La questione della responsabilità per inadempimento totale, parziale o inesatto nel caso di licenze d’uso del software (sia commerciali che open source) è ancora aperta e dibattuta. È noto, infatti, che queste licenze – generalmente predisposte in altri ordinamenti, fra cui in particolare gli Stati Uniti d’America – contengono generalmente clausole che prevedono ampi esoneri dalla responsabilità in questione, ed in particolare tendono ad escludere qualsiasi garanzia che il software riesca a realizzare un determinato risultato (“as it is”), ed a eliminare del tutto una responsabilità del fornitore per il caso di eventuali danni derivanti da difetti del software stesso.
Digital Services Act: i nuovi effetti e le responsabilità per le aziende italiane
Le clausole di esonero della responsabilità
Questo tipo di clausole di esonero della responsabilità sono individuabili, come detto, sia nelle licenze di software di carattere commerciale, sia in quelle relative al software free o open source, benché si tratti di licenze di tipo molto diverso fra di loro.
Le differenze principali consistono nella qualificazione del fornitore, che in molti casi nelle licenze open source potrebbe essere un soggetto “non professionista”, per esempio un ricercatore o un amatore; e nella tendenziale gratuità delle licenze open source, che non prevedono il versamento di un corrispettivo da parte dell’acquirente. Ma queste differenze sono sufficienti a giustificare una diversità di trattamento con particolare riguardo alla questione della responsabilità? Chi opera nel settore dell’open source ha effettivamente obblighi meno stringenti e minori responsabilità rispetto a chi opera nel settore del software commerciale?
E questo è vero anche alla luce delle tendenze verso un sempre maggiore incremento delle responsabilità nel settore del digitale, testimoniato dallo sviluppo della giurisprudenza più recente, e dalle innovazioni legislative in tema di contratti per beni e servizi digitali (Direttiva europea 2019/770 sui contratti di fornitura di contenuti digitali e di servizi digitali) e sulla responsabilità da prodotto (proposta di Direttiva europea sulla responsabilità per prodotti difettosi del 28.9.2022 – COM(2022) 495 final)?
La disciplina delle responsabilità per le licenze commerciali
Per dare una risposta a queste domande è necessario partire dall’analisi della disciplina delle responsabilità con riferimento alle licenze di tipo commerciale. Relativamente a queste si osserva generalmente che esse contengono ampie clausole di esonero della responsabilità che – per quanto nate, come detto, in ordinamenti diversi – possono essere considerate ammissibili anche nel nostro ordinamento. L’art. 1229 c.c. prevede infatti la possibilità di limitare ex contractu la responsabilità del debitore, salva la nullità dei patti che escludono o limitano preventivamente la responsabilità del medesimo per dolo o per colpa grave, o per violazione di obblighi derivanti da norme di diritto pubblico. Ne consegue la legittimità di limitazioni di responsabilità effettuate ad altro titolo, e quindi – per esempio – con riferimento al grado della colpa (nel senso che si può prevedere a carico del debitore un obbligo di diligenza inferiore a quello ordinario), oppure con riferimento agli effetti dell’inadempimento imputabile (escludendo la risolubilità del contratto e prevedendo limitazioni al risarcimento del danno).
Tuttavia, la teorica ammissibilità di queste clausole non si risolve in una loro sicura applicabilità, dal momento che esse ricadono nella categoria delle clausole cd. vessatorie, con la conseguente necessità di tenere in considerazione le norme civilistiche in materia di contratti standard e quelle del codice del consumo in materia di tutela di consumatori (che oggi si estendono anche alle cd. microimprese). Per quanto concerne il primo profilo, è noto che ai sensi dell’art. 1341 c.c. nel caso di condizioni generali di contratto predisposte da uno dei contraenti (il caso tipico delle licenze d’uso del software, che sono contratti cd. “standard” predisposti unilateralmente dal titolare dei diritti) non hanno effetto nei confronti dell’altra parte, salvo che siano specificamente approvate per iscritto, le condizioni che dispongono – inter alia – limitazioni della responsabilità. Sulla base di questa norma gli interpreti ritengono che le clausole di limitazione della responsabilità contenute nelle citate licenze standard non siano generalmente valide, dal momento che di solito manca una loro specifica sottoscrizione.
I paletti del codice del consumo
Fermo restando quanto sopra per i rapporti B2B, ulteriori norme sono poi dettate dal nostro ordinamento a protezione del consumatore. Il codice del consumo prevede in particolare che non è possibile esonerare il professionista da responsabilità nel caso di morte o danno alla persona del consumatore, derivanti da un fatto o da un’omissione del professionista; così come non è possibile limitare le azioni del consumatore nel caso di inadempimento totale o parziale o di inadempimento inesatto da parte del professionista, ovvero escludere l’obbligo di garanzia per l’evizione o per i vizi del bene fornito. Inoltre, come anticipato sopra, la sensibilità del legislatore nei confronti della fornitura di beni e servizi digitali è cresciuta negli ultimi anni, tanto che il d.lgs. n. 173/2021, di attuazione della già citata Direttiva europea 2019/770 sui contratti di fornitura di contenuti digitali e di servizi digitali, ha introdotto alcuni obblighi specifici e più stringenti in capo al fornitore di un contenuto digitale o di un servizio digitale.
Tali obblighi si applicano quando il consumatore corrisponde un prezzo, oppure quando fornisce dati personali al professionista, se i dati non sono trattati dal professionista esclusivamente per l’esecuzione del contratto. In questi casi il contenuto o il servizio digitale devono possedere determinati requisiti per essere considerati conformi, e quindi a) corrispondere alla descrizione, alla quantità e alla qualità previste dal contratto e presentare funzionalità, compatibilità, interoperabilità e le altre caratteristiche previste dal contratto; b) essere idonei ad ogni uso particolare voluto dal consumatore e che è stato da questi portato a conoscenza del professionista al più tardi al momento della conclusione del contratto e che il professionista ha accettato; c) essere forniti con tutti gli accessori, le istruzioni, anche in merito all’installazione e l’assistenza ai clienti, come previsti dal contratto; e d) essere aggiornati come previsto dal contratto. Inoltre, in generale il contenuto ed il servizio digitale devono essere adeguati agli scopi per cui un contenuto o servizio digitale del medesimo tipo sarebbe utilizzato; devono possedere le qualità, quantità e caratteristiche di prestazione che normalmente si trovano per quel tipo di contenuto o servizio e che il consumatore può ragionevolmente aspettarsi; devono essere accompagnati dagli accessori e istruzioni che il consumatore può ragionevolmente aspettarsi di ricevere; devono essere conformi all’eventuale versione di prova o anteprima.
Al consumatore sono poi riconosciuti diversi rimedi per il caso di mancata fornitura o quando sussistano difetti. Nel primo caso, il consumatore può inviare al professionista una richiesta di adempiere; se quest’ultimo non adempie entro un termine congruo o uno ulteriore fissato dalle parti, il consumatore ha diritto di risolvere il contratto (fermo restando che il consumatore può risolvere immediatamente il contratto quando il professionista ha dichiarato o risulta evidente dalle circostanze che non sarà effettuata la fornitura o quando sia stato previsto un termine essenziale per la fornitura).
Quando il bene è viziato, il consumatore ha diritto al ripristino o a una congrua riduzione del prezzo o alla risoluzione del contratto (risoluzione che peraltro non si presenta di facile attuazione quando il contratto preveda la fornitura da parte del consumatore di propri dati personali). Infine, la tutela prevede anche la sanzione della nullità, che può essere fatta valere solo dal consumatore o rilevata d’ufficio dal giudice, e fermo restando che si tratta di norme di applicazione necessaria, con la conseguenza che è nulla ogni clausola contrattuale che raggiunga gli effetti vietati applicando una legislazione di uno Stato non appartenente all’Unione Europea.
La proposta di Direttiva europea sulla responsabilità per prodotti difettosi
Allo scenario ora indicato si aggiunge quello della proposta di Direttiva europea sulla responsabilità per prodotti difettosi, che da un lato include esplicitamente software e intelligenza artificiale nel proprio perimetro di applicazione, e dall’altro lato estende la definizione di danno per includere la perdita o il danneggiamento dei dati. Anche secondo questa proposta una vulnerabilità della sicurezza informatica è un difetto del prodotto, ed il mancato aggiornamento del medesimo per proteggerlo da una vulnerabilità può comportare responsabilità; inoltre, se un componente è difettoso, la responsabilità può estendersi al produttore del componente (ad esempio lo sviluppatore del software), oltre al produttore del prodotto finale.
Cosa avviene nel settore open source
Come si è quindi potuto vedere sino ad ora, le clausole di esonero della responsabilità normalmente inserite nelle licenze d’uso del software commerciale possono incontrare rilevanti limiti di applicazione, che possono essere generali in applicazione delle regole sulla specifica sottoscrizione delle clausole vessatorie contenute nelle condizioni generali di contratto, oppure specificamente dettate a tutela dei consumatori di beni e servizi digitali. Ma che cosa avviene nel settore open source? Anche qui si ritrovano infatti normalmente clausole estese di limitazione delle responsabilità, come per esempio nella GNU General Public License, secondo cui (clausole 15 e ss.) “non vi è garanzia per il programma, nella misura consentita dalla legge applicabile. Eccetto quanto diversamente dichiarato per iscritto, i titolari del diritto d’autore e/o altre parti forniscono il programma “così com’è”, senza garanzie di alcun tipo, espresse o implicite, incluse, ma non limitate a, le garanzie implicite di commerciabilità e idoneità per uno scopo particolare. L’intero rischio relativo alla qualità e alle prestazioni del programma cade sull’utente. Se il programma risulta difettoso, l’utente si assume il costo di tutta la manutenzione necessaria, la riparazione o la correzione”. Clausole come quella qui sopra riportata sono valide ed applicabili? E lo sono in qualsiasi situazione oppure si possono fissare dei ben previsi limiti?
Secondo la posizione dottrinaria finora prevalente, queste clausole dovrebbero in generale essere considerate valide ed applicabili, perché in ambito open source non vi sarebbero “professionisti”, e poiché inoltre le licenze sarebbero contratti a titolo gratuito. Quanto al primo punto, si osserva che le norme del codice del consumo si applicano esclusivamente nei rapporti fra un professionista ed un consumatore. Ebbene, non potrebbe essere considerato professionista chi – una tantum o occasionalmente – sviluppo un software e lo distribuisca con una licenza free o open source.
La stessa conclusione dovrebbe applicarsi – anche se con qualche maggiore dubbio – per il caso di chi elabori e distribuisca regolarmente ma senza chiedere corrispettivo alcuno. Si rileva infatti che in questi casi il soggetto, non ricevendo compensi economici, non potrebbe creare ed avvantaggiarsi di una posizione di preminenza rispetto al consumatore. Per queste medesime ragioni, chi elabora e sviluppa gratuitamente il software, ma contemporaneamente offre a pagamento dei servizi accessori e aggiuntivi, andrebbe invece considerato a tutti gli effetti come un professionista. Con riguardo alla questione della gratuità, si sostiene che l’assenza di un sacrificio economico da parte dell’utente giustificherebbe un’attenuazione delle regole della responsabilità contrattuale (attenuazione che si rintraccia d’altro canto in altri contratti a titolo gratuito previsti dal nostro ordinamento, come per esempio il mandato o il deposito). In altre parole, l’utente si accosterebbe al prodotto concesso gratuitamente essendo preparato alla eventuale circostanza che questo possa non raggiungere in modo del tutto sicuro ed efficiente i risultati ricercati.
La giurisprudenza
Tuttavia, va segnalato che secondo la giurisprudenza più recente della Suprema Corte non esisterebbe un principio generale di attenuazione della responsabilità derivante dalla natura gratuita o di cortesia di una prestazione (Cass. 18230/2014). In particolare, chi inizia volontariamente l’esecuzione di una prestazione, ha il dovere di eseguirla con la correttezza e la diligenza prescritte dagli artt. 1175 e 1176 c.c., a nulla rilevando che la prestazione sia eseguita volontariamente ed a titolo gratuito. Dunque, il principio di attenuazione della responsabilità varrebbe solo nei casi normativamente previsti; o comunque andrebbe applicato tenendo conto della natura della prestazione, e potrebbe quindi essere considerato applicabile solo nel caso di prestazioni che non incidono su interessi e valori fondamentali della persona. In questo contesto, ci si potrebbe chiedere se il principio di attenuazione della responsabilità per chi opera nel settore open source sia effettivamente sempre applicabile anche nel contesto giuridico attuale, in cui l’evoluzione tecnologica ha fatto sì che il software permei pressoché ogni prodotto ed ogni servizio, inclusi quelli che possono avere a che fare con l’incolumità della persona (ambito medicale o della sicurezza) o con altri diritti primari (come ad esempio l’accesso all’educazione, a determinati concorsi lavorativi, etc.).
Al momento sembra potersi dire che l’ordinamento tiene in adeguata considerazione la natura free o open source della licenza e tende a ricollegare a quest’ultima un grado di responsabilità attenuato. Nel testo della proposta per una Direttiva europea in materia di responsabilità da prodotti difettosi, si prevede infatti al Considerando 13 si prevede che “per non ostacolare l’innovazione o la ricerca, la presente direttiva non dovrebbe applicarsi al software free e open source sviluppato o fornito al di fuori del corso di un’attività commerciale. Questo è in particolare il caso del software, compreso il suo codice sorgente e versioni modificate, che è apertamente condiviso e liberamente accessibile, utilizzabile, modificabile e ridistribuibile. Tuttavia, laddove il software venga fornito in cambio di un prezzo o i dati personali non vengono utilizzati esclusivamente per migliorare la sicurezza, la compatibilità o interoperabilità del software, e viene pertanto fornito nel corso di una attività commerciale, dovrebbe applicarsi la direttiva”.
Conclusioni
Premesso che il testo ora riportato non è definitivo, e si presta quindi ad ulteriori modificazioni, va rilevato che la proposta sottolinea l’opportunità di prevedere un regime specifico e di maggior favore per il mondo open e free del software. Questo regime di favore non si giustifica tuttavia quando la licenza sia commerciale e comunque riguardi ipotesi in cui il licenziante – benché distribuisca gratuitamente il software – richieda ed ottenga dati personali per fini ulteriori rispetto a quelli unicamente contrattuali o funzionali a questi ultimi. Fermo restando quanto sopra, non sembra del tutto impossibile ipotizzare casi – eventualmente anche di creazione giurisprudenziale – in cui ci siano ulteriori equiparazioni del mondo open source a quello commerciale, per quanto riguarda la responsabilità, sulla scorta della giurisprudenza della Suprema Corte sopra richiamata.
Questi casi potrebbero in particolare verificarsi quando il software rilasciato con licenza open source abbia una funzione cruciale in relazione a diritti fondamentali dell’individuo, secondo un’interpretazione adeguatamente evolutiva di fatto e di diritto. Certamente la soluzione in concreto adottata andrà attentamente valutata sulla base di un corretto assessment dell’obbligo di diligenza concretamente richiedibile, che non può spingersi ad imporre una prestazione in concreto inesigibile, anche – per esempio – perché del tutto sproporzionata dal punto di vista economico.
