L’integrazione di sistemi di intelligenza artificiale nella pratica clinica — dalla radiologia diagnostica ai sistemi di triage, dalla cardiologia predittiva all’oncologia decisionale — impone riflessioni profonde circa l’architettura giuridica della responsabilità sanitaria.
Il modello tradizionale, fondato su una catena lineare ancorata agli artt. 1218 e 2043 c.c. nonché all’art. 7 della Legge n. 24/2017, risulta con buona probabilità non totalmente adeguato a governare scenari in cui la decisione clinica emerge dall’interazione tra giudizio umano e output algoritmico. L’IA, diversamente da uno strumento passivo come la strumentazione sanitaria trdizionale, partecipa attivamente alla formazione della decisione: orienta la diagnosi, stratifica il rischio, fornisce elementi forti di suggerimenti per la terapia.
Questa partecipazione attiva determina il passaggio da una responsabilità monocentrica a un paradigma di responsabilità policentrica e multilivello, caratterizzato dalla compresenza di obblighi di diligenza, vigilanza e controllo gravanti simultaneamente su produttore, deployer, struttura sanitaria, professionista sanitario e, in determinati contesti normativi, su organismi notificati e autorità di vigilanza. Ciascuno di questi poli risponde secondo regimi normativi differenti — responsabilità da prodotto, contrattuale, professionale, organizzativa — e il loro mancato coordinamento costituisce oggi la principale lacuna di governance del settore.
Indice degli argomenti
L’evidenza empirica: dai casi classici agli scenari 2024-2026
Il dibattito sulla responsabilità algoritmica in medicina non è più confinato a tipizzati casi di scuola: i casi documentati forniscono già una cartografia del rischio sufficientemente articolata da orientare scelte organizzative e giuridiche concrete.
Il caso IBM Watson for Oncology (2018) ha rivelato come un sistema addestrato su casistica sintetica anziché su pazienti reali potesse formulare raccomandazioni terapeutiche oncologiche definite “non sicure” nei documenti interni di Memorial Sloan Kettering, aprendo questioni di responsabilità del fornitore mai pienamente risolte in sede giudiziaria.
L’algoritmo Optum (Obermeyer et al., Science, 2019) ha dimostrato come un bias strutturale nella variabile proxy — la spesa sanitaria storica come indicatore del bisogno di cura — avesse la possibilità di produrre un sistematico sottotrattamento dei pazienti neri, configurando una potenziale discriminazione algoritmica indiretta con implicazioni sia in termini di responsabilità organizzativa sia di equità delle cure.
L’Epic Sepsis Prediction Model (Wong et al., JAMA Internal Medicine, 2021) ha evidenziato il validation gap: un modello eccellente su dati interni mostrava performance significativamente inferiori nella pratica clinica reale, con falsi negativi che ritardavano l’intervento e falsi positivi che generavano alarm fatigue.
A questi casi molto noti, si aggiungono scenari più recenti di straordinaria rilevanza giuridica, tra i quali possono essere ricordati:
- -Il sistema di navigazione chirurgica sinusale TruDi Navigation (2025-2026) viene riferito aver generato almeno dieci lesioni che appaiono documentate — perforazioni craniche, perdite di liquido cerebrospinale, lesioni arteriose — che hanno generato contenziosi oggi pendenti negli Stati Uniti sulla base delle norme e dei precedenti di product liability, negligent deployment e failure to warn, configurandosi come il primo caso che mette concretamente alla prova i confini della responsabilità del produttore di sistemi IA a uso chirurgico.
- Il modello Google Med-Gemini (2025) ha generato, in un paper scientifico, la diagnosi di un “old left basilar ganglia infarct” riferita a una struttura anatomica inesistente: un episodio di hallucination che dimostra come l’apparente precisione semantica dell’output algoritmico possa indurre il professionista a trattare come clinicamente fondata un’informazione priva di qualsiasi substrato anatomico reale.
- Gli AI Scribes (2025) hanno prodotto errori sistematici nella trascrizione di terapie, dosaggi e prescrizioni farmacologiche, aprendo questioni di responsabilità sulla veridicità della cartella clinica e sull’idoneità probatoria della documentazione sanitaria generata con ausilio algoritmico.
Infine, una ricerca recentemente condotta da Stanford e Harvard ha rilevato che i migliori sistemi di IA medica attualmente disponibili generano raccomandazioni cliniche potenzialmente gravemente dannose in una quota compresa tra il 12% e il 22% dei casi: nel caso questi dati fossero confermati in sede giudiziale, ciò renderebbe giuridicamente insostenibile il trattamento dell’errore algoritmico come rischio residuo trascurabile e imporrebbe un modello di governance analogo a quello adottato per i dispositivi medici ad alto impatto clinico, che necessiterebbe attente valutazioni.
Automation bias: il fattore cognitivo-giuridico sottovalutato
Tra i fattori di rischio emergenti nella letteratura medico-legale, l’automation bias occupa senza dubbio una posizione di rilievo crescente e ancora insufficientemente tematizzata nel dibattito giuridico italiano. Esso designa la tendenza cognitiva del professionista ad attribuire all’output algoritmico un grado di affidabilità superiore a quello della propria valutazione clinica, con conseguente riduzione del controllo critico e incremento della probabilità di errori per omissione o commissione.
Ciò che rende questo fenomeno particolarmente insidioso è la sua relazione inversa con le performance del sistema: quanto infatti più elevato è il tasso medio di accuratezza dell’algoritmo, tanto più il professionista è indotto a fidarsi sistematicamente del suo output, con la conseguenza che il controllo critico sarà stato progressivamente eroso proprio nel momento in cui si verifica l’eccezione. Un sistema corretto nel 95% dei casi non genera un rischio residuo del 5%: genera un professionista che ha progressivamente dismesso l’esercizio del giudizio clinico autonomo nel 100% delle interazioni, rendendo ogni fallimento algoritmico — per definizione inatteso — clinicamente e giuridicamente più devastante. Le implicazioni investono direttamente la responsabilità professionale per omessa vigilanza, la colpa organizzativa per mancata formazione al critical appraisal degli output algoritmici e l’obbligo di human oversight strutturato previsto dall’AI Act.
La mancata formazione del personale sanitario al critical appraisal degli output algoritmici e l’assenza di un sistema di human oversight strutturato configurano oggi una nuova e autonoma ipotesi di colpa organizzativa della struttura sanitaria.
L’art. 14 del Regolamento (UE) 2024/1689 (AI Act) non si limita a richiedere una generica supervisione umana dei sistemi di intelligenza artificiale ad alto rischio, ma impone che le persone incaricate della supervisione siano poste nelle condizioni di comprendere le capacità, i limiti, i margini di errore e i rischi di funzionamento del sistema, nonché di intervenire efficacemente, sospendere o disattendere l’output algoritmico quando necessario.
La human oversight, pertanto, non può essere ridotta ad un mero presidio formale o alla semplice individuazione di un medico quale «supervisore» dell’algoritmo. Essa costituisce un obbligo organizzativo complesso, che presuppone la predisposizione di un adeguato assetto di governance, comprensivo di formazione specialistica, procedure di controllo, protocolli di override, sistemi di audit e meccanismi di monitoraggio continuo delle prestazioni del modello.
In tale prospettiva, il critical appraisal degli output algoritmici è destinato a divenire una nuova competenza professionale essenziale del sanitario, consistente nella capacità di valutare criticamente la coerenza clinica della raccomandazione algoritmica, di riconoscere fenomeni di automation bias, hallucination, dataset shift e model drift, nonché di verificare la compatibilità dell’output con il quadro clinico concreto del paziente.
L’omessa predisposizione di percorsi formativi idonei a sviluppare tali competenze integra un deficit organizzativo rilevante ai sensi degli artt. 1 e 7 della Legge n. 24/2017, poiché impedisce l’esercizio di una supervisione umana effettiva e trasforma il controllo richiesto dall’AI Act in una mera finzione organizzativa (oversight theater).
Ne consegue che, ove il professionista si conformi ad un output algoritmico erroneo senza essere stato adeguatamente formato a valutarne criticamente attendibilità, limiti e presupposti metodologici, la responsabilità potrebbe progressivamente traslarsi dal singolo sanitario all’organizzazione che ha introdotto il sistema di IA senza predisporre le condizioni necessarie per l’esercizio di una reale ed efficace supervisione umana.
In questa prospettiva, la capacità di valutazione critica dell’output algoritmico (algorithmic critical appraisal) è destinata a costituire, al contempo, un nuovo parametro della diligenza professionale del sanitario e un nuovo indice della diligenza organizzativa delle strutture sanitarie nell’era della medicina algoritmica.
La Legge Gelli-Bianco e l’algoritmo: un’incompatibilità strutturale
Il rapporto tra raccomandazione algoritmica e Legge n. 24/2017 costituisce uno dei passaggi più delicati e più sottovalutati della riflessione giuridica sull’IA in medicina. L’art. 5 della Legge Gelli-Bianco circoscrive la protezione professionale alle linee guida accreditate nel Sistema Nazionale Linee Guida (SNLG) e alle buone pratiche clinico-assistenziali validate.
Un sistema di IA non è, e non può essere qualificato come, una linea guida accreditata nel SNLG: non segue il processo di elaborazione, valutazione e pubblicazione previsto dalla disciplina vigente e non soddisfa i requisiti di trasparenza metodologica richiesti. Ne consegue che il sanitario il quale si conformi acriticamente all’output algoritmico non può invocare la protezione dell’art. 5 né quella dell’art. 590-sexies c.p., con ricadute dirette tanto sul piano della responsabilità penale quanto su quello civile. Più ancora, l’adozione acritica della raccomandazione algoritmica — specie ove il professionista ometta di esercitare il proprio giudizio clinico indipendente e di documentare il proprio processo decisionale — potrebbe integrare una condotta negligente o imprudente ai sensi dell’art. 43 c.p. Questo potrebbe generare una cosiddetta trappola di responsabilità strutturale: il professionista è esposto sia quando ignora un output algoritmico rilevante, sia quando lo segue senza esercizio critico del giudizio. Né la conformità né il dissenso rispetto all’output offrono di per sé protezione giuridica automatica, e soltanto protocolli strutturati di supervisione critica — documentati, verificabili e periodicamente aggiornati — possono neutralizzare questa asimmetria.
Il consenso informato nell’era algoritmica
Un profilo ulteriore, frequentemente poco ancora approfondito nella pratica organizzativa, riguarda il contenuto informativo del consenso quando la decisione clinica risulti assistita da sistemi di IA.
Il quadro normativo vigente, ricavabile dalla combinazione degli artt. 13 e 14 GDPR in materia di informativa, dell’art. 22 GDPR sulle decisioni automatizzate, dell’art. 3 del Regolamento (UE) 2024/1689 in materia di trasparenza verso l’utente, della Legge n. 219/2017 e dei pareri del Comitato Nazionale per la Bioetica (2020 e 2026), impone che il paziente sia informato dell’utilizzo di sistemi algoritmici nella propria diagnosi o terapia, della loro funzione e del grado di autonomia del sistema, dei limiti documentati e delle percentuali di errore, nonché della permanenza della supervisione clinica umana. L’omissione di tali elementi non configura soltanto un vizio del consenso in sé considerato: in presenza di un evento avverso correlabile all’output algoritmico, essa rafforza l’imputazione di responsabilità alla struttura sanitaria per carenza informativa, aggiungendo un ulteriore titolo al concorso di responsabilità già descritto nel paradigma policentrico.
Il quadro normativo integrato: AI Act, MDR e responsabilità da prodotto
Il panorama regolatorio europeo disegna un sistema di obblighi convergenti ma non ancora pienamente coordinati. Il Regolamento (UE) 2024/1689 classifica i sistemi di IA destinati a scopi diagnostici, terapeutici o di gestione del paziente tra i sistemi ad alto rischio ai sensi dell’Allegato III, imponendo requisiti stringenti di trasparenza, gestione del rischio, registrazione degli incidenti, human oversight e documentazione tecnica. La Direttiva (UE) 2024/2853 sulla responsabilità da prodotto estende il regime della responsabilità oggettiva del produttore ai sistemi IA, superando l’orientamento che escludeva il software dal concetto di “prodotto” ai fini della Direttiva 85/374/CEE. Il Regolamento MDR 2017/745 assoggetta i software con funzione diagnostica o terapeutica alla classificazione come dispositivi medici, con le connesse procedure di valutazione della conformità. Il principio di accountability ex art. 5, par. 2 GDPR impone infine alla struttura sanitaria la capacità di dimostrare il rispetto dei principi di protezione dei dati nella gestione degli output algoritmici.
La spesso farraginosa interazione tra questi regimi pone la struttura sanitaria in una posizione di nodo critico: essa è risulta ricoprire il delicato ruolo di deployer ai fini dell’AI Act, titolare del trattamento ai fini GDPR, operatore di dispositivi medici ai fini MDR e soggetto responsabile ai fini della responsabilità civile verso il paziente, con la conseguenza che un medesimo evento avverso algoritmico può attivare plurimi regimi di responsabilità in concorso.
Verso una Algorithmic Clinical Governance
La risposta strutturale alle sfide descritte non può ridursi all’aggiornamento dei protocolli esistenti: richiede bensì la costruzione di un sistema integrato che la letteratura internazionale denomina Algorithmic Clinical Governance (ACG), intesa quale sistema organizzativo di procedure, controlli, responsabilità e meccanismi di audit finalizzato a garantire che i sistemi di IA operino in modo sicuro, trasparente, verificabile e compatibile con i principi di tutela della salute e di responsabilità professionale.
I pilastri dell’ACG comprendono un AI Governance Board a composizione multidisciplinare, un Clinical Validation Committee responsabile della validazione esterna indipendente prima di ogni deploy e del monitoraggio periodico delle performance in un contesto reale, un registro degli incidenti algoritmici distinto dal sistema generale di incident reporting, procedure strutturate di model drift monitoring con soglie di allerta predefinite, la Data Protection Impact Assessment (DPIA) integrata con il Fundamental Rights Impact Assessment (FRIA) per i sistemi ad alto impatto clinico.
L’ACG non può rappresentare solamente una risposta a obblighi normativi: deve bensì essere considerato uno strumento di difesa giuridica proattiva. Una struttura sanitaria in grado di documentare l’adozione sistematica di questi presidi — selezione del sistema, validazione indipendente, supervisione clinica strutturata, gestione degli incidenti — occupa una posizione significativamente più solida nel contenzioso giudiziario, nella negoziazione con le compagnie assicurative e nell’interlocuzione con le autorità di vigilanza.
Conclusione
L’intelligenza artificiale non elimina la responsabilità medica: ne modifica profondamente l’architettura. L’errore non è più riconducibile a un singolo centro di imputazione, ma a una rete di decisioni umane, organizzative e tecnologiche che interseca regimi normativi differenti e soggetti con obblighi non sempre coordinati. Il vero problema giuridico non è stabilire se l’algoritmo possa sbagliare — i dati empirici, dal 2018 al 2026, lo dimostrano inequivocabilmente, e il dato del 12-22% di raccomandazioni gravemente dannose rende definitivamente insostenibile il ricorso alla categoria del rischio residuale — bensì definire ex ante chi debba presidiare ciascun segmento del rischio e con quali obblighi di prevenzione, controllo e rendicontazione.
La trappola dell’automation bias, l’incompatibilità strutturale tra raccomandazione algoritmica e protezione ex art. 590-sexies c.p., il nuovo contenuto del consenso informato e la responsabilità da prodotto estesa ai sistemi IA convergono verso una medesima conclusione: la governance algoritmica è oggi una componente essenziale della responsabilità dirigenziale in sanità, non una questione tecnica delegabile ai soli informatici. Le organizzazioni che costruiranno oggi un modello maturo di Algorithmic Clinical & Risk Governance saranno quelle più resilienti quando il quadro normativo si consoliderà completamente — e quelle che avranno già fatto la differenza concreta per i pazienti loro affidati.













Partecipa alla community