L’utilizzo sempre più massivo e su base quotidiana di sistemi di Intelligenza Artificiale da parte di imprese, professionisti e lavoratori ha fatto emergere la necessità di individuare strumenti giuridici idonei a garantire la tutela e il risarcimento dei danni causati da eventuali malfunzionamenti.
Nel contesto dell’Unione Europea, la Commissione aveva inizialmente presentato una proposta per una specifica direttiva dedicata alla responsabilità civile dell’Intelligenza Artificiale (la cosiddetta AI Liability Directive, presentata il 28 settembre 2022) che, tuttavia, è stata ritirata nel corso del 2025.
Il tema è stato oggetto di apposita regolamentazione nell’ambito della nuova Direttiva (UE) 2024/2853 del 23 ottobre 2024 sulla responsabilità per danno da prodotti difettosi (Product Liability Directive – PLD), rivedendo il contenuto della precedente Direttiva 85/374/CEE “alla luce degli sviluppi legati alle nuove tecnologie, compresa l’intelligenza artificiale (IA)”.
La Direttiva dovrà essere recepita dagli Stati membri entro il 9 dicembre 2026 e si applicherà ai prodotti immessi sul mercato o messi in servizio a partire da tale data, fermo restando l’obbligo degli Stati Membri di non adottare atti normativi o provvedimentali in contrasto con il contenuto e gli obiettivi della stessa nelle more del recepimento (c.d. obbligo di standstill).
Nel presente contributo verranno riportate sinteticamente le principali novità e disposizioni introdotte dal nuovo testo, che saranno oggetto di specifici approfondimenti in successivi articoli.
Una delle innovazioni più rilevanti consiste nell’estensione della nozione di “prodotto” idoneo a cagionare un danno anche al software, categoria nella quale la Direttiva, al considerando 13, riconduce espressamente i sistemi di intelligenza artificiale, oltre ai sistemi operativi, alle applicazioni e ai firmware.
L’attenzione viene posta non soltanto sui prodotti software e sui sistemi di IA come prodotti a sé stanti, ma anche nel caso in cui gli stessi siano integrati in altri prodotti come suoi componenti.
La stessa nozione di “danno” assume un nuovo e più ampio significato, stante, da un lato, la nascita di nuovi “beni” oggetto di protezione e, dall’altro, la specifica previsione di tutela per la “distruzione e corruzione di dati non usati a fini professionali”, tematica peraltro estremamente rilevante qualora si sia in presenza di dati personali oggetto di apposita protezione nell’ambito del Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
In tema di onere dalla prova, la Direttiva stabilisce che il soggetto danneggiato è tenuto a provare il carattere difettoso del prodotto, il danno subito e il nesso di causalità tra il difetto e il danno.
Tuttavia, in ragione della complessità di tale operazione in presenza di sistemi di Intelligenza Artificiale dove si pone un problema di “accesso” ai meccanismi di funzionamento, vengono introdotti dei meccanismi che agevolano l’onere del danneggiato, ivi incluse alcune presunzioni.
In tale contesto, particolare rilevanza svolgono le previsioni che gli Stati Membri dovranno inserire per consentire la possibilità di superare l’asimmetria informativa del danneggiato, agevolando “l’accesso agli elementi di prova da utilizzare nei procedimenti giudiziari”, circostanza che pone rilevanti quesiti dal punto di vista della protezione della proprietà intellettuale del software e dei sistemi di IA.
Al fine di garantire la maggior tutela possibile, la Direttiva individua una pluralità di soggetti responsabili per eventuali danni: in primo luogo, il fabbricante del prodotto o del software, ma – nelle catene di distribuzione internazionali – anche l’importatore nell’Unione Europea, il rappresentante autorizzato o, in ultimo grado, il fornitore di servizi di logistica.
Un ulteriore tema, in presenza di strumenti caratterizzati da un livello innovativo elevato, è la possibilità di prevedere limitazioni alla responsabilità per i danni cagionati da sistemi di AI e la riallocazione della responsabilità tra i vari soggetti interessati.
Sotto il primo profilo, la Direttiva pone espressamente a carico degli Stati membri l’onere di provvedere, affinché la responsabilità di un operatore economico non sia limitata né esclusa, in relazione al danneggiato, dal diritto nazionale o mediante disposizione contrattuale, fatta salva la presenza di apposte deroghe per i c.d. rischi da sviluppo, ovverossia per le ipotesi in cui lo stato oggettivo delle conoscenze scientifiche e tecniche al momento dell’immissione del prodotto sul mercato non permetta di scoprire l’esistenza del difetto.
Sotto il secondo profilo, stante la necessità di garantire la ricerca e lo sviluppo di nuovi prodotti caratterizzati da un elevato grado di innovazione, la Direttiva garantisce la possibilità per le microimprese e le piccole imprese che fabbricano software di concordare contrattualmente con i fabbricanti, che integrano il loro software in un prodotto, limiti all’esercizio di rivalsa da parte di questi ultimi.
Peraltro, la Direttiva pone un onere rilevante in capo al fabbricante e ai soggetti convolti di monitorare il funzionamento del prodotto e di intervenire in caso di malfunzionamenti riscontrati dopo l’immissione sul mercato, obbligo che assume particolare rilievo in caso di sistemi di IA in grado di apprendere e influenzati dai dati concretamente immessi da parte dell’utilizzatore.
Infine, in ragione della rilevanza degli interventi coinvolti, numerose disposizioni riguardano i potenziali danni cagionati da specifiche categorie di prodotti, tra cui vi rientrano i dispositivi medicali sottoposti alle disposizioni del Regolamento (UE) 2017/745 del 5 aprile 2017, a maggior ragione considerato che gli stessi, con il progresso delle tecnologie disponibili, vedranno un progressivo aumento della diffusione di sistemi di IA ai fini diagnostici e operativi.
***
La concreta applicazione della Direttiva e l’implementazione della stessa da parte degli Stati membri sollevano temi e problematiche nuovi e di rilevante impatto, anche economico, in ragione dell’evoluzione tecnica dei prodotti considerati.
In primo luogo, il ritiro della proposta della proposta di AI Liability Directive evidenzia la difficoltà di costruire un regime di responsabilità specificamente dedicato all’intelligenza artificiale, ovviata dalla decisione di ricondurre la materia nell’alveo della responsabilità da prodotto difettoso.
Tale scelta ha sollevato perplessità tra chi ritiene che le peculiarità dei sistemi di IA – in particolare la capacità di apprendere e modificare autonomamente il proprio comportamento – richiedano categorie giuridiche nuove, non agevolmente riducibili a quelle del prodotto difettoso.
Ulteriori problematiche potrebbero porsi sotto il profilo del coordinamento della Direttiva con altri strumenti normativi attualmente in vigore, in primo luogo il Regolamento (UE) 2024/1689 del 13 giugno 2024 sull’Intelligenza Artificiale (AI Act).
I due strumenti operano su piani distinti ma complementari, considerato che, in linea generale, l’AI Act disciplina i requisiti preventivi cui devono conformarsi i sistemi di IA, mentre la PLD interviene sul piano della responsabilità civile post-danno.
In tale contesto, il rispetto delle prescrizioni dell’AI Act, se da un lato può essere valorizzato per dimostrare una compliance del prodotto, dall’altro non esclude automaticamente la responsabilità ai sensi della PLD in caso di eventi dannosi.
Lo stesso meccanismo di disclosure probatoria rappresenta di certo una delle facoltà più significative sotto il profilo processuale, dal momento che garantisce al danneggiato meccanismi idonei a superare la marcata inferiorità informativa rispetto al produttore di software e sistemi di AI, semplificando l’accesso ai relativi meccanismi per valutarne un eventuale malfunzionamento.
Tuttavia, tale diritto può generare contrasti sul piano della tutela della proprietà intellettuale e dei segreti commerciali del produttore di tali sistemi, ponendo un rilevante tema di bilanciamento degli interessi contrapposti delle parti di non facile risoluzione.
Infine, l’obbligo di monitoraggio post-market costituisce un tema particolarmente rilevante, considerata l’esistenza di sistemi di IA che apprendono dall’interazione con gli utenti.
Il comportamento del sistema al momento del danno può pertanto differire significativamente da quello verificato al momento dell’immissione sul mercato, con riflessi importanti sul tema dell’eventuale responsabilità del fabbricante e della corresponsabilità dell’utilizzatore.
In ragione dell’approssimarsi della scadenza per il recepimento della Direttiva, sarà pertanto fondamentale per le imprese svolgere un’approfondita valutazione dei propri prodotti e sistemi, adottando tutele tecniche e contrattuali volte a prevenire eventuali problematiche.
A cura dell’avv. Alessandro Roggero