Il presente contributo analizza la proposta di direttiva pubblicata lo scorso 28 settembre sulla responsabilità per danno da prodotti difettosi nel contesto delle sfide derivanti dai nuovi sistemi tecnologici che la direttiva intende affrontare.
1. Premessa
Le istituzioni europee il 28 settembre u.s. hanno pubblicato due proposte di direttiva, la prima sulla responsabilità derivante da sistemi di IA (AI Liability Directive)[1] e la seconda direttiva sulla responsabilità per danno da prodotti difettosi[2]. Quest’ultima direttiva dovrebbe sostituire, e quindi abrogare, la vigente direttiva europea 85/374/CEE.
Le sfide derivanti dai nuovi sistemi tecnologici che la nuova normativa intende affrontare – già analizzati in precedenti elaborazioni delle istituzioni europee come il libro bianco sull’intelligenza artificiale[3] – sono principalmente quelli riguardanti il rischio di opacità, di autonomia e di connettività[4] derivanti dall’utilizzo di certi prodotti.
Si è dibattuto a lungo sulla necessità di un adeguamento della normativa vigente in virtù degli ultimi progressi della tecnica. Alcune “sfide” non possono essere trascurate e meriterebbero di essere governate; perciò, il legislatore europeo sembra aver optato per una normativa che si sostituisca a quella attuale.
2. Il contesto e gli scopi della nuova direttiva sulla responsabilità per danno da prodotti difettosi
Il contesto in cui interviene il legislatore europeo fa riferimento a quei “rischi” accennati in premessa.
L’autonomia, e quindi l’autoapprendimento del sistema tecnologico e la sua imprevedibilità nelle decisioni pone una prima questione. Si tratta di quelle situazioni in cui un sistema di IA, che al momento della sua immissione sul mercato non si presenta difettoso e che, a seguito di proprie evoluzioni comportamentali, dovute alla sua autonomia ed alla sua capacità di autoapprendimento, modifica la propria condotta fino a sfociare in conseguenze imprevedibili. Sulla base di una applicazione rigorosa della direttiva vigente il produttore potrebbe andare esente da responsabilità poiché è previsto, da un lato, che nella valutazione del danno occorre tenere in considerazione la circostanza del momento in cui il prodotto è stato immesso sul mercato, e dall’altro che (art. 7, lett. b) il produttore non risponde dei danni se dimostra che il difetto che ha causato il danno non esisteva al momento dell’immissione del prodotto in circolazione o che lo stesso sia sorto successivamente. Il rischio del danno residuerebbe perciò a carico del consumatore.
L’opacità, invece, incide anzitutto sotto il profilo probatorio, oltreché sotto il profilo della trasparenza[5]. Infatti, il fenomeno della c.d. black box, non rende agevole, o possibile, la ricostruzione del percorso decisionale seguito dalla macchina o essa risulta eccessivamente dispendiosa o sarebbe necessaria la collaborazione dell’altra parte[6]. Stante, l’art. 4 della direttiva vigente, quindi, l’onere a carico del danneggiato risulterebbe molto gravoso. L’impossibilità, talvolta, di decifrare il comportamento di un algoritmo e di comprendere il suo processo decisionale che conduce ad una determinata azione comporta l’incapacità di definire ipoteticamente i rischi che potrebbero derivare dallo smart product interessato.
La relazione che accompagna la proposta legislativa sottolinea come la direttiva del 1985 si sia rivelata nel tempo efficace e adeguata ma aggiunge che essa ormai presenta alcune carenze, tra cui la difficoltà di coniugare alcune definizioni e concetti in relazione ad alcuni prodotti della moderna economia digitale (il riferimento è ad esempio all’ampio dibattito sul software, ossia se questo possa essere o meno ricompreso nella nozione di prodotto). Un’altra “carenza” riguarda il tema dell’onere della prova per quei casi complessi come nell’ipotesi di sistemi dotati di IA.
Quindi, gli scopi della direttiva risiedono nell’intento di adeguare la normativa alla natura e rischi derivanti da prodotti dell’era digitale, nel garantire che il consumatore sia sempre tutelato anche quando il prodotto provenga da uno Stato extra UE, nel rendere meno gravoso l’onere della prova a carico del danneggiato e nel garantire la certezza del diritto. Obiettivi ambiziosi.
La relazione precisa che i sistemi di intelligenza artificiale e i beni basati sull’IA, alla luce della direttiva proposta, sono considerati “prodotti”, il che implica «che il danneggiato può chiedere il risarcimento del danno causato da un sistema di IA difettoso senza dover provare la colpa del fabbricante». Ancora. Oltre ai fabbricanti di hardware, possono essere ritenuti responsabili anche i fornitori di software e di servizi digitali che incidono sul funzionamento del prodotto[7]. I fabbricanti, peraltro, possono essere ritenuti responsabili per le modifiche da essi apportate a prodotti che hanno già immesso sul mercato anche quando esse sono il risultato di aggiornamenti del software o dell’apprendimento automatico del sistema stesso. Inoltre, come accennato, la direttiva mira a mitigare il gravoso onere della prova nei casi complessi.
3. Il contenuto della normativa proposta sulla responsabilità per danno da prodotti difettosi
L’impianto normativo della proposta di direttiva sulla responsabilità per danno da prodotti difettosi si compone di quattro capi, per un totale di venti articoli. Il primo capo è dedicato alle “disposizioni generali”, includendo l’ambito di applicazione della normativa, l’oggetto e, va da sé, la disposizione dedicata alle varie definizioni. Non è qui opportuna un’analisi analitica di questi elementi normativi, tuttavia, nel quadro delle definizioni proposte merita di essere testualmente menzionato quanto proposto in ordine alla nozione di
- prodotto: ogni bene mobile, anche se integrato in un altro bene mobile o in un bene immobile. Per “prodotto” si intendono anche l’elettricità, i file per la fabbricazione digitale e il software;
- file per la fabbricazione digitale: una versione o un modello digitale di un bene mobile.
Nell’ambito del concetto di “danno” si fanno ricomprendere, inter alia, i pregiudizi materiali derivanti da “perdita o corruzione di dati non usati esclusivamente a fini professionali”.
Il capo II è dedicato specificamente alla responsabilità per danno da prodotti difettosi. Tra queste disposizioni spicca per importanza l’art. 6 rubricato “prodotto difettoso” in cui viene stabilito che “un prodotto è considerato difettoso quando non offre la sicurezza che il grande pubblico può legittimamente attendersi tenuto conto di tutte le circostanze”.
Tra le circostanze citate meritano esplicito richiamo due novità, ovvero la lettera c) che, per affrontare il rischio della autonomia dei sistemi tecnologici include “gli effetti sul prodotto dell’eventuale capacità di continuare ad imparare dopo la sua diffusione” e la lettera d) riguardante “gli effetti sul prodotto di altri prodotti che ci si può ragionevolmente attendere siano utilizzati insieme al prodotto”, nell’ottica della sfida della connettività tra sistemi.
Dunque, il primo capoverso del comma 1 dell’art. 6 è pressocché identico al rispettivo capoverso della direttiva del 1985; tuttavia, mentre quest’ultima contemplava nell’elenco solamente tre circostanze, la nuova proposta ne riporta otto. Il testo del comma 2 presenta anch’esso alcune modifiche.
Il successivo articolo disciplina una articolata distribuzione del rischio con l’individuazione di vari soggetti che possono essere i protagonisti della catena del valore di un determinato prodotto. Viene menzionato l’importatore, il fornitore di servizi di logistica, il distributore e il fornitore di una piattaforma online.
L’art. 8 costituisce una novità e il suo contenuto presenta forti analogie con quanto previsto dalla proposta di AI Liability directive. È previsto infatti che gli Stati si devono adoperare affinché il danneggiato, in presenza di fatti e prove sufficienti a sostenere la plausibilità della domanda risarcitoria, possa ottenere dal Tribunale un ordine nei confronti del convenuto di “divulgare” i pertinenti elementi di prova a sua disposizione. Tale divulgazione nel nostro sistema nazionale andrebbe inteso come ordine di esibizione. Ciò deve essere limitato in virtù del criterio di necessità e proporzionalità. Per quest’ultimo elemento, debbono essere considerati i legittimi interessi di tutte le parti.
La disposizione dedicata all’onere della prova nella disciplina contenuta nella vigente direttiva del 1985 prevede che: “Il danneggiato deve provare il danno, il difetto e la connessione causale tra difetto e danno”.
Nella disciplina ora proposta dal legislatore europeo, dopo aver ribadito la necessità di provare i predetti elementi, con l’intento di mitigare l’onere della prova a carico del danneggiato, viene prevista una presunzione in ordine al carattere difettoso del prodotto (art. 9, comma 2), una presunzione relativa al nesso di causalità tra il difetto del prodotto e il danno (art. 9, comma 3) e, in caso di casi caratterizzati da particolare complessità tecnica o scientifica sulla prova del difetto o sul nesso di causalità, sussiste una loro presunzione se il danneggiato dimostri che il prodotto abbia contribuito a cagionare il danno e sia probabile che il prodotto fosse difettoso, oppure che il suo carattere difettoso sia una probabile causa del danno.
I casi di esenzione da responsabilità del produttore nella disciplina vigente (art. 7) sono sei. La nuova disciplina proposta apporta alcune modifiche, ma senza importanti stravolgimenti. Viene mantenuto l’esonero da responsabilità per il rischio da sviluppo (art. 10, comma 1, lett. e), il quale, contrariamente alla disciplina oggi vigente, non potrebbe essere oggetto di deroga da parte degli Stati membri.
Tra i casi di esonero da responsabilità viene prevista l’ipotesi in cui sia probabile che il difetto che ha causato il danno non esistesse al momento di immissione del prodotto sul mercato, o nel caso di un distributore, messo a disposizione sul mercato, o che tale difetto sia sopravvenuto dopo tale momento. Tuttavia, il comma 2 prevede che tale esimente non troverebbe applicazione qualora il difetto derivasse da uno di questi elementi, a condizione che il prodotto sia sotto il controllo del fabbricante:
- un servizio correlato;
- software, compresi i relativi aggiornamenti o migliorie; oppure
- la mancanza degli aggiornamenti o delle migliorie del software necessari per mantenere la sicurezza.
Si noti come tra questi elementi di cui al comma 2 il legislatore non ha ricompreso l’apprendimento automatico del prodotto.
Il capo III è dedicato alle disposizioni generali in materia di responsabilità e disciplina, tra le altre, le ipotesi di riduzione della responsabilità e i termini di prescrizione e decadenza. Le disposizioni finali, incluse nel capo IV, sono dedicate alla trasparenza, al riesame della direttiva da parte della Commissione europea e al recepimento della direttiva, oltreché al tema dell’abrogazione e alle disposizioni transitorie.
4. Qualche conclusione
Una prima lettura della proposta di direttiva sulla responsabilità per danno da prodotti difettosi consente di trarre alcune conclusioni non esaustive e sicuramente da approfondire.
Ciò che emerge è che il legislatore non ha prospettato una disciplina che discerna tra quei sistemi ad alto rischio e non ad alto rischio. Una distinzione che costituisce invece il fulcro della proposta di Artificial Intelligence Act e che in un certo senso viene ripresa nella proposta di AI Liability Directive. Ancora una volta, a differenza di quanto prospettato nel libro bianco del 2020, non viene operata alcuna differenza a seconda del contesto o dell’uso di un determinato “prodotto intelligente”. Non solo. A fronte di una relazione di accompagnamento della direttiva, nonché dei “considerando” in cui si fa ricomprendere i sistemi di intelligenza artificiale nell’ambito della nozione di “prodotto”, il testo della normativa non riporta mai le due locuzioni di “intelligenza artificiale”, né opera un rinvio a tal proposito alla AI Act. Quindi, tali sistemi, secondo l’intento del legislatore, andrebbero probabilmente ricompresi nel “software” a cui fa esplicito riferimento l’art. 4 della direttiva proposta.
I considerando e la relazione fanno a loro volta riferimento ad una responsabilità oggettiva a carico del produttore. Tuttavia, ciò che emerge dal testo della direttiva è l’assenza di una disposizione come quella del vigente articolo 1 della direttiva 85/347/CEE che con la formula “il produttore è responsabile del danno causato da un difetto del suo prodotto” ha legittimato gli interpreti all’attribuzione di una siffatta responsabilità.
Nel concetto di difetto, per tentare di governare la “sfida” dell’autonomia di certi sistemi, viene inserita la circostanza dell’apprendimento automatico; eppure, da una lettura complessiva dell’impianto normativo non se ne ricavano criteri oggettivi su come tale circostanza possa incidere nel giudizio circa quella sicurezza di cui all’articolo 6.
L’altra novità, sebbene appaia residuale, consiste nel rischio da sviluppo che viene sostanzialmente confermato e mantenuto. Tuttavia, a differenza della vigente normativa, non viene consentita alcuna deroga agli Stati membri.
[1] In proposito cfr. quanto già scritto in dirittobancario.it in data 6 ottobre 2022.
[2] Proposal for a directive of the European Parliament and of the Council on liability for defective products, consultabile sul sito https://single-market-economy.ec.europa.eu
[3] A tal proposito sia consentito il rinvio a G. Proietti, il libro bianco sull’intelligenza artificiale. L’approccio europeo tra diritto ed etica, in giustiziacivile.com, 2020.
[4] Si pensi a tutti quei sistemi che compongono l’Internet of things.
[5] Ciò schiude il tema relativo al discusso – soprattutto in tema di dati personali – diritto di spiegazione. Si rinvia a quanto affrontato in G. Proietti, algoritmi e interesse del titolare nella circolazione dei dati personali, in contratto e impresa, 3/2022, p. 880.
[6] Sulla black box si veda Pasquale, The Black Box Society. The secret Algorithms That Control Money and Information, Cambridge-London, 2015; Cerquitelli – Quercia – Pasquale, Trasparent Data Mining for Big and Small Data, New York, 2017; Y. Bathaee, The Artificial Intelligence Black Box and The Failure of Intent and Causation, vol. 31, n. 2/2018, Harvard Journal of Law & Technology, p. 890; G. Proietti, Una normativa per l’intelligenza artificiale. La proposta di regolamento europeo, in riv. trimestrale Responsabilità d’impresa e antiriciclaggio, 2/2021, p. 220-221; in riferimento al più particolare settore del lavoro si veda: I. Ajunwa, “The ‘black box’ at work”,Big Data & Society, July 2020.
[7] Viene a tal proposito menzionato il caso del servizio di navigazione in un veicolo autonomo.
