IA e la responsabilità civile extra contrattuale

Intelligenza artificiale: la proposta di direttiva sulla responsabilità civile extra contrattuale

di Michele Di Salvo

La Commissione UE ha presentato una proposta di Direttiva relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (accompagnata da un’apposita valutazione d’impatto), tematica che, in base a un’indagine realizzata nel 2022 sempre dalla Commissione UE, rappresenta uno dei tre ostacoli all’utilizzo dell’IA da parte delle imprese europee.

Considerato che le norme nazionali in materia di responsabilità, in particolare per colpa, non sono adatte a gestire le azioni di responsabilità per danni causati da prodotti e servizi basati sull’IA, tale proposta – che si inserisce nel quadro più ampio della regolamentazione dell’intelligenza artificiale nell’UE tra cui il cd. IA Act e la revisione delle norme in materia di sicurezza dei prodotti – si prefigge l’obiettivo di promuovere la diffusione di un’IA affidabile garantendo a coloro che hanno subito danni causati dall’IA una protezione equivalente a quella di cui beneficiano quanti subiscono danni causati da altri prodotti.

La Proposta si applica alle azioni civili di responsabilità extracontrattuale promosse successivamente alla data di recepimento della direttiva da parte di soggetti direttamente danneggiati dall’IA, soggetti subentrati/surrogati nei diritti del danneggiato dall’IA (es. eredi; compagnia assicurativa) e soggetti che agiscono per conto di uno o più danneggiati (azioni rappresentative), al fine di ottenere il risarcimento del danno causato dall’output di un sistema di IA o dalla mancata produzione di un output (che avrebbe dovuto essere prodotto da tale sistema) nell’ambito di regimi di responsabilità per colpa.

Il nuovo regime di responsabilità si intende, quindi, applicabile a prodotti e servizi basati su sistemi di IA, con impatto su un numero molto elevato (e oggi non determinabile) di settori industriali.

L’obiettivo principale della direttiva è di introdurre semplificazioni dell’onere della prova per qualunque soggetto instauri un’azione per danni causati da sistemi di IA in uno Stato membro, al fine di superare le principali criticità riscontrate in materia di responsabilità civile, ossia:

– antieconomicità: le norme nazionali in materia di responsabilità civile risultano spesso di difficile applicazione alla materia dell’IA (in particolare, in relazione all’identificazione del soggetto responsabile);

– incertezza: le norme nazionali possono, inoltre, essere interpretate diversamente in base all’apprezzamento del giudice nazionale;

– frammentazione: aspetto derivante da adeguamenti specifici all’IA da parte delle norme nazionali in materia di responsabilità civile.

Introduce il diritto per il danneggiato di ottenere in sede giudiziale elementi di prova sul sistema di IA c.d. “ad alto rischio”, mediante un ordine giudiziale di divulgazione di tali elementi: tale elemento costituisce, infatti, un oggettivo mezzo efficace per l’identificazione delle persone responsabili, e delle relative prove, al netto, tuttavia, di eventuali limiti intrinseci, quali, in primis, la protezione dei segreti commerciali e delle informazioni riservate.

La direttiva mira a fornire una base efficace per le domande di risarcimento in relazione alla colpa consistente nella non conformità a un obbligo di diligenza a norma del diritto dell’unione o nazionale: sul punto, è stato, dunque, previsto, all’art. 4 paragrafo 1 della direttiva, una presunzione relativa mirata di causalità in relazione, appunto, al nesso di causalità tra la non conformità e l’output prodotto dal sistema di IA o la mancata produzione di un output da parte del medesimo sistema di IA che ha cagionato un danno.

Risulta degno di attenzione il suggerimento, inserito nella relazione complementare alla direttiva, circa l’introduzione di un cd. regime misto, che combini elementi di responsabilità basata sulla colpa e di responsabilità oggettiva: nello specifico, la prima rimarrebbe applicabile in generale, mentre la seconda verrebbe riservata ai casi di danni causati da sistemi di IA ad alto impatto o cd. general-purpose (es. Sanità).

Certamente lo scopo di questo “disegno di direttiva” è degno di apprezzamento.

Quantomeno è chiaro negli obiettivi di tutela che vorrebbe perseguire.

In questo contesto tuttavia non è chiaro come possa essere davvero esercitabile in modo concreto un’azione nei confronti di un’azienda non europea (come la massima parte di quelle più performanti in tema di AI), specie di fronte a liberatorie amplissime sottoscritte da parte degli utenti prima di accettare il servizio. Ciò che già oggi avviene in modo del tutto opaco con quelle straordinarie formule di “aggiornamento alle policy” con un testo chilometrico da accettare per tabulas, e che nessuno legge davvero.

In più vi è da dire che in generale ogni forma di responsabilità riconosciuta oggi beneficia di una copertura assicurativa – non certo obbligatoria ma – almeno stipulabile in teoria. In questo caso non esistono polizze su prodotti di AI.

Infine è bene ricordare che non è possibile imporre ad una azienda una disclosure dei propri algoritmi, la cui sola ipotesi ne mette a rischio – in questo momento e in questo contesto – la capacità stessa di stare sul mercato e competere.

Di fronte a queste perplessità emerge un contrasto che diventa ormai costante tra le buone intenzioni teoriche della normativa – o delle proposte di una regolamentazione – e la realtà concreta della sua applicabilità.

Infine è bene ricordare che anche in presenza dell’ottenimento “in sede giudiziale di elementi di prova sul sistema di IA c.d. “ad alto rischio”, mediante un ordine giudiziale di divulgazione di tali elementi” non si comprende come ciò possa essere utile se “al netto di eventuali limiti intrinseci, quali, in primis, la protezione dei segreti commerciali e delle informazioni riservate” cappello sotto il quale rientra qualsiasi cosa in questo settore (ad esempio in sede di interrogatorio un ingegnere potrebbe violare inconsapevolmente e involontariamente un segreto industriale), oltre al dato tecnico che – se si mira ad una “azione legale economicamente accessibile”- non ci comprende come possano essere usate come prova tali informazioni senza una adeguata e onerosa infrastruttura tecnologica che – “mettendo la prova alla prova” ossia facendo girare l’algoritmo – confermi un dato di colpevolezza.