L’incessante sviluppo e diffusione di sistemi di IA sempre più complessi pongono delicate questioni circa la responsabilità civile per i danni derivanti dall’impiego di tali tecnologie.
Alla luce delle caratteristiche proprie dei sistemi di IA, infatti, le strutture della responsabilità civile appaiono spesso inadatte a rispondere efficacemente ai problemi che l’uso di tali sistemi pone. Vediamo gli strumenti e i rimedi che l’attuale sistema (in particolare, quello italiano) offre ai soggetti danneggiati dall’utilizzo dei sistemi di IA, per volgere poi lo sguardo alle più recenti proposte di legislazione in materia attualmente al vaglio delle istituzioni europee.
Responsabilità civile per i sistemi di IA, le questioni base
I principali limiti delle normative attualmente in vigore in tema di responsabilità civile sono legati alle caratteristiche peculiari dell’IA, tra cui la complessità, l’autonomia e l’opacità (il cosiddetto effetto “black box”), che potrebbero rendere difficile o eccessivamente oneroso per i danneggiati identificare i responsabili e dimostrare la sussistenza dei requisiti necessari per un’azione basata sulla responsabilità come tradizionalmente intesa.
Anzitutto, la catena di fornitura dei sistemi di IA coinvolge diversi attori, rendendo complessa l’attribuzione della responsabilità. Si pensi, ad esempio, a un sistema di guida autonoma di un veicolo che coinvolga potenzialmente il progettista del sistema, il produttore del software, il produttore del veicolo e i soggetti che hanno fornito i dati rilevanti.
Altre difficoltà nell’attribuzione della responsabilità possono derivare dal fatto che alcuni sistemi di IA sono in grado di modificarsi in autonomia (self-adapting) in base all’elaborazione di nuovi dati o alla loro interazione continua con l’ambiente circostante.
Inoltre, gli strumenti di IA vengono spesso definiti “opachi” in quanto non consentono all’utilizzatore l’accesso ai processi attraverso i quali essi pervengono al risultato desiderato. Il sistema di IA è infatti in grado di elaborare in maniera del tutto indipendente i dati che colleziona e di agire nel contesto che lo circonda mettendo a sistema tali dati. Ne deriva che, al netto di un risultato desiderato raggiunto, l’uomo (incluso il produttore del sistema) potrebbe non riuscire ad individuare l’iter logico e la motivazione delle scelte della macchina.
Tali caratteristiche di complessità, opacità, imprevedibilità e vulnerabilità mettono in crisi gli attuali modelli di responsabilità, in particolare quelli che si basano sul criterio di imputazione della colpa.
I rimedi offerti dalla normativa italiana
In assenza di una regolamentazione specifica della responsabilità derivante dall’utilizzo di sistemi di IA, in Italia è possibile fare riferimento alle tradizionali norme in tema di responsabilità civile, che come noto si divide in responsabilità contrattuale ed extracontrattuale.
La responsabilità contrattuale potrà trovare applicazione soltanto nei casi in cui sussista una relazione contrattuale tra il fornitore del servizio di IA e l’utilizzatore, e i danni siano conseguenza della violazione di una o più obbligazioni tra gli stessi. In tali ipotesi, il soggetto danneggiato potrà esercitare i rimedi previsti dalla specifica tipologia contrattuale (ad esempio, un contratto di vendita o di servizi).
La responsabilità extracontrattuale dovrà invece trovare applicazione quando non vi sia una relazione contrattuale tra il fornitore del servizio di IA e il soggetto danneggiato. Tra le norme individuate come potenzialmente applicabili ai sistemi di IA vi sono gli articoli 2049 (responsabilità dei padroni e dei committenti), 2050 (responsabilità da attività pericolosa), 2051 (responsabilità da cose in custodia) e 2043 (responsabilità extracontrattuale generica) del Codice Civile.
Tuttavia, diversi dubbi sono stati sollevati circa l’adeguatezza di tali disposizioni rispetto ai nuovi scenari sopra delineati.
Codice civile e AI
Quanto all’art. 2049 c.c. (responsabilità dei padroni e dei committenti), pur essendovi delle analogie tra il rapporto committente-commesso e quello imprenditore-sistema di IA (in entrambi il primo soggetto indirizza il secondo allo svolgimento di determinate mansioni, verifica l’andamento del lavoro svolto ed è in grado di neutralizzare o comunque minimizzare le ipotesi di danno che derivino dallo svolgimento dell’attività lavorativa), la differenza sta nel fatto che nel primo rapporto entrambi i soggetti sono astrattamente imputabili, tanto che il lavoratore risponde del danno in solido col datore di lavoro, mentre nel secondo rapporto il sistema di IA, non godendo di personalità giuridica, non può in alcun modo essere individuato come centro di imputazione.
Quanto all’art. 2050 c.c. (responsabilità da attività pericolosa), è stato osservato come non sia affatto detto che l’attività di IA sia necessariamente una “attività pericolosa”, tale cioè da comportare una rilevante probabilità di causare danni a terzi, stante la considerazione dell’IA come mezzo idoneo a correggere l’errore umano e ad evitare proprio i rischi connessi ad alcune attività.
Quanto all’art. 2051 c.c. (responsabilità da cose in custodia), è stato osservato come la nozione tradizionale di “cose” e di “custodia” possa rivelarsi inadeguata rispetto ad un sistema in grado di prendere decisioni o esprimere opinioni in maniera indipendente.
Quanto infine alla regola generale della responsabilità per fatto illecito di cui all’art. 2043 c.c., la stessa richiede al danneggiato la prova dell’elemento soggettivo della colpa o del dolo del danneggiante. Ora, se come si è visto l’IA agisce in modo non prevedibile a priori, neanche dal produttore, risultano difficilmente utilizzabili i criteri tradizionali del dolo, della colpa, della negligenza o dell’errore, che sono criteri soggettivi la cui ricerca in taluni casi è impraticabile e non porta a risultati concreti, stante la difficoltà o l’impossibilità dell’operazione sotto il profilo tecnologico.
La classificazione come prodotti
È stato inoltre osservato che, qualificando i sistemi di IA come “prodotti”, sarebbe possibile fare rientrare eventuali difetti del sistema nell’ambito delle norme sulla responsabilità da prodotto stabilite dalla Direttiva 85/374/CE e trasposte in Italia negli articoli 114 ss. del Codice del Consumo, che prevedono tuttavia una responsabilità limitata al risarcimento dei danni cagionati da morte, lesioni personali e distruzione o deterioramento di beni diversi dal prodotto difettoso.
Al riguardo, la definizione di prodotto che la normativa europea fornisce, per quanto ampia, sembra però non essere adeguata a ricomprendere anche i sistemi di IA, che possiedono dei caratteri, in primis la stessa immaterialità, che li avvicinerebbero più al concetto di servizio.
Inoltre, va considerato che l’onere gravante sul danneggiato di dimostrare il difetto del prodotto e il nesso di causalità tra difetto e danno rischia di costituire una “probatio diabolica” in considerazione dell’opacità del sistema di IA, che non conduce ad una facile individuazione del difetto del prodotto, né all’individuazione del momento causativo del danno, e dunque, di conseguenza, del nesso di causa.
Le proposte a livello europeo
Le istituzioni europee sono intervenute nel corso degli ultimi anni al fine di affrontare le questioni sopra evidenziate. Da ultimo, il 28 settembre 2022 la Commissione Europea ha annunciato l’adozione di due proposte volte ad adattare le norme sulla responsabilità civile all’era digitale.
La prima proposta (COM/2022/495[T&C1] ) riguarda la revisione della direttiva sui danni da prodotti difettosi, al fine di renderla compatibile con il sempre maggior uso di prodotti quali robot e sistemi di domotica e con le problematiche relative al tema della responsabilità per i difetti di tali prodotti, ad esempio nel caso di aggiornamento dei software che li compongono.
La seconda proposta (COM/2022/496[T&C2] ) riguarda una nuova direttiva sulla responsabilità per l’intelligenza artificiale (“Direttiva IA”), volta a facilitare il risarcimento del danno a coloro che abbiano subìto danni derivanti dall’impiego di sistemi di IA.
La proposta di Direttiva IA si fonda sulla constatazione per cui le norme nazionali vigenti in materia di responsabilità non appaiono adatte a gestire le azioni per danni causati da sistemi di IA. La proposta mira quindi ad armonizzare il regime di responsabilità applicabile, prevenendo la frammentazione derivante da interventi legislativi non coordinati né coerenti tra loro nei diversi Stati membri e riducendo l’incertezza giuridica per le imprese che sviluppano o utilizzano l’IA nel mercato interno.
Gli obiettivi
La Direttiva IA si propone di alleggerire l’onere della prova del danneggiato attraverso due principali strumenti: la presunzione relativa e la divulgazione di elementi di prova.
Lo strumento della presunzione relativa è volto a semplificare la prova del nesso causale tra la colpa del convenuto-danneggiante e l’output prodotto, o la mancata produzione di un output, da parte del sistema di IA che ha provocato il danno.
Tale presunzione si applica al ricorrere di una serie di condizioni stabilite dalla Direttiva IA, che variano a seconda che si tratti o meno di un sistema ad alto rischio (ad esempio, deve essere dimostrata dall’attore, o quantomeno presunta dal giudice, la colpa del convenuto consistente nell’inosservanza di un obbligo di diligenza, e deve ritenersi ragionevolmente probabile, in base alle circostanze del caso, che la condotta colposa del convenuto abbia influito sull’output prodotto dal sistema di IA o sull’incapacità del sistema di IA di produrre un output).
Lo strumento della divulgazione di elementi di prova, che gli organi giurisdizionali nazionali hanno il potere di ordinare al fornitore, o ad altro soggetto tenuto ai medesimi obblighi del fornitore, riguarda invece unicamente i sistemi di IA ad alto rischio.
Al fine di ottenere l’ordine di divulgazione, chi agisce in giudizio è tenuto a presentare a sostegno della richiesta fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento del danno e a compiere ogni sforzo proporzionato per ottenere gli elementi di prova dal convenuto. In caso di mancato rispetto dell’ordine di divulgazione da parte del convenuto, si applica una presunzione relativa di mancata osservanza dei doveri di diligenza cui esso era tenuto.
Il nodo della personalità giuridica
Nella Direttiva IA non vi è traccia del dibattito relativo all’eventuale assegnazione di una personalità giuridica ai sistemi di IA, così da poter far ricadere direttamente su tali sistemi la responsabilità per i danni che dovessero causare. Questa ipotesi era stata menzionata nella Risoluzione del Parlamento europeo del 16 febbraio 2017[T&C3] , ove si invitava la Commissione europea a valutare «l’istituzione di uno status giuridico specifico per i robot nel lungo termine, di modo che almeno i robot autonomi più sofisticati possano essere considerati come persone elettroniche responsabili di risarcire qualsiasi danno da loro causato», ciò che potrebbe essere reso possibile dall’istituzione di un regime di assicurazione obbligatorio e della costituzione di un fondo di risarcimento.
La proposta di Direttiva IA prevede che cinque anni dopo il suo recepimento da parte degli Stati membri la Commissione dovrà condurre una valutazione circa l’efficacia delle misure adottate, tenendo conto dei futuri sviluppi tecnologici, normativi e giurisprudenziali, e circa la necessità di introdurre un regime di responsabilità oggettiva in combinazione con un’assicurazione obbligatoria per il funzionamento di determinati sistemi di IA.
Sul tema della responsabilità oggettiva, va citata infine la proposta di Regolamento elaborata dalla Commissione Juri del 5 ottobre 2020[T&C4] , che individua un doppio binario di responsabilità: da un lato, quella oggettiva per i danni cagionati da sistemi di IA ad alto rischio, dall’altro, la responsabilità per colpa presunta in tutte le altre ipotesi.
Conclusioni
Le peculiarità dei sistemi di IA mettono in crisi gli attuali modelli di responsabilità, in particolare quelli che si basano sul criterio tradizionale di imputazione della colpa.
Da più parti si auspica un modello di allocazione del rischio basato sulla responsabilità oggettiva e sul criterio dell’accountability, secondo cui il soggetto che trae maggior vantaggio dall’utilizzo della macchina ha l’onere di adoperarsi per neutralizzare il rischio che derivi da tale utilizzo.
In ogni caso, l’analisi finalizzata all’individuazione di soluzioni giuridiche praticabili è da considerarsi di notevole urgenza se si pensa alla crescita e diffusione dell’utilizzo dei sistemi di IA negli ultimi anni e all’inevitabile incremento delle possibilità che dall’utilizzo di tali sistemi promani un evento dannoso.