GitHub Addestrerà Copilot sul Tuo Codice: Hai Tempo Fino al 24 Aprile per Dire No
Hai presente quando accetti i Terms of Service senza leggerli? Sì, lo facciamo tutti. Ma questa volta conviene fare un’eccezione, perché GitHub ha appena cambiato le regole del gioco — e se non fai niente entro il 24 aprile, il tuo codice diventa materiale di addestramento per Copilot.
Non il tuo repository in blocco, no. Qualcosa di più subdolo.
Cosa Sta Succedendo, in Parole Semplici
A partire dal 24 aprile 2026, GitHub inizierà a raccogliere i dati generati durante le interazioni con Copilot per addestrare i propri modelli di intelligenza artificiale. Se sei un utente Free, Pro o Pro+ e non fai nulla, sei dentro. Automaticamente. Senza che nessuno ti chieda il permesso.
Non stiamo parlando di un download massivo dei tuoi repository privati. Stiamo parlando di qualcosa di più sottile: ogni volta che usi Copilot, GitHub raccoglierà gli input che invii, gli output che accetti o modifichi, il contesto del codice circostante il cursore, i commenti, i nomi dei file e la struttura del tuo repository.
In pratica, ogni sessione di lavoro con Copilot diventa una lezione per il modello. E tu sei l’insegnante non pagato.
Gli utenti Business ed Enterprise sono esclusi. Ovviamente. Perché chi paga di più ottiene il privilegio di non essere munto.
Il Problema dell’Opt-Out
E qui arriva il bello. O il brutto, dipende da come la vedi.
Il meccanismo scelto da GitHub è l’opt-out. Non ti chiedono “vuoi partecipare?”. Ti dicono “stai già partecipando, se vuoi uscire arrangiati”.
È come se il tuo supermercato ti mandasse una mail dicendo: “Da domani usiamo le tue abitudini di acquisto per fare pubblicità mirata. Se non ti va, vai in fondo al corridoio 7, gira a sinistra, trova la porta nascosta dietro lo scaffale dei detersivi, e compila il modulo. Hai 30 giorni.”
In Europa, questo approccio ha un nome tecnico: violazione del GDPR. Il regolamento europeo richiede consenso esplicito e informato. L’opt-out, per definizione, non è consenso. È inerzia. È sperare che la gente non legga le mail.
Per fare l’opt-out, vai su github.com/settings/copilot/features e disabilita l’opzione che consente a GitHub di utilizzare i tuoi dati per l’addestramento. Servono 30 secondi. Ma quanti dei 100 milioni di sviluppatori su GitHub lo faranno?
Il Paradosso del Repository Privato
C’è un dettaglio che fa venire i brividi a chi lavora su codice proprietario. Se anche un solo collaboratore del tuo progetto usa Copilot sul tuo repository privato, il codice che vede Copilot durante quella sessione può finire nel dataset di addestramento.
Rileggi. Non importa che tu abbia fatto opt-out. Se il tuo collega non l’ha fatto, il tuo codice è comunque esposto.
E non è solo questione di codice. I commit contengono metadati: nomi, email, timestamp. I commenti nel codice possono contenere riferimenti a infrastrutture interne, chiavi API dimenticate, nomi di clienti. GitHub dice di non raccogliere dati “inattivi”, ma la definizione di cosa sia “inattivo” è — come dire — flessibile.
La Community Reagisce (Male)
Su Hacker News la discussione è esplosa. E il sentimento dominante non è delusione — è rabbia.
C’è chi sta migrando centinaia di repository verso alternative self-hosted come Forgejo e Gitea. Chi propone di avvelenare intenzionalmente i dataset caricando codice difettoso. Chi semplicemente cancella il proprio account.
La frattura di fiducia è reale. E non è la prima volta. Microsoft ha una lunga storia di promesse infrante quando si tratta di dati degli utenti. L’acquisizione di GitHub nel 2018 era stata accompagnata da rassicurazioni sulla indipendenza della piattaforma. Otto anni dopo, eccoci qui.
La Questione delle Licenze
Questo è il punto che fa davvero male a chi scrive codice open source con licenze restrittive.
Se il tuo progetto è sotto GPL, il codice derivato deve mantenere la stessa licenza. Ma un modello di AI addestrato su codice GPL produce output che è “derivato”? La risposta legale è: nessuno lo sa ancora. Non esistono precedenti giurisprudenziali chiari. E nel frattempo, GitHub addestra.
Se il tuo progetto è sotto licenza MIT o Apache, il discorso è diverso ma non meno problematico. Queste licenze permettono l’uso del codice, sì — ma prevedono l’attribuzione. Quando Copilot suggerisce una funzione che è sostanzialmente una copia del tuo codice, chi viene attribuito? Nessuno.
Cosa Puoi Fare, Concretamente
Se la cosa ti preoccupa, ecco le azioni da intraprendere prima del 24 aprile:
1. Disabilita il training sui tuoi dati. Vai su github.com/settings/copilot/features e disattiva l’opzione relativa all’addestramento.
2. Controlla i tuoi collaboratori. Se lavori su repository privati con altri sviluppatori, assicurati che anche loro facciano opt-out. Basta un anello debole.
3. Valuta alternative. Se la questione è di principio, considera piattaforme come GitLab, Forgejo, Gitea o soluzioni self-hosted. La migrazione non è indolore, ma è fattibile.
4. Rivedi le licenze. Se il tuo codice è open source, valuta se aggiungere clausole esplicite sull’uso per addestramento AI. Alcune licenze nuove, come la AI2 Impact License, affrontano specificamente questo tema.
Il Quadro Più Grande
La verità è che questa mossa di GitHub non è isolata. È parte di una tendenza più ampia in cui le piattaforme che ospitano contenuti generati dagli utenti iniziano a monetizzarli attraverso l’AI.
Reddit ha venduto i suoi dati a Google per 60 milioni di dollari. Stack Overflow ha fatto accordi simili. Ora GitHub fa lo stesso, ma con una differenza cruciale: il codice sorgente non è un commento su Reddit. È proprietà intellettuale. È il prodotto del lavoro di milioni di persone.
Il pattern è sempre lo stesso. Una piattaforma cresce grazie ai contenuti degli utenti, diventa dominante, e poi cambia le regole per monetizzare quei contenuti. Reddit ha venduto i dati della sua community a Google per 60 milioni di dollari. Stack Overflow ha fatto lo stesso. Ora tocca a GitHub.
Ma c’è una differenza fondamentale: il codice sorgente non è un commento su Reddit. È proprietà intellettuale. È il prodotto di ore, mesi, anni di lavoro. E il meccanismo dell’opt-out — cioè “sei dentro a meno che non ti accorgi di dover uscire” — non è consenso. È inerzia sfruttata a proprio vantaggio.
Se GitHub vuole usare i dati di interazione per migliorare Copilot, può farlo. Ma dovrebbe chiedere, non presumere. Dovrebbe essere opt-in, non opt-out. E dovrebbe ricordarsi che senza quei 100 milioni di sviluppatori che scrivono codice ogni giorno sulla sua piattaforma, Copilot non avrebbe niente su cui addestrarsi.
Il 24 aprile è tra meno di un mese. Vai nelle impostazioni e decidi tu cosa fare del tuo codice — prima che qualcun altro decida per te.