La commissione UE disegna il nuovo quadro per la responsabilità civile nei sistemi di intelligenza artificiale
28 Novembre 2022
Introduzione
In data 28 settembre la Commissione UE ha adottato due Proposte di Direttive finalizzate a disciplinare il tema della responsabilità civile alla luce della nuova era digitale, nonché dell'economia circolare e della catena globale del valore.
La prima proposta di direttiva riguarda la responsabilità per danno da prodotti difettosi (COM(2022) 495 - Proposal for a directive of the European Parliament and of the Council on liability for defective products): la futura direttiva andrà a sostituire la oggi vigente Dir. 85/374/CEE (di identico oggetto) considerata non più idonea a dare efficaci risposte alla mutata realtà economica e tecnologica. La proposta, mantenendo la stessa architettura giuridica della Dir 85/374 circa il regime di responsabilità oggettiva nel caso in cui un prodotto sia considerato “difettoso”, aggiorna le regole esistenti e soprattuto allarga i prodotti che saranno “coperti” dalla stessa futura direttiva: tra questi i software (in generale) ed altresì i software di Intelligenza Artificiale (AI).
La seconda proposta di direttiva riguarda invece, nello specifico, la responsabilità civile in materia di Intelligenza Artificiale (COM(2022) 496 final Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence): più esattamente la proposta, fondata invece sul principio della colpevolezza, si pone l'obiettivo di dettare regole per le ipotesi in cui un software di AI, pur non essendo considerato “difettoso”, possa creare un danno in capo all'utilizzatore o a terzi.
La direttiva poi non detta norme sostanziali per la AI (rinviando in toto ai contenuti della Proposta di Regolamento UE sulle regole di armonizzazione della AI, oggi ancora in discussione) ma solo regole di natura processuale che mirano ad alleggerire e facilitare la posizione processuale della parte danneggiata: vengonon nello specifico introdotti gli istituti della “divulgazione” e delle “presunzioni relative”.
Si tratta quindi di due atti tra loro complementari e che mirano ad introdurre un nuovo sistema generale di responsabilità civile, con il fine di promuovere la fiducia nell'IA e nelle altre tecnologie digitali.
Nel presente articolo verranno analizzate le due proposte evidenziando in particolare gli aspetti collegati alla responsabilità in materia di Intelligenza artificiale, rinviando poi ad ulteriore approfondimento per quanto attiene ai riflessi nel settore della responsabilità sanitaria.
La proposta di direttiva, che disegna un nuovo quadro normativo sulla responsabilità da prodotto difettoso, introduce novità di natura sia sostanziale che processuale. Vediamoli in sintesi.
Quali prodotti sono coperti dalla proposta di direttiva?
L'art. 4 lett. 1) stabilisce che nella nozione di prodotto rientra: “ogni bene mobile, anche se integrato in un altro bene mobile o in un bene immobile” precisando che: “Per prodotto si intendono anche l'elettricità, i file per la fabbricazione digitale e il software” .
Non vi dubbio quindi che tutti i software – anche quelli che operano utilizzando sistemi informatici qualificati come Intelligenza Artificiale - rientrano sotto l'ambito di applicazione della futura Direttiva.
Il richiamo ai “file per la fabbricazione digitale” comporta l'applicazione delle direttiva anche ai prodotti di stamoa 3D.
Quando un prodotto sarà considerato difettoso?
L'art. 6 della proposta stabilisce che un prodotto è difettoso quando “non offre la sicurezza che il grande pubblico può legittimamente attendersi”.
Per fare questa valutazione occorre tener conto di alcune circostanze specifiche tra cui:
La stessa norma elenca poi una serie di ulteriori fattori che devono essere tenuti in considerazione per detereminare la “difettosità”, che appaiono particolarmente rilevanti nei mondo dei sofwtare:
Chi sarà chiamato a rispondere?
Anche in relazione ai possibile soggetti cui può essere imputabile la responsabilità, la proposta di Direttiva allarga la platea.
Nei casi di difettosità, la responsabilità oggettiva (quindi senza accertamento sulla colpa) potrà essere addebitata (art. 7 della proposta) a
Esistono delle esenzioni della responsabilità oggettiva?
Le esenzioni dalla responsabilità per gli operatori economici ai sensi dell'art. 10 della proposta di direttiva rimangono sostanzialmente simili a quelle previste per i produttori della Dir. 85/374/CEE.
In relazione al software si stabiliscono però alcune regole speciali.
Più esattamente ove il soggetto ritenuto responsabile voglia sostenere che la difettosità del software non esisteva al momento dell'immissione sul mercato del prodotto, tale esenzione non potrà essere attivata in presenza di due requisiti: il software sia rimasto sotto il controllo del fabbricante ed il carattere difettoso sia dovuto a uno dei seguenti elementi: a) un servizio correlato al software stesso; b) i relativi upgrade o migliorie del software; c) la mancanza di upgrade o migliorie necessari per mantenere il software in sicurezza.
Chi ha l'onere della prova ?
L'onere della prova resta a carico dell'attore (ossia del danneggiato), chiamato a «provare la difettosità del prodotto, il danno subito e il nesso di causalità tra difetto e danno» (art. 9)
Tuttavia, riconoscendo le difficoltà di raccogliere prove in relazione a prodotti tecnicamente sempre più complessi, la proposta di direttiva cerca di alleviare l'onere del ricorrente introducendo alcune presunzioni (ovviamente confutabili). Più esattamente:
Circa la difettosità del prodotto la stessa sarà presunta ove:
Circa il nesso di causalità tra la difettosità del prodotto ed il danno, lo stesso sarà presunto «qualora sia accertato che il prodotto è difettoso e il danno cagionato è di natura tipicamente compatibile con il difetto in questione».
Sempre la stessa norme introduce poi ulteriori previsioni (sempre finalizzate ad agevolare la posizioni processuale dell'attore) che – a parer di chi scrive – potranno presentere enormi problemi interpretativi ed applicativi.
L'art. 9 comma 4 prevede infatti qualora l'organo giurisdizionale nazionale rilevi che l'attore incontra difficoltà “eccessive” nella prova del difetto o del nesso di causalità (in ragione della complessità tecnica o scientifica), tali elementi si potranno dare per “presunti” ove a) il prodotto ha contribuito a cagionare il danno; b) la difettosità sia probabile, oppure che il carattere difettoso dello prodotto sia una causa probabile del danno, o entrambi tali elementi. Ovviamente il convenuto si potrà opporre a tali presunzioni.
Cosa sono gli obblighi di divulgazione?
Sempre sotto il profilo processuale, la proposta di direttiva introduce ulteriori strumenti per facilitare l'accesso dell'attore alle prove da utilizzare nel procedimento di richiesta danni: l'art. 8 autorizza infatti i tribunali ad ordinare al convenuto la divulgazione di pertinenti elementi di prova a sua disposizione, ove ne faccia richiesta un “danneggiato che chiede il risarcimento del danno causato da un prodotto difettoso ("l'attore") sulla base di fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento”.
Qualsiasi divulgazione dovrà ovviamente essere limitata a quanto necessario e proporzionata all'affermazione.
Quali danni sono coperti?
L'art. 4 punti 6 della proposta di direttiva allarga anche la nozione di “danno” che può essere risarcito.
Circa le persone fisiche potrenno essere risarciti, oltre alla morte o lesioni, anche il “danno alla salute psicologica riconosciuto dal punto di vista medico”.
Circa i beni potrà essere risarcito qualsiasi danneggiamento o distruzione di bene (salve le ipotesi in cui danneggiamento e distruzione riguardino il prodotto difettoso, un componente dello stesso oppure si tratti di beni utilizzati esclusivamente per scopi professionali).
Infine, la proposta introduce anche la risarcibilità del danno derivante da "perdita o danneggiamento di dati che non sono utilizzati esclusivamente per scopi professionali" (la Commissione suggerisce come esempio i contenuti cancellati da un disco rigido).
Quali sono i limiti al risarcimento?
La proposta di direttiva elimina la precedente soglia di € 500 e impedisce che venga imposto un limite massimo all'indennizzo spettante ai ricorrenti.
Relativamente alla prescrizione, il termine di 3 anni per l'avvio del procedimento rimane invariato.
Gli operatori economici restano responsabili (salvo eccezioni) dei prodotti difettosi per un periodo di 10 anni a decorrere dalla data in cui il prodotto è stato immesso sul mercato, messo in servizio o sostanzialmente modificato.
Se un ricorrente è in ritardo nell'avvio del procedimento perché i sintomi di lesioni personali tardano a manifestarsi (ad esempio a causa dell'ingestione di un prodotto alimentare difettoso), si applica un periodo di prescrizione più lungo di 15 anni. La proposta di direttiva in materia di responsabilità civile extracontrattuale all'intelligenza artificiale
La seconda proposta (COM(2022) 496 final Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence) detta regole relative ai profili di responsabilità soggettiva nello specifico settore dell'Intelligenza Artificiale.
Come già anticipato, la Proposta di Direttiva è strettamente collegata con la Proposta di Regolamento sulle regole di armonizzazone della AI (COM(2021) 206 Proposal for a regulation laying down Harmonized rules on artificial intelligence ).
Più esattamente quest'ultima mira ad introdurre norme armonizzate per la realizzazione e commercilaizzazione di software di AI, mentre le direttiva si occupa di introdurre specifiche regole di responsabilità.
Per cogliere allora la portata della proposta di direttiva sulla responsabilità civile collegata ai sistemi AI, occorre partire dal framework della proposta di regolamento sulla AI per poi analizzare le connessioni tra le due discipline. In altre parole: occorre partire dalle (future) regole per i software di AI, per poi arrivare alle (future) regole del risarcimento nel caso in cui tali software creino un danno in capo al paziente.
La proposta di regolamento sulla AI La proposta di Regolamento sull'Intelligenza artificiale (presentata in aprile 2021) è il primo esempio a livello mondiale di disciplina unitaria sull'AI.
Riprendendo la struttura giuridica dei Regolamenti del New Legislative Approach, la proposta si basa interamente su un sistema di risk approach misurato in base a requisiti legislativi obbligatori,nonché sulla implementazione di un sistema di gestione del rischio suddetto (art. 9). La proposta prevede quindi (molto in sintesi):
Viene poi disciplinato il sistema di accreditamento e funzionamento degli Organismi notificati (art. 30 all'art. 39), le norme armonizzate (art. 40) e le specifiche comuni (art. 41), nonché in maniera dettagliata i requisiti che dovrà avere il Certificato CE che sarà rilasciato dagli Organismi Notificati dopo aver verificato la sussistenza dei requisiti (art. 44).
L'art. 48 prevede l'apposizione della marcatura Ce sul sistema di AI, con relativa registrazione in specifica Banca dati comunitaria (art. 51 e 60) prima dell'immissione in commercio o messa in servizio cui segue uno strutturato sistema di sorveglianza post commercializzazione e vigilanza sul mercato.
La proposta di direttiva per la responsabilità civile dei sistemi di AI Partendo dal quadro giuridico sopra delineato, la proposta di direttiva per la responsabilità civile ha come scopo quello di stabilire regole uniformi per il risarcimento dei danni causati da sistemi di IA, definendo in questo modo una protezione più ampia per le vittime (siano esse individui o imprese) ed una maggiore chiarezza circa le diverse responsabilità degli attori. Più esattamente a) si introduce una presunzione di colpevolezza nel caso in cui siano state violate le norme di progettazione e realizzazione del sistema stabilite nella Proposta di Regolamento AI sopra sintetizzato; b) si introducono istituto giuridici che facilitano l'accesso alle prove nel corso del processo:
Vediamo in maniera più approfondita i due punti:
Presunzione di colpevolezza Analogamente a quanto visto sopra relativamente alla Proposta di Direttiva sulla responsabilità da prodotto difettoso, viene introdotta una presunzione di colpevolezza in capo al fornitore quando sono dimostrate TUTTE le seguenti tre condizioni (art. 4 della proposta di direttiva)
Relativamente al punto 1 si stabilisce poi che fanno scattare la presunzione di colpevolezza le seguenti violazioni della Proposta di Regolamento AI:
Istituti giuridici che facilitano l'accesso alla prove nel corso del processo
L'altro elemento (di natura più strettamente processuale, ma di fortissimo impatto pratico ed operativo) riguarda le prove nel corso di un eventuale procedimento di richiesta danni da parte dell'attore.
Qui il presupposto da cui parte la disciplina è quello (assolutamente realistico) della difficoltà per l'attore di raccogliere prove (sufficienti ed idonee) atte a dimostrare gli elementi di cui sopra (che fanno scattare la colpevolezza del fornitore di sistema di AI).
Sul punto, l'art. 3 della Proposta di Direttiva stabilisce che ove l'attore non sia in grado di raccogliere tali prove a livello processuale, la proposta consente allo stesso di chiedere al giudice la disclosure (cioè la produzione processuale) delle prove stesse da parte del fornitore di AI.
Rileva evidenziare che l'obbligo in capo al fornitore di produrre le prove sul funzionamento del sistema di AI dovrà rispettare i principi di necessarietà e proporzionalità.
Inoltre, il giudice dovrà tenere conto di eventuali atti o documenti che siano protetti a livello aziendale ai sensi della direttiva (UE) 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti nonché adottare le misure specifiche necessarie a preservare la riservatezza. Considerazioni finali
La due proposte di direttive sono state appena presentate; solitamente i tempi di approvazione sono di circa due anni. Quindi senza dubbio potranno essere cambiamenti, seppure solitamente l'architettura generale rimane invariata.
Si tratta senza dubbio di un disegno sui profili di responsabilità della AI di vasta portata, destinato ad incidere, sin da oggi, sulla progettazione di un software di AI.
Tale complessità giuridica appare poi ancora più impattante in area sanitaria.
In tale ambito infatti da una parte la progettazione di software deve già tenere conto dei contenuti del nuovo MDR (Reg.Ue 2017/45 - Medical Device Regulation) nonché dei profili di protezione dei dati (Reg. Ue 2016/679- GDPR), mentre dall'altra avanza – con ritmo molto sostenuto – il nuovo disegno del nostro SSN, basato su nuovi processi di digitalizzazione, promossi della Missione 6 del PNRR. |