Il presente contributo analizza la proposta di direttiva su Intelligenza Artificiale e Responsabilità (AI Liability Directive).
1. Premessa
Le istituzioni europee hanno recentemente compiuto un altro passo per la costruzione di un impianto normativo riguardante il tema dell’innovazione e, in particolare, quello della intelligenza artificiale.
Il 28 settembre u.s., infatti, è stata pubblicata la proposta di direttiva sulla responsabilità derivante da sistemi di I.A. (AI Liability Directive)[1], parallelamente ad un’altra importante proposta di modifica della direttiva sulla responsabilità da prodotti difettosi[2]. Le due proposte, dovranno in futuro essere analizzate congiuntamente, così come dovrà essere sempre tenuta in considerazione la precedente proposta di regolamentazione dell’I.A. – l’Artificial intelligence Act – che si è tenuta lontana dal disciplinare in modo diretto le spinose questioni inerenti alla responsabilità da sistemi di IA. Sull’Artificial intelligence Act si è già ampiamente aperto un dibattito dottrinale, e non è difficile prevedere che lo stesso avverrà anche in merito alle ultime due proposte di direttiva[3].
Il quadro non sarebbe completo se si trascurassero altre proposte legislative che, sebbene riguardino la materia dei dati personali, hanno una diretta incidenza rispetto alle questioni attinenti alle innovazioni tecnologiche. Esse sono iniziative dirette a realizzare il progetto di un mercato unico europeo dei dati. Alcuni progetti legislativi sono stati già approvati – il riferimento è al Digital Service Act e al Digital Market Act – mentre altri sono ancora in una fase di gestazione. Il riferimento è al Data Governance Act e al Data Act.
Le iniziative legislative, sebbene riguardino ciascuna aspetti e ambiti particolari, preannunciano un sistema ampiamente regolato. L’auspicio è che ciò non irrigidisca eccessivamente il sistema.
2. Il quadro generale della direttiva su Intelligenza Artificiale e Responsabilità
La proposta di direttiva, composta da trentatré considerando e nove articoli si ritaglia un ambito di applicazione ed uno scopo ben definito. Innanzitutto, la disciplina proposta riguarda l’ambito della responsabilità extracontrattuale e, come stabilito nel considerando n. 3, si occupa di quegli illeciti civili in cui un sistema di intelligenza artificiale si interpone tra la condotta o omissione di un soggetto e il danno cagionato. Alcuni di questi sistemi, si specifica, per le loro caratteristiche dovute ad opacità, autonomia e complessità intrinseca, rendono difficoltoso, se non impossibile, l’assolvimento dell’onere della prova facente capo al danneggiato.
Per questo, ovvero per far sì che si traggano il più possibile i benefici economici e sociali derivanti dall’utilizzo di sistemi di IA, è necessario che ci sia un’armonizzazione in questo settore per le normative dei vari stati membri. L’armonizzazione perseguita con la proposta di direttiva, specifica il considerando 10, però, non viene estesa al campo inerente a quegli aspetti generali della responsabilità civile regolate in modo differente nei vari stati membri UE come, ad esempio, la definizione di colpa o di causalità, i differenti tipi di danno, l’imputabilità della responsabilità o i criteri di quantificazione del danno.
La direttiva, inoltre, non interferisce con il Digital Services Act, così come deve essere considerata in un rapporto di complementarità rispetto alla proposta inclusa nell’Artificial Intelligence Act, più volte citato e richiamato dalle stesse disposizioni della proposta.
È nell’ambito dell’articolo riguardante le definizioni che vengono operati un gran numero di rinvii proprio all’Artificial Intelligence Act, riguardanti la definizione di sistema IA, nonché di sistema IA ad alto rischio, di provider o di utente.
Viene poi posto l’accento (considerando n. 16) sull’importanza dell’accesso alle informazioni riguardo specifici sistemi di intelligenza artificiale ad altro rischio che si presume abbiano provocato un danno per accertare l’esistenza dei presupposti di richiesta del danno.
Nella proposta legislativa viene espressamente previsto che la direttiva non riguarda, e quindi lascia impregiudicata, la fattispecie legislativa concernente la responsabilità nel settore dei trasporti, nonché la direttiva 85/374/CE sulla responsabilità da prodotto difettoso, il Digital Services Act e le regole nazionali che determinano il soggetto su cui grava l’onere probatorio o sulla definizione di colpa. Rimane ferma la facoltà per gli Stati membri di adottare o mantenere norme interne più favorevoli per il danneggiato per i danni causati da un sistema IA.
3. La disciplina proposta su Intelligenza Artificiale e Responsabilità
Il fulcro dell’impianto normativo proposto è in parte contenuto nell’art. 3 e, per altra parte, nell’art. 4.
Il primo, prevede che gli Stati membri sono tenuti a predisporre un meccanismo procedurale attraverso il quale l’autorità giudiziaria possa ordinare a un soggetto – che può essere un fornitore o un soggetto che soggiace agli stessi obblighi di quest’ultimo come previsto dall’Artificial intelligence act, o un utente – di esibire quelle prove pertinenti e a sua disposizione su uno specifico sistema di IA ad alto rischio, o meglio, di consentire l’accesso a quegli elementi che possono costituire una prova. Ciò allorché tale soggetto si sia rifiutato di esibirlo spontaneamente e si sospetti che tale sistema abbia causato un danno.
L’ordine dei tribunali deve rispondere a principi di proporzionalità e necessità, ovvero deve essere circoscritto a quella fattispecie di richiesta risarcitoria. Per rispettare il principio di proporzionalità, i giudici debbono considerare, e quindi contemperare, gli interessi di tutte le parti, compresi i terzi interessati, in particolare per quanto riguarda la tutela dei segreti commerciali ai sensi dell’articolo 2, paragrafo 1, lettera a) della direttiva (UE) 2016/943, nonché le informazioni riservate, come quelle relative alla sicurezza pubblica o nazionale.
Se il convenuto non ottempera all’ordine di un giudice nazionale di esibire o conservare le prove di cui dispone come previsto nei par. 1 o 2, sussisterebbe una presunzione di inosservanza, da parte del convenuto, di un pertinente dovere di diligenza.
L’articolo 4, invece, è dedicato alla presunzione del nesso di causalità nella causazione del danno provocato da un sistema di IA. Tale presunzione si avrebbe quando sussistono tutte le tre condizioni elencate nelle successive lettere, dalla a) alla c) del par. 1. Tra tali condizioni v’è la dimostrazione da parte del ricorrente della inosservanza colposa, da parte del convenuto, di obblighi di diligenza stabiliti dalla normativa europea o nazionale posti per prevenire il danno che si è venuto a verificare. Vi dev’essere altresì la ragionevole probabilità, desunta dalle circostanze concrete, che tale condotta abbia influenzato il risultato prodotto dal sistema di IA o la mancata produzione di un risultato da parte del sistema di IA.
Tuttavia, allorché si tratti di un fornitore di un sistema di IA ad alto rischio, sottoposto quindi agli obblighi prescritti nel capo III del titolo III della proposta di Artificial intelligence act, nonché ai requisiti prescritti dal capo II dello stesso titolo III – oppure di un soggetto sottoposto agli stessi obblighi del fornitore – la condizione di cui alla lett. a) del par. 1 è dimostrata solo quando viene provato che il fornitore non ha rispettato uno dei seguenti requisiti, ovvero che:
(a) il sistema di IA, che fa uso di tecniche di addestramento di modelli con i dati e che non sono stati sviluppati sulla base di serie di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui all’articolo 10, par. da 2 a 4, della proposta di regolamento sull’IA;
(b) il sistema di IA non è stato progettato e sviluppato in modo da soddisfare i requisiti di trasparenza di cui all’articolo 13, paragrafi da 2 a 4, della proposta di regolamento sull’IA;
(c) il sistema di IA non è stato progettato e sviluppato in modo tale da permettere un efficace controllo da parte di persone fisiche durante il periodo in cui il sistema di IA è in uso ai sensi dell’articolo 14 della proposta di regolamento sull’IA;
(d) il sistema di IA non è stato progettato e sviluppato in modo da raggiungere, alla luce dello scopo prefissato, un livello adeguato di accuratezza, robustezza e sicurezza informatica ai sensi dell’articolo 15 e dell’articolo 16, lettera a), della legge sull’IA;
oppure
(e) non sono state immediatamente adottate le azioni correttive necessarie per rendere il sistema di IA conforme agli obblighi stabiliti nel titolo III, capo II, della proposta di regolamento sull’IA o per revocare o ritirare il sistema di IA a seconda dei casi, ai sensi dell’articolo 16, lettera g), e dell’articolo 21 della proposta di regolamento sull’IA.
Nell’ipotesi in cui, invece, la richiesta risarcitoria venisse avanzata contro un utente di un sistema IA ad alto rischio, la condizione di cui al paragrafo 1, lettera a), è soddisfatta se viene dimostrato che l’utente:
(a) non ha rispettato l’obbligo di utilizzare o monitorare il sistema di IA in conformità alle istruzioni d’uso allegate o, se del caso, di sospenderne o interromperne l’uso ai sensi dell’articolo 29 della proposta di regolamento sull’IA;
oppure
(b) ha esposto il sistema di IA a dati in ingresso sotto il suo controllo che non sono rilevanti in vista dello scopo previsto del sistema ai sensi dell’articolo 29, paragrafo 3, della proposta di regolamento sull’IA.
In ogni caso, la presunzione sul nesso di causalità, per le richieste di risarcimento danni relative a un sistema di IA ad alto rischio, non trova applicazione per l’ipotesi in cui il convenuto dimostri che il ricorrente disponga di prove e competenze sufficienti per la dimostrazione del nesso in questione.
Qualora la richiesta risarcitoria fosse relativa a un sistema di IA non ad alto rischio, la presunzione di cui si discute si applicherebbe solo quando la prova del nesso di causalità venga ritenuta eccessivamente difficile per l’attore.
Infine, l’art. 4 della proposta prevede l’ipotesi di un’azione intentata nei confronti di un soggetto che ha utilizzato il sistema di IA per un’attività personale e non professionale. In questi casi, la presunzione del nesso di causalità si applicherebbe solo se il convenuto abbia materialmente interferito con le condizioni di funzionamento del sistema di IA o se lo stesso era tenuto, e in grado, di determinare le condizioni di funzionamento del sistema di IA omettendo di farlo.
4. Qualche breve conclusione
La proposta legislativa, va da sé, è in una fase embrionale e l’ipotesi di una sua vigenza e concreta applicazione è ancora agli albori. Trattandosi ancora di una proposta, tra l’altro in un settore in un cui le incognite imperano, sarà destinata a dar vita ad ampi dibattiti in sede nazionale ed europea.
Inoltre, finanche quando il testo “definitivo” vedrà la luce, l’entrata in vigore sarà probabilmente differita negli anni, dopodiché essa dovrà essere recepita dai vari Stati membri dell’UE. Ciò consentirà comunque di discutere ampiamente il contenuto e la politica legislativa che si intende adottare, anche alla luce dei progressi e dei risultati che nel frattempo si osserveranno nel settore dell’innovazione. La portata storica di queste decisioni e le conseguenze geopolitiche impongono un dibattito costruttivo.
Il legislatore europeo, da una prima analisi del testo proposto, lascia ampi margini di intervento ai legislatori nazionali, limitandosi e concentrandosi sull’elemento probatorio, rectius, sull’onere della prova che, in linea generale, rischierebbe di essere troppo gravoso per il danneggiato. La scelta del tipo di responsabilità, o della natura della stessa, rimane in capo agli Stati membri. Il legislatore nazionale potrebbe, quindi, prevedere anche una forma di responsabilità oggettiva; ciò, invero, generando un trattamento più favorevole per il danneggiato, sarebbe ammissibile ai sensi della direttiva proposta. Se questa scelta sia o meno, de iure condendo, preferibile, rappresenta l’elemento di discussione più delicato, e sarà ineluttabilmente destinato a rimanere tale.
[1] AI Liability Directive, consultabile sul sito https://ec.europa.eu
[2] Proposal for a directive of the European Parliament and of the Council on liability for defective products, consultabile sul sito https://single-market-economy.ec.europa.eu
[3] Sul tema, limitandoci alla dottrina italiana, si veda G. Resta, Cosa c’è di ‘europeo’ nella proposta di regolamento UE sull’intelligenza artificiale?, in il diritto dell’informazione e dell’informatica, n. 2/2022, p. 323; G. Finocchiaro, La proposta di regolamento sull’intelligenza artificiale: il modello europeo basato sulla gestione del rischio, in il diritto dell’informazione e dell’informatica, n. 2/2022, p. 303; G. Alpa, Quale modello normativo europeo per l’intelligenza artificiale?, in Contratto e impresa, n. 4/2021, p. 1003; G. Di Rosa, Quali regole per i sistemi automatizzati intelligenti?, in Riv. diritto civile, n. 5/2021, p. 850; R. Lener, Vigilanza prudenziale e intelligenza artificiale, in Riv. trimestrale di diritto dell’economia, n. 1/2022, p. 207; G.R. Marseglia, AI Act: impatti e proposte, in i-lex, p. 37; G. Proietti, Intelligenza artificiale: una prima analisi della proposta di regolamento europeo, in dirittobancario.it, nonché Una normativa per l’intelligenza artificiale. La proposta di regolamento europeo, in responsabilità d’impresa e antiriciclaggio, n. 2/2021, p. 198.
