La nuova direttiva sulla responsabilità da prodotto difettoso (la “Direttiva“), pubblicata in gazzetta ufficiale il 18 novembre 2024, si presta ad avere un grande impatto sulle aziende che prendono parte alla catena produttiva e di commercializzazione di sistemi di Intelligenza Artificiale (“IA“). Il punto chiave della Direttiva è la sua estensione ai software e ai sistemi di IA, con la conseguenza che i soggetti danneggiati potranno chiedere il ristoro per i danni subiti dal sistema di IA.
Dopo una lunga attesa la Direttiva è stata approvata dal Consiglio e pubblicata in gazzetta ufficiale il 18 novembre 2024. La Direttiva si applicherà ai prodotti messi in commercio dopo il 9 dicembre 2026.
Fino alla pubblicazione della Direttiva, non era chiaro se la versione originaria – datata 1985 – includesse nel suo ambito di applicazione i prodotti intangibili, ivi inclusi i software. Con il progressivo sviluppo della tecnologia e conseguentemente dei rischi ad essa connessa, la dottrina ha propeso per l’estensione in via interpretativa ai software della normativa in materia di danno da prodotto, sull’assunto che risulti ingiustificata una disparità di trattamento a seconda che il danno sia causato da un prodotto tangibile o intangibile. A livello giurisprudenziale, tuttavia, non vi è mai stata una presa di posizione netta, di conseguenza la situazione risultava ancora incerta.
La Direttiva mira a colmare tale lacuna, estendendo il regime anche ai software e garantendo così una elevata garanzia di tutela anche nelle ipotesi in cui il danno sia causato da un prodotto intangibile.
La direttiva sulla responsabilità da prodotto difettoso si applica all’intelligenza artificiale
La Direttiva prevede una responsabilità solidale tra una pluralità di soggetti che prendono parte alla catena produttiva del sistema di IA. In particolare, l’Articolo 8 della Direttiva prevede la responsabilità dei seguenti operatori economici:
- Il fabbricante di un prodotto difettoso, ossia:
- Chi sviluppa, produce o fabbrica un prodotto. Nel caso in cui il prodotto sia composto da più componenti, colui che ha proceduto all’assemblaggio finale. Questa ipotesi rileva nel caso in cui il sistema di intelligenza artificiale sia embedded in un prodotto fisico, determinando la responsabilità anche di chi assembla il prodotto, pur non sviluppando direttamente il sistema di intelligenza artificiale;
- Colui che, anche senza averlo realizzato, commercia un prodotto con il proprio nome o marchio. In un’ottica di integrazione con l’AI Act, tale soggetto sarebbe il provider del sistema di IA;
- Colui che sviluppa, produce o fabbrica un prodotto per uso proprio.
- Il fabbricante di un componente difettoso, se tale componente è stato integrato in un prodotto o interconnesso con un prodotto sotto il controllo del fabbricante. Anche tale ipotesi rileva nel caso in cui il sistema di IA sia embedded in un prodotto fisico, determinando la responsabilità anche dello sviluppatore del sistema di IA nel caso in cui quest’ultimo determinasse un malfunzionamento del prodotto fisico (e.g., il software che controlla il robot genera un malfunzionamento che porta la macchina a ferire un essere umano).
- Chiunque alteri significativamente il prodotto già immesso nel mercato. Anche tale previsione può essere letta con uno sguardo all’AI Act, con riferimento alla riqualificazione quale provider nel caso in cui un deployer alteri significativamente il sistema. In tal caso potrebbe dunque emergere la responsabilità di un utilizzatore che – attraverso attività di modifica e integrazione del software di IA – vada a mutarne il funzionamento.
- L’importatore del prodotto o componente difetto, ovvero il rappresentante autorizzato del fabbricante e, se non vi è un importatore stabilito nell’Unione o un rappresentante autorizzato, il fornitore di servizi di logistica.
Definizione di prodotto
L’Articolo 4 numero 1) della Direttiva ampia la definizione di prodotto, includendo ora espressamente – oltre ai beni mobili – anche l’elettricità, i file per la fabbricazione digitale, le materie prime e il software, ivi inclusa l’intelligenza artificiale.
L’unica esclusione è operata con riferimento ai software open source, a patto che lo stesso sia sviluppato o fornito nel corso di un’attività non commerciale.
Danno risarcibile
L’ Articolo 6 della Direttiva prevede la sola risarcibilità del danno relativo a:
- Morte o lesioni personali, compresi i danni psicologici riconosciuti da un punto di vista medico. Questa precisazione è rilevante in quanto apre alla possibilità che i danni psicologici che potrebbero essere causati da un chat bot o da algoritmi che propongono materiale lesivo per l’utente vengano risarciti.
- Danneggiamento o distruzione di qualsiasi bene.
- Distruzione o corruzione di dati non usati a fini professionali. Questo apre alla risarcibilità nel caso in cui il software causi un data breach sotto il profilo dell’integrità (ad esempio, danneggiando i dati) o della disponibilità (ad esempio, cancellando i dati). Ciò si applica solo però a patto che tali dati non siano usati a fini professionali.
Ai sensi dell’Articolo 5 della Direttiva, legittimato al risarcimento non è più il solo consumatore ma qualunque individuo che risulti danneggiato dal prodotto.
Definizione di prodotto difettoso
Ai sensi dell’articolo 7 della Direttiva un prodotto è considerato difettoso quando non offre la sicurezza che un consumatore può legittimamente attendersi. Tale nozione risulta di difficile discernimento in relazione ai sistemi di IA, la cui complessità e progressiva capacità di apprendimento grazie a tecniche avanzate di machine learning generano il problema del black box, tale per cui risulta difficile ricostruire il perché il sistema di IA abbia generato un determinato output.
In ogni caso, secondo l’Articolo 10 della Direttiva, si presume il carattere difettoso di un prodotto quando:
- L’attore dimostra che il prodotto non rispetta i requisiti obbligatori di sicurezza del prodotto stabiliti dal diritto dell’Unione o nazionale intesi a proteggere dal rischio del danno subito; o
- L’attore dimostra che il danno è stato causato da un malfunzionamento evidente.
Alla luce di tali presunzioni, giocherà un ruolo fondamentale la compliance con gli obblighi imposti dall’AI Act per determinare la difettosità di un prodotto. In questo modo, oltre alle sanzioni a cui le aziende sono esposte alla luce dell’AI Act, si aggiunge il rischio che l’eventuale non compliance possa fondare pretese di terzi al risarcimento del danno. Allo stesso tempo, l’adesione agli standard previste dalle normative di settore – anche in materia di cybersecurity – risulta il metodo più efficace per poter determinare più agevolmente la difettosità del prodotto.
Onere della Prova
La responsabilità prevista dalla Direttiva rimane una responsabilità oggettiva, che prescinde da una colpa in capo al danneggiante. In ogni caso, ex Articolo 9 della Direttiva chi reclama il danno deve comunque provare: (i) la difettosità del prodotto; (ii) il danno subito; e (iii) il nesso di causalità tra il difetto e il danno. La prova del difetto e del nesso di causalità si presenta particolarmente complessa sia per la elevata tecnicità dei sistemi di IA, le cui informazioni tecniche non sono a disposizioni del soggetto danneggiato, sia per il problema sopra esposto del black box.
Per questo motivo la Direttiva prevede uno strumento di divulgazione degli elementi di prova, secondo cui gli stati membri devono provvedere affinché, su richiesta di un soggetto che presenta fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento (una sorta di fumus bonis iuris), il convenuto sia tenuto a divulgare i pertinenti elementi di prova a sua disposizione. Nel caso di rifiuto alla divulgazione, si presume la difettosità del prodotto. Tale misura mira a garantire che al soggetto danneggiato siano messi a disposizione gli elementi per poter assolvere ai propri oneri probatori. La Direttiva, tuttavia, non si spinge fino a prevedere un’inversione dell’onere probatorio che avrebbe avuto un impatto significativo sulle aziende responsabili.
Esenzione da responsabilità
Infine, la Direttiva conserva e aggiunge alcune possibilità per il soggetto danneggiante di non incorrere in responsabilità. Tra quelle maggiormente rilevanti per i sistemi di IA, risulta:
- Probabilità che il difetto non esistesse al momento in cui è stato immesso sul mercato. Tuttavia, il comma 2 dell’Articolo 11 prevede che tale eccezione non operi nel caso in cui il danno sia derivante da un software che sia embedded in un dispositivo fisico che sia sotto il controllo del fabbricante (ad esempio nel caso di mancati aggiornamenti). Tale precisazione è fondamentale, anche alla luce della tematica del black box sopra esposta.
- Che il carattere difettoso è dovuto alla conformità del prodotto a requisiti giuridici.
- Che lo stato oggettivo delle conoscenze scientifiche al momento dell’immissione o durante il periodo in cui sia stato sotto il controllo del fabbricante non permetteva di scoprire l’esistenza del difetto. Anche tale eccezione può essere rilevante, nel caso in cui il sistema di IA generi un del tutto imprevedibile e la cui causa non sia in alcun modo riferibile ad errori, ad esempio, nel training o in altre fasi del processo di sviluppo
Nel caso di una persona che modifichi il prodotto, che il difetto che ha causato il danno riguarda una parte del prodotto non interessata dalla modifica. output
Conclusioni
La Direttiva estende sensibilmente le possibilità di ottenere il risarcimento del danno nel caso in cui un prodotto – ora inclusi anche i software di IA – causi un danno. Ciò costituisce una ulteriore norma che si aggiunge alla regolazione del mondo dell’Intelligenza Artificiale, in cui il coordinamento con le altre normative – in particolare modo l’AI Act – giocherà un ruolo fondamentale per determinare i casi di responsabilità
Su un argomento simile, può essere di interesse l’articolo: “La responsabilità di sviluppatori e produttori di software AI secondo la Direttiva sul risarcimento dei danni da prodotti difettosi“
