La problematica della responsabilità civile derivante dal non corretto utilizzo di sistemi di intelligenza artificiale sta assumendo un particolare rilievo negli ultimi tempi alla luce della sempre maggiore diffusione dell’IA in tutte le attività dell’uomo sia lavorative che ludiche. Di conseguenza gli enti, le imprese e tutte le realtà organizzative che utilizzano tali sistemi dovranno porre particolare attenzione al rispetto di regole e precauzioni fondamentali per evitare di trovarsi di fronte ad aspetti di responsabilità di difficile gestione.
L’approccio europeo alla problematica
In materia il quadro normativo europeo è ancora molto incerto in quanto nella stessa proposta di Regolamento del Parlamento europeo e del Consiglio in materia di IA del 21 aprile 2021 successivamente soggetta a modifiche approvate dal Parlamento europeo il 14 giugno 2023 si chiarisce che il provvedimento fa parte di un pacchetto più ampio di misure destinate ad affrontare i problemi posti dallo sviluppo e dall’utilizzo dell’IA, come esaminato nel Libro bianco sull’intelligenza artificiale. Sono pertanto garantite la coerenza e la complementarità rispetto ad altre iniziative in corso o previste della Commissione, volte anch’esse ad affrontare tali problemi, comprese la revisione della normativa settoriale sui prodotti (ad esempio la direttiva macchine, la direttiva sulla sicurezza generale dei prodotti) e le iniziative che affrontano le questioni connesse alla responsabilità in relazione alle nuove tecnologie, compresi i sistemi di IA. Tali iniziative si dovranno basare sulla stessa proposta e la integreranno al fine di apportare chiarezza giuridica e favorire lo sviluppo di un ecosistema di fiducia nei confronti dell’IA in Europa.
Di conseguenza l’approccio europeo ha natura programmatica e getta solo le basi per una futura e più organica regolamentazione.
Il fattore rischio nella proposta Ue
Come noto le nuove regole comunitarie sull’IA tengono conto del fattore rischio. Proprio in considerazione di tale classificazione nella proposta di Regolamento si chiarisce che è opportuno che una specifica persona fisica o giuridica, definita come il fornitore, si assuma la responsabilità dell’immissione sul mercato o della messa in servizio di un sistema di IA ad alto rischio, a prescindere dal fatto che tale persona fisica o giuridica sia la persona che ha progettato o sviluppato il sistema. Con ciò attribuendo allo stesso fornitore un ruolo fondamentale nella filiera di responsabilità che coinvolge tanti altri soggetti (progettista, sviluppatore, utilizzatore, produttore, ecc.).
Difatti, nello stesso tempo, nella proposta legislativa si aggiunge che in considerazione della natura dei sistemi di IA e dei possibili rischi per la sicurezza e i diritti fondamentali associati al loro utilizzo, anche per quanto riguarda la necessità di garantire un adeguato monitoraggio delle prestazioni di un sistema di IA in un contesto reale, è opportuno stabilire responsabilità specifiche per gli utenti. È in particolare opportuno che gli utenti usino i sistemi di IA ad alto rischio conformemente alle istruzioni per l’uso e che siano previsti alcuni altri obblighi in materia di monitoraggio del funzionamento dei sistemi di IA e conservazione delle registrazioni, a seconda dei casi.
Ad ogni modo l’art. 48 della proposta di Regolamento successivamente emendata dal Parlamento europeo prevede che il fornitore compili una dichiarazione scritta di conformità UE leggibile meccanicamente fisica o elettronicaper ciascun sistema di IA e la tenga a disposizione dell’autorità nazionale di controllo e delle pertinenti autorità nazionali competenti per dieci anni dalla data in cui il sistema di IA ad alto rischio è stato immesso sul mercato. La dichiarazione di conformità UE identifica il sistema di IA per il quale è stata redatta e redigendo la dichiarazione di conformità UE, il fornitore si assume la responsabilità della conformità ai requisiti definiti nello stesso schema di regolamento.
Approccio simile adotta il Parlamento europeo anche con il Regolamento (UE) 2023/1230 del 14 giugno 2023 relativo alle macchine che abroga la direttiva 2006/42/CE del Parlamento europeo e del Consiglio e la direttiva 73/361/CEE del Consiglio. Difatti l’art. 20 specifica che “le macchine e i prodotti correlati che sono stati certificati o per i quali è stata emessa una dichiarazione di conformità nell’ambito di un sistema di certificazione della cybersicurezza adottato conformemente al regolamento (UE) 2019/881 e i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, sono considerati conformi ai requisiti essenziali di sicurezza e di tutela della salute di cui all’allegato III, punti 1.1.9 e 1.2.1, per quanto concerne la protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo nella misura in cui tali requisiti siano contemplati dal certificato di cybersicurezza o dalla dichiarazione di conformità o da loro parti”.
In particolare l’art. 21 disciplina la Dichiarazione di conformità UE per le macchine e i prodotti correlati chiarendo che con tale dichiarazione, il fabbricante si assume la responsabilità della conformità della macchina o del prodotto correlato ai requisiti stabiliti dal Regolamento. Gli artt. 25 e seguenti, inoltre, disciplinano le procedure di valutazione della conformità per le macchine e i prodotti correlati e le attività di notifica degli organismi autorizzati a svolgere compiti di valutazione della conformità per conto di terzi, i quali dipendono da un’autorità di notifica, designata da ciascun Stato membro dell’UE, che è responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione e la notifica degli stessi organismi.
Le principali questioni da risolvere
Comunque, come si è anticipato, gli orientamenti comunitari su tale tematica allo stato attuale risentono di forti dubbi ed incertezze sulla stessa natura della responsabilità. Al riguardo la proposta di Regolamento cita la “Risoluzione del Parlamento europeo del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’intelligenza artificiale” che al punto 6 ritiene che non sia necessaria una revisione completa dei regimi di responsabilità correttamente funzionanti, ma che la complessità, la connettività, l’opacità, la vulnerabilità, la capacità di modifica mediante aggiornamenti, l’autoapprendimento e la potenziale autonomia dei sistemi di IA, come pure la molteplicità degli attori coinvolti nel settore rappresentino comunque una sfida significativa per l’efficacia dei quadri normativi dell’Unione e nazionali in materia di responsabilità. In altri termini il Parlamento europeo ritiene che occorrano adeguamenti specifici e coordinati dei regimi di responsabilità per evitare una situazione in cui le persone che subiscono pregiudizi o danni al patrimonio non ottengano un risarcimento.
In particolare al punto 11 il Parlamento europeo reputa che le norme in materia di responsabilità che riguardano l’operatore dovrebbero contemplare tutte le attività dei sistemi di IA, a prescindere da dove esse si svolgono e dal fatto che avvengano fisicamente o virtualmente. In merito si aggiunge che le potenziali vittime di danni o pregiudizi spesso non sono consapevoli del funzionamento del sistema di IA e normalmente non potrebbero far valere una responsabilità contrattuale nei confronti dell’operatore, di conseguenza quando si concretizza il danno o il pregiudizio, tali persone potrebbero far valere unicamente la responsabilità per colpa con il rischio di avere difficoltà a dimostrare la colpa dell’operatore del sistema di IA e vedere respinte le corrispondenti azioni per responsabilità civile.
Tali osservazioni pongono l’accento su quanto sia importante definire le relative responsabilità in un ambito contrattuale dove vengano fornite chiare informazioni agli stessi utilizzatori dei sistemi di IA.
La risoluzione si perde, poi, in una improbabile e complessa distinzione tra l’operatore di front-end che dovrebbe essere definito come la persona fisica o giuridica che esercita un certo grado di controllo su un rischio connesso all’operatività e al funzionamento del sistema di IA e che beneficia del suo funzionamento e l’operatore di back-end che dovrebbe essere definito come la persona fisica o giuridica che, su base continuativa, definisce le caratteristiche della tecnologia, fornisce i dati e il servizio di supporto di back-end essenziale e pertanto esercita anche un elevato grado di controllo su un rischio connesso all’operatività e al funzionamento del sistema di IA.
Diventa di conseguenza inevitabile il richiamo ai regimi di responsabilità oggettiva degli Stati membri, per cui una normativa europea in tema di responsabilità dovrebbe contemplare le violazioni di diritti fondamentali giuridicamente tutelati come il diritto alla vita, alla salute, all’integrità fisica e al patrimonio, e dovrebbe fissare gli importi e l’entità del risarcimento nonché i termini di prescrizione, includendo anche il danno non patrimoniale significativo che causi una perdita economica verificabile che oltrepassi una soglia armonizzata nel diritto dell’Unione in materia di responsabilità civile.
Come già accaduto con la risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica, il provvedimento comunitario in esame considera la copertura della responsabilità civile uno dei fattori principali che definiscono il successo delle nuove tecnologie e dei nuovi prodotti e servizi, osservando che un’idonea copertura della responsabilità è essenziale anche per garantire al pubblico di potersi fidare della nuova tecnologia nonostante la possibilità di subire danni o di affrontare azioni legali intentate dalle persone interessate.
Ovviamente in questo modo però si aggira solamente il problema della responsabilità civile senza entrare nel merito delle relative questioni.
L’orientamento comunitario e i rapporti con la normativa in materia di protezione dei dati personali
Proprio per questo motivo in considerazione del fatto che alla continua diffusione dei progressi tecnologici debba corrispondere la messa in essere di garanzie volte a far sì che i consumatori dell’UE beneficino dei più elevati livelli di tutela, anche nell’era digitale, con la recente proposta di direttiva sulla responsabilità da intelligenza artificiale del 28 settembre 2022 la Commissione si impegna a garantire che le innovazioni tecnologiche pionieristiche non vadano mai a scapito delle garanzie per i cittadini. È necessario un quadro giuridico armonizzato a livello dell’UE per evitare il rischio di frammentazione giuridica al momento di colmare i vuoti dovuti a questi progressi tecnologici senza precedenti.
Le norme nazionali vigenti in materia di responsabilità non sono adatte a gestire le domande di risarcimento dei danni causati da prodotti e servizi basati sull’IA. Nelle azioni di responsabilità per colpa il danneggiato deve identificare chi citare in giudizio e spiegare in dettaglio la colpa, il danno e il nesso di causalità tra i due. Ciò non è sempre facile, in particolare quando si tratta di IA. I sistemi possono spesso essere complessi, opachi e autonomi, rendendo eccessivamente difficile, se non impossibile, il soddisfacimento dell’onere della prova da parte del danneggiato.
Una delle funzioni più importanti delle norme in materia di responsabilità civile è garantire che i danneggiati possano chiedere un risarcimento. Se le sfide poste dall’IA rendono eccessivamente difficile l’accesso al risarcimento, non vi è un accesso effettivo alla giustizia. Garantendo un risarcimento effettivo, queste norme contribuiscono alla tutela del diritto a un ricorso effettivo e a un giudice imparziale sancito dalla Carta dei diritti fondamentali dell’Unione europea.
Le nuove norme garantiranno che qualsiasi tipo di danneggiato (persone fisiche o imprese) possa disporre di un’equa possibilità di risarcimento qualora abbia subito danni causati da colpa o omissione di un fornitore, di uno sviluppatore o di un utente dell’IA. Inoltre, investire nella fiducia e stabilire garanzie in caso di problemi significa investire nel settore e contribuire alla sua diffusione nell’UE.
Norme efficaci in materia di responsabilità costituiscono inoltre un incentivo economico a rispettare le norme di sicurezza, contribuendo pertanto alla prevenzione dei danni.
Interessanti sono le prospettive che questa proposta della Commissione europea può presentare con riferimento alla materia della protezione dei dati personali e principalmente con riferimento al risarcimento di danni derivanti da un trattamento illegittimo del dato è da vedere in diretto collegamento con quanto previsto dall’art. 82 del GDPR il quale prevede che chiunque subisca un danno materiale o immateriale cagionato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Come sappiamo, difatti, un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento non conforme al Regolamento. Un responsabile, invece, del trattamento risponde per il danno cagionato dallo stesso solo se non ha adempiuto agli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo esterno o contrario alle legittime istruzioni del titolare del trattamento.
Alla luce poi delle ultime pronunce della giurisprudenza di legittimità che con riferimento al risarcimento del danno non patrimoniale derivante dalla violazione della privacy ha posto dei paletti ben precisi quali la necessità di provare adeguatamente il danno e di accertare la gravità della lesione e la serietà del danno, le norme introdotte dalla direttiva possono rivelarsi particolarmente utili.
Le garanzie principali introdotte dalle nuove norme
Difatti, in particolare, le nuove norme introducono due garanzie principali: in primo luogo, la direttiva sulla responsabilità da intelligenza artificiale alleggerisce l’onere della prova a carico dei danneggiati introducendo la “presunzione di causalità”: se i danneggiati possono dimostrare che qualcuno ha agito con colpa non rispettando un determinato obbligo pertinente al danno e che è ragionevolmente probabile un nesso di causalità con le prestazioni dell’IA, il giudice può presumere che tale inosservanza abbia causato il danno; in secondo luogo, quando il danno è dovuto al fatto che un fornitore non ottempera alle prescrizioni quando utilizza servizi connessi alle assunzioni basati sull’IA, la nuova direttiva sulla responsabilità da intelligenza artificiale aiuterà i danneggiati ad accedere a elementi di prova pertinenti.
I danneggiati potranno chiedere al giudice di ordinare la divulgazione di informazioni sui sistemi di IA ad alto rischio. Ciò consentirà ai danneggiati di identificare la persona che potrebbe essere ritenuta responsabile e di scoprire cosa non ha funzionato. D’altro canto, la divulgazione sarà soggetta a garanzie adeguate per proteggere le informazioni sensibili, come i segreti commerciali.
La responsabilità civile con riferimento alla robotica
In realtà già da tempo anche la dottrina, specialmente con riferimento alla robotica, ha ritenuto che dalle difficoltà di accertare le responsabilità nei sistemi complessi, debba farsi conseguire la necessità di distaccarsi dai modelli esistenti e di ragionare secondo schemi innovativi.
In particolare vengono proposte tre teorie in tema di responsabilità civile per affrontare il c.d. «responsability gap » che possono essere prese in considerazione anche con riferimento all’intelligenza artificiale (l’intelligenza del robot non può che essere artificiale).
Una prima corrente affiderebbe alla limitazione della responsabilità il duplice compito, per un verso, di promuovere l’innovazione nella ricerca e nell’industria robotica, riducendo il timore di costi elevati legati al coinvolgimento in controversie civili; per un altro verso, di garantire l’immunità ai produttori rispetto ad eventi di danno che non avrebbero potuto essere evitati usando la debita diligenza nel progettare il manufatto e nell’informare il consumatore dei suoi potenziali rischi.
L’idea di una «immunità selettiva», da applicare soprattutto ai produttori di piattaforme robotiche aperte, costituirebbe un compromesso efficiente tra il bisogno di dare impulso allo sviluppo di tecnologie innovative e quello di incentivare l’adozione di misure di sicurezza.
Un secondo indirizzo ricorre alla creazione di una personalità giuridica per i robot allo scopo di renderli direttamente responsabili degli eventuali danni causati a terzi.
Tale soluzione viene considerata più efficiente rispetto al tentativo di adattare gli attuali schemi di responsabilità vicaria all’autonomia limitata dei robot. Essi potrebbero trovare applicazione là dove si ritenesse di assimilare la capacità cognitiva e decisionale dei robot a quella di soggetti che, per l’età o l’indebolimento sul piano psichico, non sono chiamati a rispondere in prima persona dei danni provocati ad altri, ma sono sostituiti nella funzione risarcitoria da coloro che se ne prendono cura.
Ugualmente, e forse in modo più appropriato, potrebbe essere impiegato il paragone con razione di esseri dotati di una razionalità primitiva come gli animali, che di nuovo chiama in causa la responsabilità del loro proprietario.
Tuttavia, questa responsabilità per difetto di controllo sull’agire del robot potrebbe imporre oneri eccessivi ogni qualvolta la tecnologia sia impiegata allo scopo di alleviare la condizione di persone, come anziani o disabili, che se ne servono per finalità di assistenza e di cura. In questi casi sarebbe frustrata la ragione stessa dell’introduzione di simili applicazioni tecnologiche, ossia rendere accessibile la disponibilità di un aiuto domestico a più persone, in risposta ai problemi dell’invecchiamento della società, della scarsità di assistenza di tipo professionale e dei costi elevati che essa presenta, del bisogno di promuovere l’indipendenza e l’inclusione sociale dei potenziali utenti.
Muovendo dalla capacità embrionale, ma probabilmente crescente, dei robot di esprimere un livello elevato di autonomia, si propone allora un argomento più generale volto a costruire una soggettività delle macchine.
La «personalità elettronica» è considerata un approccio plausibile al problema della responsabilità sia per i robot dotati di un corpo sia per i software robot che esibiscano un certo grado di autonomia e interagiscano con le persone. A questa proposta si accompagna naturalmente la necessità di creare un registro e dotare ogni robot di un identificativo al momento della sua messa in commercio, nonché di assicurare che gli sia associato un fondo tramite cui rispondere delle obbligazioni.
I modi attraverso cui formare e finanziare questo fondo potrebbero essere diversi, e la relativa scelta implicare anche l’identificazione del soggetto sul quale dovrebbero gravare, totalmente o in parte, le conseguenze economiche di eventuali danni provocati dalla macchina.
Una terza indicazione è orientata in senso opposto, ossia verso un inasprimento della responsabilità del proprietario in funzione di tutela dell’ eventuale danneggiato. La constatazione da cui si muove concerne infatti la difficoltà per quest’ultimo di provare la negligenza ovvero, nel caso in cui si applichi la responsabilità da prodotto, la difettosità e il nesso di causalità, in ragione della complessità e della «imperscrutabilità» per la persona comune del funzionamento di macchine estremamente sofisticate. Il proprietario dovrebbe viceversa rispondere in base a un criterio di responsabilità oggettiva quale beneficiario della tecnologia, che può ottenere vantaggi economici e produttivi dall’introduzione di robot nella sua organizzazione.
Poiché questa regola deve risultare sostenibile e compatibile con l’avanzamento del processo di automazione e con la diffusione della robotica di servizio, si propone di accompagnarla con la fissazione di una soglia massima di risarcimento cui può essere tenuta la medesima persona, che renderebbe più facilmente assicurabile il rischio.
Conclusioni
Alla luce, quindi, di questo breve excursus in tema di responsabilità civile derivante dall’utilizzo dell’IA appare plausibile, anche per soddisfare le esigenze fondamentali di certezza del diritto, evitare di ricorrere alle complesse ed insidiose figure di responsabilità oggettiva o per colpa e cercare di definire in modo preciso una sorta di responsabilità contrattuale del produttore che fornisce dettagliate informazioni sul funzionamento dei sistemi di IA, rendendo quindi edotti i distributori e gli stessi utilizzatori circa le principali caratteristiche di tali sistemi e le necessarie precauzioni da adottare.
In tal modo la non correttezza e/o fondatezza delle informazioni fornite farebbe nascere un’inevitabile responsabilità del produttore, mentre, al contrario, non sarebbero scusabili errori o disattenzioni nell’utilizzo di tali sistemi da parte degli altri soggetti coinvolti in tale filiera di responsabilità.
