Dopo quasi quarant’anni dalla direttiva 85/374/CEE sulla responsabilità per danno da prodotti difettosi, il 12 marzo il Parlamento europeo approva la nuova direttiva col proposito di innovare la disciplina alla luce degli sviluppi legati alle nuove tecnologie, in primis l’Intelligenza Artificiale.
La Product Liability Directive (PLD), si inserisce infatti all’interno del pacchetto di misure europee volte a sostenere la promozione dell’Intelligenza Artificiale: se nell’AI Act è infatti possibile trovare norme che tentano di ridurre i rischi per la sicurezza e di proteggere i diritti fondamentali, la direttiva disciplinante la responsabilità in caso di danni costituisce l’altra faccia della medaglia, dal momento che sicurezza e responsabilità si applicano in momenti differenti e si rafforzano vicendevolmente. La direttiva, nell’ottica di sopperire alle necessità dettate dalla complessità tecnica e scientifica dei prodotti nell’era digitale, stabilisce un sistema semplificato in grado di fornire al danneggiato strumenti più idonei ad ottenere un risarcimento del danno causato da prodotti difettosi.
Il software come “prodotto” e lo sviluppatore come “fabbricante”
Tra i prodotti, la direttiva include i software – come i sistemi operativi, i firmware, i programmi per computer, le applicazioni ed i sistemi di AI – a prescindere dalla modalità con cui venga fornito o usato, e quindi indipendentemente dal fatto che sia integrato in un dispositivo, utilizzato tramite una rete di comunicazione o tecnologie cloud, oppure fornito attraverso un modello software-as-a-service. Una precisazione necessaria riguarda il fatto che le informazioni non possono essere considerate come prodotto e, di conseguenza, che le norme sulla responsabilità non si applicano al contenuto dei file digitali (quali, ad esempio, file multimediali, e-book o codici sorgente dei software). Dal perimetro di applicabilità della direttiva sono in ogni caso esclusi i software liberi e open source, in un’ottica di incoraggiamento della ricerca e dell’innovazione all’interno del mercato europeo e in ragione del fatto che questi, non sviluppati o forniti nel corso di un’attività commerciale, non vengono per definizione immessi sul mercato. Nel caso in cui, al contrario, il software sia fornito a titolo oneroso o i dati personali siano usati nel corso di un’attività commerciale, la direttiva troverà applicazione.
Data l’attitudine dei servizi digitali ad essere integrati all’interno di prodotti o ad essere interconnessi con questi, la responsabilità oggettiva si estende anche ai servizi correlati.
Si precisa poi che il produttore o lo sviluppatore di software, compreso il fornitore di sistemi di AI, vada considerato come fabbricante. Egli potrebbe essere responsabile anche degli aggiornamenti, delle migliorie o degli algoritmi di apprendimento automatico, considerato il fatto che tecnologie digitali quali l’AI consentono a produttori e sviluppatori di esercitare un controllo sui prodotti anche in un momento successivo rispetto alla loro immissione sul mercato o alla loro messa in servizio.
Il danno da perdita immateriale
Tra i motivi di risarcimento vengono incluse anche la distruzione o la corruzione di dati, debitamente distinte dalle fughe di dati o dalle violazioni alle norme in materia di protezione (non si preclude pertanto al soggetto di ottenere, qualora ne ricorrano gli estremi, un risarcimento del danno derivante dalla violazione del GDPR a latere di quello connesso a danni da prodotti difettosi). Tra le lesioni personali vengono ricompresi anche i danni psicologici riconosciuti e certificati dal punto di vista medico e le perdite immateriali quali dolori e sofferenze.
Il carattere difettoso del prodotto
La difettosità di un prodotto, ai sensi della direttiva, deve essere determinata sulla base di una moltitudine di fattori, quali la carenza del prodotto in base alla mancanza di sicurezza che il pubblico generale potrebbe legittimamente attendersi, tenendo conto dell’uso ragionevolmente prevedibile, della presentazione del prodotto, delle sue caratteristiche oggettive e delle sue proprietà. Per ciò che attiene all’AI, tenuto conto della capacità dei sistemi di continuare ad imparare ed acquisire nuove caratteristiche anche dopo l’immissione sul mercato o la messa in servizio, rileva anche l’effetto che sulla sicurezza ciò potrebbe comportare.
La semplificazione dell’onere della prova
Data la situazione di netto svantaggio in cui viene a trovarsi il danneggiato che chieda il risarcimento rispetto al fabbricante per ciò che concerne la possibilità di ottenere e comprendere le informazioni sulla modalità di fabbricazione e sul funzionamento dei prodotti, la direttiva prevede un alleggerimento dell’onere della prova a beneficio dell’attore. Nel provare il danno, il difetto del prodotto e il nesso di causalità tra difetto e danno, opera nel regime della direttiva una presunzione relativa per ridurre le difficoltà probatorie in capo all’attore. Il carattere difettoso dovrebbe essere presunto qualora il convenuto (che potrebbe essere lo sviluppatore del sistema di AI) non si conformasse all’obbligo di divulgazione delle pertinenti informazioni; in caso di malfunzionamento evidente durante un uso ragionevolmente prevedibile del prodotto; nel caso in cui all’attore risulti eccessivamente complicata la prova del carattere difettoso, soprattutto in considerazione della natura complessa della tecnologia impiegata (l’attore, a titolo esemplificativo, non sarebbe tenuto a spiegare il funzionamento interno di un sistema di AI). Questi sarebbe onerato di fornire argomentazioni per dimostrare l’esistenza delle eccessive difficoltà, ma non fino al punto da allegare elementi di prova al riguardo: ad esempio, non sarebbe tenuto a spiegare le caratteristiche del sistema di AI o il modo in cui le sue caratteristiche complicano la prova del nesso di causalità.
Il sostegno alla capacità innovativa delle microimprese
Un’attenzione particolare viene rivolta dalla direttiva alla capacità di innovazione propria delle microimprese e delle piccole imprese produttrici di software. Al fine di sostenere e non scoraggiare tale capacità, infatti, risulta possibile per tali soggetti concordare contrattualmente con i fabbricanti che integrino il loro software in un prodotto che i fabbricanti stessi non esercitino il proprio diritto di rivalsa, in caso di danno provocato da un componente difettoso. La ratio di tale previsione si rinviene nel fatto che il fabbricante del prodotto del suo complesso è, in ogni caso, responsabile di eventuali difetti del prodotto che riguardino i componenti.
La durata prolungata del periodo di responsabilità
Il progresso scientifico e tecnologico fa sì che i prodotti siano soggetti a cambiamenti sempre più repentini e sfuggenti; tuttavia, sarebbe irragionevole ritenere i fabbricanti responsabili dei difetti del prodotto per un periodo di tempo illimitato. La durata della responsabilità viene fissata a 10 anni dall’immissione del prodotto sul mercato, fatte salve le azioni giudiziarie pendenti che il danneggiato abbia intrapreso nei confronti del fabbricante. Tuttavia, per non negare la possibilità di un risarcimento per danni causati da un prodotto difettoso i cui effetti si manifestino in un periodo di tempo più lungo, il periodo di responsabilità viene esteso a 25 anni nei casi in cui le prove mediche indichino che i sintomi di lesioni personali si siano manifestati tardivamente.
Sul tema della normativa europea in materia di AI, potrebbe interessarvi: AI Act Finalizzato: Ecco Cosa E’ Stato Concordato
