurezza, suggeriscono che l’affinamento può allo stesso modo minare le salvaguardie del copyright amplificando la memorizzazione.

## La Vulnerabilità Sistemica e le Associazioni Semantiche
I modelli organizzano il contenuto memorizzato come una struttura semantica associativa e l’affinamento la sfrutta: i modelli affinati generano frequentemente contenuto letterale da estratti diversi da quello per cui è stato richiesto, innescato dalla somiglianza semantica tra il prompt e l’estratto recuperato. In Midnight’s Children di Salman Rushdie, un singolo estratto viene innescato da 23 diversi prompt provenienti da tutto il libro. Ciò suggerisce che i modelli memorizzano il contenuto memorizzato come associazioni semanticamente collegate in cui chiavi come l’identità dell’autore, le descrizioni della trama, mappano il testo letterale memorizzato, piuttosto che frammenti isolati. L’affinamento sblocca questo percorso di recupero e, poiché tutti i libri condividono lo stesso schema associativo, ciò è anche coerente con i risultati tra autori, in cui l’affinamento sul lavoro di un autore fa emergere il contenuto memorizzato di autori completamente non correlati.

A differenza dei precedenti metodi di estrazione che forniscono il testo effettivo del libro come prefisso, questo approccio utilizza solo descrizioni semantiche e il modello riproduce il testo letterale interamente dalla sua memoria parametrica. I modelli potrebbero essere addestrati su libri effettivi, non solo estratti di libri esposti sul web: sebbene sia quasi impossibile tracciare accuratamente la provenienza del contenuto memorizzato senza accedere ai rispettivi dati di addestramento per ciascun modello, si cercano intervalli estratti rispetto a due corpora di pre-addestramento su larga scala derivati da Common Crawl: DCLM-Baseline (3.71T token), un corpus web curato utilizzato per addestrare OLMo-2, e un corpus Common Crawl da 4.51T token utilizzato per addestrare OLMo-3.
Sotto la corrispondenza esatta (che richiede maiuscole e punteggiatura identiche), circa il 61% degli intervalli estratti e il 90% degli intervalli più lunghi di 150 parole non possono essere trovati nel corpus web. Tuttavia, quasi tutti i libri di prova appaiono in Books3 o Library Genesis (LibGen), due ben note raccolte di libri piratati implicati in contenziosi in corso. Ciò fornisce una forte prova circostanziale che è improbabile che la memorizzazione osservata nei modelli di frontiera provenga esclusivamente da contenuti incontrati incidentalmente attraverso il web crawling.

Nonostante le diverse architetture, procedure di addestramento e fornitori, i tre modelli testati mostrano schemi di memorizzazione sorprendentemente simili, estendendo la convergenza tra modelli documentata da Cooper et al. (2025) su modelli a peso aperto a sistemi di produzione chiusi. I tassi di estrazione per libro sono fortemente correlati (Pearson r >= 0.90), e la sovrapposizione a livello di parola tra le regioni memorizzate dei modelli raggiunge il 90-97% del tetto di auto-accordo di ciascun modello. Questa convergenza indica che la memorizzazione è guidata principalmente da dati di addestramento condivisi piuttosto che da fattori specifici del modello, suggerendo che la vulnerabilità è sistemica in tutto il settore.

## Verso una Nuova Era di Responsabilità
I risultati dimostrano che i modelli di frontiera memorizzano copie di libri in un formato compresso all’interno dei loro pesi e l’allineamento della sicurezza, come attualmente implementato, non impedisce la ripetizione di contenuti protetti da copyright.
In definitiva, la questione del fair use si complica ulteriormente. I tribunali statunitensi si basano su questo principio, ma in Europa la situazione è diversa. La riproducibilità di testi protetti mette in discussione le fondamenta stesse delle assicurazioni fornite dalle aziende Frontier LLM.

L’automazione in questo contesto non è solo una questione di efficienza, ma di responsabilità. La scalabilità produttiva dei modelli linguistici deve confrontarsi con i limiti imposti dal diritto d’autore. La trasformazione digitale* non può ignorare le implicazioni legali e etiche della memorizzazione e riproduzione di opere protette.

Un concetto base di automazione, scalabilità produttiva e trasformazione digitale applicabile a questo tema è la necessità di implementare sistemi di controllo e verifica dei dati di addestramento dei modelli linguistici. Questo implica l’utilizzo di tecniche avanzate di data mining e analisi semantica per identificare e rimuovere contenuti protetti da copyright, garantendo che i modelli non memorizzino e riproducano opere protette.

Un concetto avanzato è l’utilizzo di tecniche di apprendimento federato e differenziale per addestrare i modelli linguistici su dati distribuiti e anonimizzati, senza la necessità di centralizzare e memorizzare i dati di addestramento. Questo approccio consente di preservare la privacy dei dati e ridurre il rischio di violazioni del copyright.

È necessario riflettere sul ruolo che la tecnologia deve avere nella società. L’innovazione non può avvenire a scapito dei diritti d’autore e della creatività umana. È fondamentale trovare un equilibrio tra progresso tecnologico e rispetto delle leggi e dei principi etici.