La commissione UE disegna il nuovo quadro per la responsabilità civile nei sistemi di intelligenza artificiale

In data 28 settembre la Commissione UE ha adottato due Proposte di Direttive finalizzate a disciplinare il tema della responsabilità civile alla luce della nuova era digitale, nonché dell'economia circolare e della catena globale del valore.

La prima proposta di direttiva riguarda la responsabilità per danno da prodotti difettosi (COM(2022) 495 - Proposal for a directive of the European Parliament and of the Council on liability for defective products): la futura direttiva andrà a sostituire la oggi vigente Dir. 85/374/CEE (di identico oggetto) considerata non più idonea a dare efficaci risposte alla mutata realtà economica e tecnologica. La proposta, mantenendo la stessa architettura giuridica della Dir 85/374 circa il regime di responsabilità oggettiva nel caso in cui un prodotto sia considerato “difettoso”, aggiorna le regole esistenti e soprattuto allarga i prodotti che saranno “coperti” dalla stessa futura direttiva: tra questi i software (in generale) ed altresì i software di Intelligenza Artificiale (AI).

La seconda proposta di direttiva riguarda invece, nello specifico, la responsabilità civile in materia di Intelligenza Artificiale (COM(2022) 496 final Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence): più esattamente la proposta, fondata invece sul principio della colpevolezza, si pone l'obiettivo di dettare regole per le ipotesi in cui un software di AI, pur non essendo considerato “difettoso”, possa creare un danno in capo all'utilizzatore o a terzi.

La direttiva poi non detta norme sostanziali per la AI (rinviando in toto ai contenuti della Proposta di Regolamento UE sulle regole di armonizzazione della AI, oggi ancora in discussione) ma solo regole di natura processuale che mirano ad alleggerire e facilitare la posizione processuale della parte danneggiata: vengonon nello specifico introdotti gli istituti della “divulgazione” e delle “presunzioni relative”.

Si tratta quindi di due atti tra loro complementari e che mirano ad introdurre un nuovo sistema generale di responsabilità civile, con il fine di promuovere la fiducia nell'IA e nelle altre tecnologie digitali.

Nel presente articolo verranno analizzate le due proposte evidenziando in particolare gli aspetti collegati alla responsabilità in materia di Intelligenza artificiale, rinviando poi ad ulteriore approfondimento per quanto attiene ai riflessi nel settore della responsabilità sanitaria.

La proposta di direttiva, che disegna un nuovo quadro normativo sulla responsabilità da prodotto difettoso, introduce novità di natura sia sostanziale che processuale.

Vediamoli in sintesi.

Quali prodotti sono coperti dalla proposta di direttiva?

L'art. 4 lett. 1) stabilisce che nella nozione di prodotto rientra: “ogni bene mobile, anche se integrato in un altro bene mobile o in un bene immobile” precisando che: “Per prodotto si intendono anche l'elettricità, i file per la fabbricazione digitale e il software” .

Non vi dubbio quindi che tutti i software – anche quelli che operano utilizzando sistemi informatici qualificati come Intelligenza Artificiale - rientrano sotto l'ambito di applicazione della futura Direttiva.

Il richiamo ai “file per la fabbricazione digitale” comporta l'applicazione delle direttiva anche ai prodotti di stamoa 3D.

Quando un prodotto sarà considerato difettoso?

L'art. 6 della proposta stabilisce che un prodotto è difettoso quando “non offre la sicurezza che il grande pubblico può legittimamente attendersi”.

Per fare questa valutazione occorre tener conto di alcune circostanze specifiche tra cui:

• lo scopo per cui è previsto l'utilizzo del prodotto;
• le caratteristiche oggettive e le proprietà del prodotto in questione e
• i requisiti specifici del gruppo di utilizzatori cui è destinato il prodotto.

La stessa norma elenca poi una serie di ulteriori fattori che devono essere tenuti in considerazione per detereminare la “difettosità”, che appaiono particolarmente rilevanti nei mondo dei sofwtare:

• "l'effetto sul prodotto di qualsiasi capacità di continuare ad apprendere dopo la distribuzione" – ponendo quindi il focus sulla responsabilità collegata ai sistemi di machine learning e deep learning;
• "l'effetto sul prodotto di altri prodotti che ci si può ragionevolmente aspettare che vengano utilizzati insieme al prodotto" – allargando in questo modo la nozione di difettosità alle ipotesi di aspetti di interconnesssione con altri prodotti digitali;
• "il momento in cui il prodotto ha lasciato il controllo del fabbricante" – anche in questo caso si allarga la nozione di difettosità alle ipotesi in cui il fabbricante continui ad esercitare un controllo sul software (come ad esempio nel caso di upgrade o manutenzione);
• "requisiti di sicurezza del prodotto, compresi i requisiti di sicurezza informatica rilevanti per la sicurezza" - ciò implica che un prodotto potrà essere ritenuto difettoso se presenta vulnerabilità sotto il profilo della cybersecurity.

Chi sarà chiamato a rispondere?

Anche in relazione ai possibile soggetti cui può essere imputabile la responsabilità, la proposta di Direttiva allarga la platea.

Nei casi di difettosità, la responsabilità oggettiva (quindi senza accertamento sulla colpa) potrà essere addebitata (art. 7 della proposta) a

• il fabbricante di un prodotto finito;
• l'importatore o il rappresentante autorizzato, nel caso in cui il fabbricante sia extra UE;
• il fornitore di servizi di logistica nell'ipotesi in cui né importatore né rappresentante autorizzato siano stabiliti nella UE. Più esattamente il fornitore di logistica è colui che non è proprietario ma svolge almeno due dei seguenti servizi: immagazzinamento, imballaggio, indirizzamento e spedizione di un prodotto; tale nozione comprende anche i fornitori di piattaforme on line di cui all'art. 6 par. 3 del recentissimo Reg. Ue 2022/2065 sui servizi del mercato digitale;
• il distributore nelle ipotesi in cui l'attore chiede a tale distributore di identificare l'operatore economico o la persona che ha fornito il prodotto al distributore e il distributore ometta di fornire tale informazioni entro un mese dal ricevimento della richiesta.

Esistono delle esenzioni della responsabilità oggettiva?

Le esenzioni dalla responsabilità per gli operatori economici ai sensi dell'art. 10 della proposta di direttiva rimangono sostanzialmente simili a quelle previste per i produttori della Dir. 85/374/CEE.

In relazione al software si stabiliscono però alcune regole speciali.

Più esattamente ove il soggetto ritenuto responsabile voglia sostenere che la difettosità del software non esisteva al momento dell'immissione sul mercato del prodotto, tale esenzione non potrà essere attivata in presenza di due requisiti: il software sia rimasto sotto il controllo del fabbricante ed il carattere difettoso sia dovuto a uno dei seguenti elementi:

a) un servizio correlato al software stesso;

b) i relativi upgrade o migliorie del software;

c) la mancanza di upgrade o migliorie necessari per mantenere il software in sicurezza.

Chi ha l'onere della prova ?

L'onere della prova resta a carico dell'attore (ossia del danneggiato), chiamato a «provare la difettosità del prodotto, il danno subito e il nesso di causalità tra difetto e danno» (art. 9)

Tuttavia, riconoscendo le difficoltà di raccogliere prove in relazione a prodotti tecnicamente sempre più complessi, la proposta di direttiva cerca di alleviare l'onere del ricorrente introducendo alcune presunzioni (ovviamente confutabili).

Più esattamente:

Circa la difettosità del prodotto la stessa sarà presunta ove:

• Il convenuto non abbia rispettato l'« obbligo di rivelare prove rilevanti a sua disposizione » (si veda meglio sotto);
• l'attore provi che « il prodotto non è conforme ai pertinenti requisiti obbligatori di sicurezza stabiliti dal diritto dell'Unione o dal diritto nazionale» finalizzati a proteggere dal danno in questione;
• l'attore provi che « il danno è stato causato da un evidente malfunzionamento del prodotto durante il normale utilizzo o in circostanze ordinarie».

Circa il nesso di causalità tra la difettosità del prodotto ed il danno, lo stesso sarà presunto «qualora sia accertato che il prodotto è difettoso e il danno cagionato è di natura tipicamente compatibile con il difetto in questione».

Sempre la stessa norme introduce poi ulteriori previsioni (sempre finalizzate ad agevolare la posizioni processuale dell'attore) che – a parer di chi scrive – potranno presentere enormi problemi interpretativi ed applicativi.

L'art. 9 comma 4 prevede infatti qualora l'organo giurisdizionale nazionale rilevi che l'attore incontra difficoltà “eccessive” nella prova del difetto o del nesso di causalità (in ragione della complessità tecnica o scientifica), tali elementi si potranno dare per “presunti” ove

a) il prodotto ha contribuito a cagionare il danno;

b) la difettosità sia probabile, oppure che il carattere difettoso dello prodotto sia una causa probabile del danno, o entrambi tali elementi.

Ovviamente il convenuto si potrà opporre a tali presunzioni.

Cosa sono gli obblighi di divulgazione?

Sempre sotto il profilo processuale, la proposta di direttiva introduce ulteriori strumenti per facilitare l'accesso dell'attore alle prove da utilizzare nel procedimento di richiesta danni: l'art. 8 autorizza infatti i tribunali ad ordinare al convenuto la divulgazione di pertinenti elementi di prova a sua disposizione, ove ne faccia richiesta un “danneggiato che chiede il risarcimento del danno causato da un prodotto difettoso ("l'attore") sulla base di fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento”.

Qualsiasi divulgazione dovrà ovviamente essere limitata a quanto necessario e proporzionata all'affermazione.

Quali danni sono coperti?

L'art. 4 punti 6 della proposta di direttiva allarga anche la nozione di “danno” che può essere risarcito.

Circa le persone fisiche potrenno essere risarciti, oltre alla morte o lesioni, anche il “danno alla salute psicologica riconosciuto dal punto di vista medico”.

Circa i beni potrà essere risarcito qualsiasi danneggiamento o distruzione di bene (salve le ipotesi in cui danneggiamento e distruzione riguardino il prodotto difettoso, un componente dello stesso oppure si tratti di beni utilizzati esclusivamente per scopi professionali).

Infine, la proposta introduce anche la risarcibilità del danno derivante da "perdita o danneggiamento di dati che non sono utilizzati esclusivamente per scopi professionali" (la Commissione suggerisce come esempio i contenuti cancellati da un disco rigido).

Quali sono i limiti al risarcimento?

La proposta di direttiva elimina la precedente soglia di € 500 e impedisce che venga imposto un limite massimo all'indennizzo spettante ai ricorrenti.

Relativamente alla prescrizione, il termine di 3 anni per l'avvio del procedimento rimane invariato.

Gli operatori economici restano responsabili (salvo eccezioni) dei prodotti difettosi per un periodo di 10 anni a decorrere dalla data in cui il prodotto è stato immesso sul mercato, messo in servizio o sostanzialmente modificato.

Se un ricorrente è in ritardo nell'avvio del procedimento perché i sintomi di lesioni personali tardano a manifestarsi (ad esempio a causa dell'ingestione di un prodotto alimentare difettoso), si applica un periodo di prescrizione più lungo di 15 anni.

La seconda proposta (COM(2022) 496 final Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence) detta regole relative ai profili di responsabilità soggettiva nello specifico settore dell'Intelligenza Artificiale.

Come già anticipato, la Proposta di Direttiva è strettamente collegata con la Proposta di Regolamento sulle regole di armonizzazone della AI (COM(2021) 206 Proposal for a regulation laying down Harmonized rules on artificial intelligence ).

Più esattamente quest'ultima mira ad introdurre norme armonizzate per la realizzazione e commercilaizzazione di software di AI, mentre le direttiva si occupa di introdurre specifiche regole di responsabilità.

Per cogliere allora la portata della proposta di direttiva sulla responsabilità civile collegata ai sistemi AI, occorre partire dal framework della proposta di regolamento sulla AI per poi analizzare le connessioni tra le due discipline.

In altre parole: occorre partire dalle (future) regole per i software di AI, per poi arrivare alle (future) regole del risarcimento nel caso in cui tali software creino un danno in capo al paziente.

La proposta di regolamento sulla AI

La proposta di Regolamento sull'Intelligenza artificiale (presentata in aprile 2021) è il primo esempio a livello mondiale di disciplina unitaria sull'AI.

Riprendendo la struttura giuridica dei Regolamenti del New Legislative Approach, la proposta si basa interamente su un sistema di risk approach misurato in base a requisiti legislativi obbligatori,nonché sulla implementazione di un sistema di gestione del rischio suddetto (art. 9).

La proposta prevede quindi (molto in sintesi):

• i requisiti che devono essere rispettati dai sistemi di AI ad Alto Rischio (art. 8-14),
• gli obblighi in capo al Provider (fornitore in italiano) (art. 16-24),
• gli obblighi in capo al Rappresentante autorizzato (art. 25),
• gli obblighi in capo all'Importatore (art. 26)
• gli obblighi relativi al Distributore (art. 27)
• gli obblighi afferenti all'Utilizzatore professionale (art. 29)

Viene poi disciplinato il sistema di accreditamento e funzionamento degli Organismi notificati (art. 30 all'art. 39), le norme armonizzate (art. 40) e le specifiche comuni (art. 41), nonché in maniera dettagliata i requisiti che dovrà avere il Certificato CE che sarà rilasciato dagli Organismi Notificati dopo aver verificato la sussistenza dei requisiti (art. 44).

L'art. 48 prevede l'apposizione della marcatura Ce sul sistema di AI, con relativa registrazione in specifica Banca dati comunitaria (art. 51 e 60) prima dell'immissione in commercio o messa in servizio cui segue uno strutturato sistema di sorveglianza post commercializzazione e vigilanza sul mercato.

La proposta di direttiva per la responsabilità civile dei sistemi di AI

Partendo dal quadro giuridico sopra delineato, la proposta di direttiva per la responsabilità civile ha come scopo quello di stabilire regole uniformi per il risarcimento dei danni causati da sistemi di IA, definendo in questo modo una protezione più ampia per le vittime (siano esse individui o imprese) ed una maggiore chiarezza circa le diverse responsabilità degli attori.

Più esattamente

a) si introduce una presunzione di colpevolezza nel caso in cui siano state violate le norme di progettazione e realizzazione del sistema stabilite nella Proposta di Regolamento AI sopra sintetizzato;

b) si introducono istituto giuridici che facilitano l'accesso alle prove nel corso del processo:

Vediamo in maniera più approfondita i due punti:

Presunzione di colpevolezza

Analogamente a quanto visto sopra relativamente alla Proposta di Direttiva sulla responsabilità da prodotto difettoso, viene introdotta una presunzione di colpevolezza in capo al fornitore quando sono dimostrate TUTTE le seguenti tre condizioni (art. 4 della proposta di direttiva)

• vi è la violazione di un obbligo di diligenza previsto dal diritto dell'Unione o nazionale direttamente destinato a proteggere dal danno verificatosi; più esattamente vengono violate le previsioni di cui agli art. 9-16 della Proposta di Regolamento AI;
• può essere ritenuto ragionevolmente probabile che il guasto abbia influenzato l'output prodotto dal sistema di IA oppure il sistema di AI non abbia prodotto alcun output;
• il ricorrente abbia dimostrato che l'output prodotto dal sistema di AI (o la mancata produzione dell'output) abbia causato il danno.

Relativamente al punto 1 si stabilisce poi che fanno scattare la presunzione di colpevolezza le seguenti violazioni della Proposta di Regolamento AI:

• il sistema di IA non risulta sviluppato sulla base di dati di addestramento, convalida e test che soddisfano i criteri di qualità di cui all' art. 10, par da 2 a 4, del reg. sull'IA – nello specifico tale articolo stabilisce il livello di “qualità dei dati” che vengono utilizzati per l'addestramento dei software e la governance degli stessi;

• il sistema di IA non risulta progettato e sviluppato in modo da soddisfare i requisiti di trasparenza previsti dall'art. art. 13 del Reg. sull'IA – questo obbligo incrocia l'art. 13 del GDPR nonché l'Allegato I punto 23 del regolamento sui dispositivi Medici MDR) come precisato nella linea Guida MDCG 2019-16 Guidance on Cybersecurity for medical devices (in particolare quest'ultima spiega in maniera precisa quali sono le informazioni che devono essere comunicate agli operatori professionali ed ai pazienti);

• il sistema di IA non risulta progettato e sviluppato in modo da consentire una efficace supervisione da parte di persone fisiche durante il periodo in cui il sistema di IA è in uso ai sensi dell'art. 14 del reg. Ue AI – qui si valorizza l'importanza della previsione a livello progettuale ed operativo dell'intervento dell'uomo; in altre parole pur essendo il sistema di AI un software “intelligente”; occorre che l'uomo sia messo nelle condizione di sorvegliare l'output della macchine ed intervenire nel caso di necessità;

• l sistema di IA non risulta progettato e sviluppato in modo da raggiungere un adeguato livello di accuratezza, robustezza e sicurezza informatica ai sensi degli art. 15 e 16 lett. a) del Reg.Ue AI – anche qui la previsione incrocia l'art. 5 del GDPR e l'allegato I del MDR;

• non sono state immediatamente intraprese le azioni correttive necessarie per rendere il sistema di IA conforme agli obblighi stabiliti nel Titolo III, Capitolo del reg. ue AI o agli obblighi di ritirpo o richiamo il sistema ai sensi degli art. 16, lettera g), e 21 del reg. Ue AI – qui si valorizza tutto il sistema di controllo e sorveglianza post commercializzazione.

Istituti giuridici che facilitano l'accesso alla prove nel corso del processo

L'altro elemento (di natura più strettamente processuale, ma di fortissimo impatto pratico ed operativo) riguarda le prove nel corso di un eventuale procedimento di richiesta danni da parte dell'attore.

Qui il presupposto da cui parte la disciplina è quello (assolutamente realistico) della difficoltà per l'attore di raccogliere prove (sufficienti ed idonee) atte a dimostrare gli elementi di cui sopra (che fanno scattare la colpevolezza del fornitore di sistema di AI).

Sul punto, l'art. 3 della Proposta di Direttiva stabilisce che ove l'attore non sia in grado di raccogliere tali prove a livello processuale, la proposta consente allo stesso di chiedere al giudice la disclosure (cioè la produzione processuale) delle prove stesse da parte del fornitore di AI.

Rileva evidenziare che l'obbligo in capo al fornitore di produrre le prove sul funzionamento del sistema di AI dovrà rispettare i principi di necessarietà e proporzionalità.

Inoltre, il giudice dovrà tenere conto di eventuali atti o documenti che siano protetti a livello aziendale ai sensi della direttiva (UE) 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti nonché adottare le misure specifiche necessarie a preservare la riservatezza.

La due proposte di direttive sono state appena presentate; solitamente i tempi di approvazione sono di circa due anni. Quindi senza dubbio potranno essere cambiamenti, seppure solitamente l'architettura generale rimane invariata.

Si tratta senza dubbio di un disegno sui profili di responsabilità della AI di vasta portata, destinato ad incidere, sin da oggi, sulla progettazione di un software di AI.

Tale complessità giuridica appare poi ancora più impattante in area sanitaria.

In tale ambito infatti da una parte la progettazione di software deve già tenere conto dei contenuti del nuovo MDR (Reg.Ue 2017/45 - Medical Device Regulation) nonché dei profili di protezione dei dati (Reg. Ue 2016/679- GDPR), mentre dall'altra avanza – con ritmo molto sostenuto – il nuovo disegno del nostro SSN, basato su nuovi processi di digitalizzazione, promossi della Missione 6 del PNRR.