La proposta di Direttiva UE sulla responsabilità civile dell’Intelligenza Artificiale

Il quadro normativo di partenza e strategico

L'impiego dell'IA e le sue conseguenze civilistiche non sono oggetto di una normativa ad hoc. È tuttora in discussione un pacchetto di normative unionali (di nuovo conio o revisioni di precedenti) dedicate all'impiego di IA, ovvero:

• il novelloArtificial Intelligence Act (Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (AI Act) e modifica alcuni atti legislativi dell'Unione - COM/2021/206 final);
• la revisione della Direttiva sulla responsabilità da prodotto (da sostituire con la proposta di Regolamento del Parlamento europeo e del Consiglio relativo alla sicurezza generale dei prodotti, che modifica il regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 87/357/CEE del Consiglio e la direttiva 2001/95/CE del Parlamento europeo e del Consiglio - COM(2021) 346 final); questa disciplina è dipendente da quella sulla sicurezza dei prodotti (Direttiva 2001/95/CE);
• la revisione della Direttiva macchine 2006/42/CE (da sostituire con la proposta di Regolamento del Parlamento europeo e del Consiglio sui prodotti macchina - COM/2021/202 final).

La proposta di Direttiva sulla responsabilità aquiliana (c.d. “law of torts” in ambito internazionale) si inserisce in questo framework sull'IA, ideato per regolare o adeguare il plesso normativo alle minacce e ai rischi posti da queste tecnologie, pervasivamente introdotte nella vita quotidiana e in quella professionale. La stessa proposta di Direttiva è stata preceduta dalla Risoluzione del Parlamento europeo del 20 ottobre 2020, recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale (2020/2014(INL)). Ove si prefigurava l'adozione di un Regolamento europeo sul tema, poi mutato (dopo una valutazione di impatto e trattative politiche) nell'attuale proposta di Direttiva.

A monte di tutto questo possiamo identificare due documenti chiave della attuale strategia dell'Unione sul capitolo IA. Il primo è la Risoluzione del Parlamento Europeo del 16 febbraio 2017, recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica. Il secondo è il Libro Bianco sull'intelligenza artificiale della Commissione Europea (febbraio 2020), nel quale tra l'altro (specie nell'allegato Report sulle implicazioni dell'intelligenza artificiale, dell'Internet delle cose e della robotica in materia di sicurezza e di responsabilità) si menzionavano i rischi per la sicurezza e il funzionamento efficace del regime di responsabilità civile.

Quale linea comune, si può affermare che in tali documenti già emergesse la necessità di intervenire in ambito IA a livello normativo, per quanto qui ci interessa, per contemperare due fronti opposti:

(i) garantire la fiducia dei cittadini e utilizzatori, i quali non devono temere di vedersi eventualmente privati di una tutela pari a quella garantita per altre tecnologie, così da essere incoraggiati all'uso di IA;

(ii) fornire certezze giuridiche agli altri soggetti coinvolti, quali produttori, programmatori, trainer, ecc., tali da non frenare l'innovazione e i benefici che queste tecnologie possono recare alla società e al mercato. L'approccio di fondo tracciato dal Libro Bianco è comunque antropocentrico, per alimentare la fiducia degli stakeholder e così una stabilità negli investimenti necessari.

Nello specifico della responsabilità civile extra-contrattuale, il legislatore europeo propone oggi lo strumento della Direttiva (la proposta iniziale di Regolamento era più ampia e impegnativa), a causa della difformità di concezione e istituti vigenti in materia nel territorio dell'Unione. Basti pensare al sistema dei torts adottato nei Paesi di common law (come l'Irlanda, mancando il Regno Unito) e quello di diritto civile come accade nel nostro Paese. La Direttiva, nelle intenzioni e in linea con le recenti strategie di policy making europea, vuole avviare un'armonizzazione e una tutela minima, comune per tutti i Paesi. La quale giocoforza dovrà trovare recepimento e adattamento nell'alveo normativo locale. Il che recherà una certa inevitabile frammentazione territoriale.

Va rammentato che attualmente, a livello europeo, l'unica normativa vigente che affronti in qualche misura la questione è la Direttiva 85/374/CEE sulla responsabilità per danno da prodotti difettosi (recepita localmente nel Codice del Consumo del 2005), altrettanto oggetto di una proposta di coordinata riforma. Si tratterebbe pertanto, quello novello, di un intervento di portata inedita sull'istituto della responsabilità civile dei singoli Stati membri, ad ampio spettro.

Il testo della nuova Direttiva è stato proposto dalla Commissione europea nel settembre del 2022 e nel momento in cui si scrive si trova nelle prime fasi di discussione (risultano acquisiti i pareri dei Parlamenti nazionali, mancano altri sette passaggi dell'iter prima della versione definitiva e dell'approvazione. L'impostazione seguita nei progetti di riforma e dal citato Libro bianco, in generale, risente della precedente Risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica (2015/2103(INL).

Criticità dell'IA

L'utilizzo dell'IA comporta delle complessità inerenti la stessa tecnologia, in grado di mettere in crisi concetti come la prevedibilità, la trasparenza, il controllo e la causalità. Possiamo riassumere brevemente alcuni dei maggiori punti di attenzione:

1. complessità e opacità degli algoritmi (c.d. black-box): spesso non più leggibili come linguaggio di programmazione tradizionale, significa che può essere arduo o persino impossibile capire come funzionano e come giungano a determinati output, e spesso lo è perfino per gli stessi produttori dell'algoritmo;
2. autoapprendimento e automodifica (c.d. machine learning): molte applicazioni di IA non sono “ultimate”, bensì utilizzano algoritmi di apprendimento automatico che imparano dai dataset quale input, mutando la propria operatività strada facendo (specie tramite deep neural network), facendosi influenzare da dati storici potenzialmente viziati da errori, bias, ecc.;
3. autonomia e indipendenza: alcuni sistemi di IA comportano un ruolo decisionale ed esecutivo privo di un operatore umano, con la conseguente (in varia misura) imprevedibilità del sistema, seppure dipendente dalle regole predefinite di chi ha progettato il software;
4. interazione uomo-macchina e macchina-macchina: in alcune applicazioni l'interazione tra l'utente e il sistema (o altri sistemi) può essere complessa e può influire sugli output del sistema, con inevitabili incertezze causali; idem nel caso della dipendenza del sistema da dati esterni o generati da esso stesso nel suo operare;
5. sicurezza delle informazioni e informatica: i sistemi di IA sono vulnerabili ad attacchi di vario tipo, da quelli di cybersicurezza più tradizionali (per es. compromissione di accessi software/hardware per esfiltrare dati) a quelli più specifici della tecnologia di IA (per es. l'uso di prompt malevoli per alterare il comportamento del sistema);
6. condivisione e opacità della responsabilità: in alcuni casi, la responsabilità potrebbe essere condivisa in una confusa pletora, con ruoli e pesi difficili da discernere, tra cui possiamo trovare: l'utilizzatore dell'IA e del prodotto/servizio, il produttore/autore dell'algoritmo di apprendimento dell'IA o di altro codice interagente con lo stesso, il produttore del prodotto o servizio basato sull'IA, il trainer dell'IA, i fornitori di dataset, gli operatori, ecc.

Nel caso di eventuali danni arrecati dall'utilizzo di IA, già dalla lettura di questo elenco si intuisce come possa essere estremamente difficile ricostruire i fatti, le condotte e le responsabilità inerenti. L'allocazione del rischio (il fine ultimo della normativa sulla responsabilità civile, per tutelare le vittime senza frenare l'adozione tecnologica) risulta pertanto incerta. Un esempio per tutti: se un sistema di IA è soggetto ad aggiornamenti software, persino da parte di soggetti terzi, può essere estremamente arduo comprendere quale porzione di codice (originaria o modificata) sia causalmente coinvolta nella produzione del danno.

Ancor prima, risulta spesso controverso se inquadrare un determinato sistema come di “intelligenza artificiale” o meno. Dovrebbe spettare al connesso Regolamento AI Act, a cui rimanda la Direttiva per le definizioni chiave, aiutarci: è però un testo tuttora allo stato di proposta, oggetto di innumerevoli dibattiti e revisioni, specie per fornire un quadro classificatorio e definitorio. Una mancata armonizzazione nella strategia del citato pacchetto di riforme dedicate all'IA comporterebbe una grave criticità nelle tutele, di incerta applicazione.

Per quanto attualmente noto, si può segnalare che la bozza di AI Act si compone di articoli e allegati che distinguono:

1. le tecniche usate dal sistema di IA, ovvero: la ricezione di dati e input (da macchine o soggetti umani) - l'inferenza su come raggiungere un determinato insieme di obiettivi definiti dall'essere umano utilizzando l'apprendimento, il ragionamento o la modellizzazione - la generazione di output (contenuti, previsioni, raccomandazioni, decisioni) che influenzano gli ambienti con cui interagisce;
2. con approccio risk-based, un livello dei sistemi di IA considerati a rischio elevato (per quanto qui rileva), per es. quelli di identificazione biometrica, delle infrastrutture critiche, ecc.;
3. la definizione di “utente” (persona fisica o giuridica, ente, ecc.) del sistema ma soprattutto quella di “fornitore” dello stesso (ovvero il soggetto che sviluppa, impiega o comunque mette in commercio il sistema, a proprio nome o col proprio marchio).

Le questioni aperte di responsabilità civile in ambito di IA

Come accennato, al momento la disciplina applicabile alla responsabilità civile dell'IA nei Paesi europei si può rinvenire soprattutto in due ambiti di regolazione:

1. la disciplina della responsabilità da prodotto difettoso, citata innanzi, improntata al principio di neutralità tecnologica; è applicabile solo nel caso in cui un consumatore lamenti un danno (alla salute, vita o proprietà) derivante da un difetto di un prodotto (che può includere l'uso di IA, in astratto) in commercio, con possibile chiamata in causa del produttore e del fornitore/venditore; il consumatore deve comprovare: il nesso causale, il difetto e il danno. L'attuale disciplina è dubbia: per es. se certi imprevisti output siano “difetti”, sul se e come regoli prodotti software (non solo di IA) e chi ne sia responsabile, oltre alle difficoltà probatorie inerenti al caso e alla considerazione che, in molti casi, nei sistemi di IA si realizza una complessa interazione tra prodotti e servizi, difficilmente distinguibili;
2. la disciplina locale della responsabilità civile per danni: a livello generale europeo (non armonizzato), si riscontrano criteri di responsabilità per colpa (“fault-based” - basata sul comportamento omissivo o commissivo di un soggetto; si devono provare la colpa, il danno, il nesso di causalità) oppure oggettiva (“strict liability” - indipendente dalla condotta, con presupposti fissati dal legislatore; si devono provare il rischio concretizzato dal soggetto responsabile); anche qui, l'uso di IA può pregiudicare l'attribuzione di colpe e la dimostrazione di nessi causali. In Italia, secondo autorevole dottrina (per es. U. Ruffolo) si potrebbero interpretare in via “evolutiva” gli artt. 2049-2054 c.c. (dalla responsabilità per custodia della cosa a quella per attività pericolose), allocando la responsabilità, tendenzialmente in via oggettiva, in capo al soggetto idoneo a gestire il rischio di danno e le misure idonee a evitarlo – oltre a sostenere la cumulabilità della disciplina di responsabilità da prodotto con quella aquiliana.

La proposta di Direttiva che esamineremo di seguito, nelle intenzioni delle istituzioni europee, sarà diretta alla normazione della sola responsabilità civile per danni, ex post, quando si siano verificati. Ove l'AI Act, invece, vuole prevenire ex ante la produzione di danni.

Sarà la proposta di riforma della disciplina sulla responsabilità da prodotto (che qui non affrontiamo oltre) a completare, nella maniera più armonizzata possibile, l'obiettivo di riforma, per quanto concerne il settore dei prodotti di consumo. Il restante sarà soggetto, invece, alla Direttiva e alle norme nazionali.

I pilastri della Proposta di Direttiva 

1. Diritto di accesso alle prove e presunzione di non conformità (art. 3)

Primo pilatro sono le previsioni – data l'impostazione di una responsabilità comunque basata su una colpa da dimostrare – sul potere di intervento giudiziale circa le prove nei soli sistemi di IA ad alto rischio:

1. l'attore può richiedere al giudice nazionale di ordinare - a una persona soggetta agli obblighi del fornitore oppure a un utente - di divulgare gli elementi di prova pertinenti di cui dispone, in relazione a un determinato sistema di IA che si sospetta abbia cagionato il danno; si pensi per es. ai log files che possono aver registrato gli eventi;
2. ciò può avvenire se l'attore presenta a sostegno della richiesta fatti e prove sufficienti, tali da supportare la plausibilità della domanda di risarcimento del danno, e se l'attore ha previamente compiuto ogni sforzo proporzionato per ottenere tali elementi di prova dal convenuto;
3. le informazioni rivelabili possono comprendere documenti, informazioni, registri di log, ecc.;
4. la divulgazione e la sua ampiezza devono essere necessarie e proporzionate a sostegno di una domanda di risarcimento danni, tenuto conto degli interessi legittimi di tutte le parti, compresi i terzi, come la protezione dei segreti commerciali e delle informazioni relative alla sicurezza pubblica o nazionale – si tratta di un contemperamento di interessi ancora da esplorare, finora avaro di pronunce giudiziali significative;
5. se il convenuto non ottempera all'ordine, il giudice nazionale può presumere (juris tantum in via relativa, è comprovabile il contrario) che le prove richieste fossero tese a dimostrare l'inosservanza di un pertinente obbligo di diligenza – una vera novità è questa presunzione.

Tutto ciò dovrebbe aiutare soprattutto a identificare chi sia precisamente il soggetto responsabile nel caso concreto, per es. se il danno è stato causato perché un operatore di droni che consegna pacchi non ha rispettato le proprie istruzioni.

1. La presunzione del nesso di causalità in caso di colpa (art. 4)

Secondo pilatro è il criterio di responsabilità scelto:

1. copre qualsiasi tipologia di danno (se riconosciuto dalla normativa, per es. in ambito sanitario, privacy, della proprietà, ecc.) e di vittima (persone fisiche, persone giuridiche, organizzazioni, ecc.), quindi è molto più estesa della parallela responsabilità da prodotto;
2. si sposa l'approccio di responsabilità basata sulla colpa per il risarcimento del danno causato dalla produzione di un output di un sistema di IA o dal mancato (atteso) rendimento di tale sistema; il che, come cennato sopra, divergerebbe dalla nostra impostazione nazionale che tende a ricondurre le fattispecie a una responsabilità oggettiva;
3. non si inverte l'onere della prova visto sopra, bensì si introduce una presunzione (relativa, non assoluta) di causalità a favore del danneggiato, per alleviare la difficoltà probatoria: la norma stabilisce questa presunta consequenzialità tra l'inosservanza di un obbligo di diligenza (imposto giuridicamente) e il risultato prodotto dal sistema (o la sua incapacità produrre un output) che ha causato il danno;
4. per potersi invocare la presunzione, devono ricorrere tre requisiti cumulativi (con onere probatorio sempre del danneggiato):

1. inosservanza di un obbligo normativo di diligenza (“duty of care” - nazionale o europeo), da parte del fornitore; vi si possono includere – per i sistemi ad alto rischio - i precetti dell'AI Act quanto a data training, trasparenza, sorveglianza umana, cybersecurity, ecc.; per i sistemi non ad alto rischio, la presunzione si applica solo se il giudice nazionale ritiene eccessivamente difficile per il ricorrente dimostrare il nesso di causalità;
2. ragionevole probabilità che il comportamento negligente del convenuto (ai sensi di una normativa applicabile, a protezione dal danno, e secondo le circostanze del caso) abbia influenzato il risultato prodotto dal sistema di IA o l'incapacità del sistema di IA di produrre un risultato che ha causato il danno rilevante;
3. nesso di causalità tra risultato (o mancato atteso risultato) del sistema di IA e danno lamentato;

va aggiunto che la presunzione di causalità non si applica qualora il convenuto dimostri che l'attore dispone di prove e competenze sufficienti per dimostrare il nesso di causalità (tra la colpa del convenuto e il risultato o l'incapacità del sistema); diverso è il regime per le situazioni in cui il sistema di IA è stato utilizzato durante un'attività personale non professionale (in tal caso, la presunzione opera in certe ipotesi, per es. se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA);

1. la presunzione si può confutare, in particolare dimostrando che il danno non può essere conseguenza di una colpa del convenuto.

Tutto ciò dovrebbe così mitigare, nelle intenzioni, il fardello probatorio a carico della vittima soprattutto su uno degli aspetti più critici, ovvero la dimostrazione del funzionamento interno del sistema.

Segnaliamo che la proposta iniziale di Regolamento del Parlamento, presentata nella citata Risoluzione del 2020, prevedeva un diverso regime di responsabilità oggettiva per i sistemi di IA ad alto rischio, considerato più tutelante per le vittime visto quanto alleviasse l'onere probatorio. Le considerazioni sull'impatto sul mercato dell'innovazione hanno pesato nella revisione dell'intento iniziale.

1. L'armonizzazione minima

Come già segnalato, la Direttiva si propone una certa omogeneità nell'Unione, non di sostituirsi ai regimi nazionali. Gli Stati membri continueranno ad avere discrezione per l'interpretazione e per gli aspetti qui non disciplinati, come l'attribuzione dell'onere della prova o il grado di certezza probatorio, oppure le tempistiche di prescrizione.

Il che non realizzerà un'armonizzazione piena - bensì solo minima –, tanto più in virtù della libertà di ogni Stato di adottare norme di maggior favore, per es. sull'inversione dell'onere della prova. Si vuole sostanzialmente evitare una frammentazione in peius della tutela.

Non è chiara l'interazione del contenuto della proposta di Direttiva con gli eventuali regimi nazionali, per es. se prevarrà (quale forma di responsabilità sulla colpa) anche su eventuali altre forme nazionali (come quella oggettiva accennata sopra). La risposta pare negativa.  Con relativa disarmonia, in tal senso, tra Stati membri, salvo che la proposta non venga emendata con diverse indicazioni.

Come potranno intersecarsi i vari regimi di disciplina pertinenti? Nei considerando della proposta si afferma per es. che non si pregiudicano i diritti spettanti dalle citate norme sulla responsabilità da prodotto, né la responsabilità prevista dal Digital Services Act per i servizi di hosting sul processo decisionale algoritmico. Segnaliamo che possono sussistere altre norme “verticali” invocabili a livello sovranazionale, per es. l'art. 82 GDPR quanto alla protezione dei dati personali, la Direttiva 2009/103/CEE sui danni arrecati dai veicoli a motore - o ancora il Regolamento (CE) 864/2007 (c.d. “Roma II”) nel caso di conflitti di norme sulle obbligazioni extra-contrattuali.

La Direttiva avrà un termine di due anni per essere recepita dagli Stati membri, una volta in vigore.

Le criticità contestate alla Proposta di Direttiva

Seppure agli esordi, la proposta è già stata oggetto di numerose critiche, su più fronti e da parte di diversi stakeholder. Ne possiamo trovare un sunto nella recente overview nel Briefing del Parlamento europeo sull'AI liability directive, datata febbraio 2023. Tra le principali possiamo brevemente elencare quanto segue:

• la necessità di coordinarsi con il testo dell'AI Act (da cui, come visto, dipende strettamente sia concettualmente che quanto alla terminologia) impatta sul suo iter di approvazione, richiedendo necessariamente di essere sincronizzato alle modifiche e fasi di quel testo (che, come detto, è tuttora oggetto di acceso confronto e revisione);
• i rappresentanti del mercato lamentano come la Direttiva possa impattare considerevolmente sulle PMI che vogliano utilizzare i sistemi di IA e rischino così di dover risarcire danni ingenti sulla scorta di una prova (presunta) parziale, oltre a dover divulgare informazioni riservate di valore commerciale; il banco di prova della tutela dei segreti commerciali e del loro contemperamento con gli interessi dei danneggiati rappresenterà sicuramente uno di quelli più controversi, non essendoci finora una casistica giurisprudenziale che possa fornire dei criteri utili per prevedere come possa essere valutato; oltretutto il regime probatorio potrà influire notevolmente sulla doverosa copertura assicurativa che gli operatori potranno adottare;
• i rappresentanti dei consumatori, d'altro canto, affermano che comunque i requisiti richiesti per far valere la presunzione siano troppo onerosi (sotto l'ambito economico e di competenze) per il comune cittadino e che, pertanto, non tutelino davvero le vittime di sistemi talmente articolati – oltre alla facilità con cui questi sistemi possano causare danni nonostante il rispetto formale di doveri di diligenza;
• gli accademici segnalano l'incertezza interpretativa di termini vaghi come “colpa” e “diligenza”, in un ordinamento come quello europeo, oltre all'arbitrarietà insita in previsioni come quella sulla “ragionevole probabilità”; per alcuni, sarebbe opportuno reintrodurre la proposta iniziale di responsabilità oggettiva e l'inversione dell'onore della prova per i sistemi di IA ad alto rischio.

In conclusione

Tutto il pacchetto di disciplina dell’IA rappresenta una delle principali, recenti iniziative delle istituzioni europee. I desiderata non nascondono di voler replicare il c.d. Brussels effect ottenuto con il GDPR, divenuto de facto uno standard da considerare a livello mondiale, ben oltre l’ambito di applicazione formale. La regolazione dell’IA è ancor più complessa, a causa della sua tecnologia così in evoluzione e così dirompente e dei forti interessi e diritti in bilanciamento.  

La responsabilità civile è uno spazio di tutela degli utilizzatori, dei cittadini, così come delle imprese, di vitale importanza nella società civile moderna. Le istituzioni europee stanno cercando di innovare in ambiti solitamente appannaggio dei singoli Stati, cioè di un approccio locale che – tanto più pensando ai sistemi di IA, alla loro facile pervasività transfrontaliera – non viene ritenuto più adeguato, da solo, per fronteggiare le sfide della modernità. Si dovrà tracciare l’evoluzione della proposta di Direttiva in combinazione con quella dell’AI Act, per capire se e come si arriverà a un compromesso.