NEWS

 

La responsabilità civile da intelligenza artificiale: un quadro sistematico dopo il fallimento della proposta europea

Il recente ritiro da parte della Commissione europea della proposta di direttiva sulla responsabilità civile per l’intelligenza artificiale ha segnato un passaggio emblematico nella regolazione giuridica delle nuove tecnologie.

Dopo un lungo iter, la proposta – che avrebbe dovuto affiancare l’AI Act nel delineare un quadro coerente di tutele in ambito extracontrattuale – è stata archiviata per assenza di un consenso politico tra gli Stati membri.

Tale rinuncia ha riportato al centro del dibattito la frammentarietà del sistema europeo in materia di responsabilità per danni da IA e la necessità di fare affidamento, almeno per ora, sugli strumenti normativi già disponibili, interpretati in chiave evolutiva.

L’avvento e la crescente pervasività dell’intelligenza artificiale nei settori più disparati della società e dell’economia sollecitano una profonda riflessione sul piano della responsabilità giuridica per i danni che possano derivare dall’impiego di tali tecnologie.

La complessità insita nei sistemi di IA – soprattutto in quelli capaci di apprendere e di evolvere in maniera autonoma – mette in crisi i tradizionali schemi civilistici di imputazione della responsabilità. Il giurista si trova così dinanzi alla necessità di ripensare, adattare e, in taluni casi, superare le categorie classiche della colpa, del nesso causale e della responsabilità per fatto illecito, per fornire una risposta coerente ed efficace alla domanda di tutela che proviene da cittadini, consumatori e operatori economici.

Nel panorama normativo attuale, il primo istituto che può essere richiamato in presenza di un danno causato da un sistema di intelligenza artificiale è quello della responsabilità extracontrattuale ex art. 2043 del codice civile. Tale norma, tuttavia, presuppone la dimostrazione del dolo o della colpa da parte dell’autore del fatto dannoso, nonché l’esistenza di un nesso causale tra condotta e danno. Applicata al contesto dell’IA, questa forma di responsabilità presenta notevoli criticità, soprattutto nei casi in cui il sistema agisce in maniera autonoma e la catena decisionale risulti opaca o indecifrabile. La vittima si trova così nell’impossibilità pratica di individuare e dimostrare un comportamento umano colposo, rendendo ineffettiva la tutela.

A tale limite può parzialmente sopperire l’art. 2050 c.c., che disciplina la responsabilità per l’esercizio di attività pericolose. In questo caso, la responsabilità sorge anche in assenza di colpa, purché si accerti il nesso causale tra l’attività svolta e il danno subito. L’operatore o gestore del sistema di IA deve quindi dimostrare di aver adottato tutte le misure idonee ad evitare il danno. Questa norma rappresenta un’opzione interpretativa preferibile nei casi in cui l’IA venga utilizzata in contesti intrinsecamente rischiosi – si pensi, ad esempio, ai veicoli autonomi, ai sistemi di supporto medico-diagnostico, o agli impieghi in ambito di sicurezza pubblica – pur necessitando, per una sua applicazione effettiva, di un chiarimento normativo o giurisprudenziale volto a qualificare espressamente l’uso dell’IA come attività pericolosa.

Ulteriore fonte di responsabilità può essere rinvenuta nell’art. 2051 c.c., relativo al danno cagionato da cose in custodia. In questo caso, è sufficiente che il danno derivi dalla “cosa” (che potrebbe essere intesa anche come dispositivo o infrastruttura che incorpora un sistema di IA) e che non sia stato determinato da caso fortuito. Anche qui, tuttavia, sorgono difficoltà definitorie e probatorie, legate alla natura immateriale e dinamica dell’IA, che non si presta agevolmente ad essere ricondotta alla nozione di “cosa” come comunemente intesa dal diritto civile.

In ambito contrattuale, la responsabilità deriva dall’inadempimento o dall’inesatto adempimento delle obbligazioni assunte tra le parti. Se un sistema di IA viene utilizzato per l’esecuzione di una prestazione contrattuale – ad esempio un software per la selezione automatica del personale o un chatbot per l’assistenza clienti – il fornitore o l’utilizzatore del sistema potrebbe rispondere dei danni derivanti da errori, malfunzionamenti o discriminazioni operate dal sistema. Tuttavia, tale tipo di responsabilità si limita ai soggetti legati da un rapporto contrattuale, escludendo i terzi danneggiati.

Un regime particolare è previsto dal Regolamento (UE) 2016/679 (GDPR), che all’art. 82 riconosce all’interessato il diritto al risarcimento per i danni materiali e immateriali subiti a causa di una violazione della normativa sulla protezione dei dati personali. Tale previsione si applica anche ai trattamenti effettuati da o mediante sistemi di intelligenza artificiale, purché sia dimostrata la violazione e il nesso causale con il danno. Il titolare del trattamento può esonerarsi dalla responsabilità solo dimostrando di non essere in alcun modo responsabile dell’evento lesivo.

Altra forma rilevante è la responsabilità da prodotto difettoso, disciplinata dalla Direttiva (UE) 2024/2853, che ha sostituito la storica Direttiva 85/374/CEE. Questa si applica anche ai prodotti digitali, compresi quelli dotati di componenti IA, e prevede che il produttore sia responsabile dei danni causati da difetti presenti al momento dell’immissione sul mercato. Anche in questo caso, tuttavia, sorgono difficoltà nei confronti di prodotti che evolvono nel tempo attraverso l’apprendimento automatico, poiché il difetto potrebbe emergere solo dopo la commercializzazione.

Un ulteriore strumento normativo è il Regolamento (UE) 2024/2847 sulla ciberresilienza, che impone obblighi di sicurezza per i prodotti con elementi digitali. Tuttavia, esso ha natura essenzialmente regolatoria e preventiva: sanziona il mancato rispetto degli obblighi di progettazione sicura, aggiornamento e gestione delle vulnerabilità, ma non contempla un meccanismo diretto di risarcimento a favore delle vittime, lasciando scoperti molti profili di responsabilità civile.

In conclusione, il quadro normativo attuale si presenta disomogeneo e parziale, incapace di fornire una risposta sistematica ai problemi posti dall’impiego dell’intelligenza artificiale. L’adozione di un modello di responsabilità oggettiva, rafforzato da presunzioni legali di imputabilità e integrato da strumenti assicurativi o fondi di garanzia, appare oggi la soluzione preferibile per garantire certezza giuridica, effettività della tutela e bilanciamento tra innovazione e diritti fondamentali.

Tuttavia, tale soluzione richiede un intervento normativo esplicito, sia a livello nazionale che europeo, volto a colmare il vuoto lasciato dal ritiro della proposta di direttiva sulla responsabilità da IA e a fornire un quadro coerente e armonizzato.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Articoli correlati

Prev La posizione della Corte UE su email marketing e protezione dati: la Direttiva ePrivacy prevale sul GDPR?
Next Privacy e trasparenza amministrativa: una sentenza della Corte UE cerca di conciliare i due diritti

Galleria Video

Il Presidente di Federprivacy a Settegiorni su Rai Uno

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza