0
Responsabilità dei prodotti IA e software: novità 2024/2853 UE

Responsabilità dei prodotti IA e software: novità 2024/2853 UE

Tecnologie ICTMarzo 9, 2025

Del telos normativo nel regime di vita ramificata e compatta, un ruolo verticistico riflettono le aziende che prendono parte alla catena produttiva e di commercializzazione di sistemi di Intelligenza Artificiale (“IA”).

Dopo circa 4 decadi di deserto regolamentare (risale infatti a circa 40 anni fa la Direttiva 85/374/CEE sulla responsabilità per danno da prodotti difettosi), il 18 novembre 2024 ha preso finalmente vita la nuova Direttiva sulla responsabilità da prodotto difettoso (Direttiva UE 2024/2853); quest’ultima, approvata il 12 marzo dal Parlamento Europeo e pubblicata in Gazzetta Ufficiale il 18 novembre 2024 (troverà applicazione soltanto nei riguardi dei prodotti messi in commercio dopo il 9 dicembre 2026), con il proposito di innovare la disciplina alla luce degli sviluppi legati alle nuove tecnologie, si è prestata ad avere un grande impatto sulle aziende che prendono parte alla catena produttiva e di commercializzazione di sistemi di Intelligenza Artificiale (“IA”): il suo fulcro normativo si caratterizza per la relativa estensione ai software ed ai sistemi di IA, con la conseguenza che i soggetti danneggiati verranno abilitati a chiedere il risarcimento per i danni subiti dal sistema.

L’obiettivo generale della Direttiva può pertanto ritenersi quello di migliorare la protezione dei consumatori nell’era digitale, creando un quadro più completo per affrontare i danni dovuti ai prodotti difettosi.
L’ulteriore complessità posta dalla Direttiva agli operatori del mercato, sarà quella di dover navigare tra le potenziali intersezioni con l’AI Act, il DSA e le normative esistenti in materia di cybersecurity e protezione dei dati, nonché quella di garantire il rispetto di tutti gli obblighi da una prospettiva integrata.

Peraltro, con la finalità di garantire il massimo livello di armonizzazione elidendo in massima parte le disparità, la Direttiva impedisce agli Stati membri di mantenere od adottare disposizioni nazionali diverse da quelle stabilite dalla stessa Direttiva.

Ambito di riferimento della Direttiva (c.d. Product Liability Directive PLD) è il riferirsi all’interno del pacchetto di misure europee volte a sostenere la promozione dell’IA; facendo seguito all’AI Act (regolamento UE 2025/1689 che, stabilendo norme armonizzate sull’intelligenza artificiale, mira ad introdurre un quadro normativo e giuridico comune), la Direttiva disciplinante la responsabilità in caso di danni, completando il mosaico normativo, ha esteso l’applicazione di sicurezza e responsabilità verso momenti differenti e rafforzantesi vicendevolmente.

Nell’ottica di sopperire alle necessità dettate dalla complessità tecnica e scientifica dei prodotti dell’era digitale, il corpus normativo stabilisce un sistema semplificato in grado di fornire al danneggiato strumenti più idonei ad ottenere un risarcimento del danno causato da prodotti difettosi.

Alla luce delle sfide delle moderne tecnologie digitali e dei nuovi modelli di business dei player del mercato, la Direttiva amplia in maniera significativa l’ambito di applicazione della responsabilità per danno da prodotti difettosi; più in particolare e date alla mano, dallo scorso 8 dicembre, il regime di responsabilità oggettiva si applica a tutti i beni mobili, tra cui a titolo di pura esemplificazione, rientrano i software, i file per la fabbricazione digitale, le applicazioni od i sistemi di intelligenza artificiale.

Le principali novità introdotte dal provvedimento

Ricchissima la serie di novità introdotte dalla Direttiva, che una lettura iniziale riesce a spiegare secondo la logica dell’introduzione/innovazione definitoria.

Vengono anzitutto in rilievo le definizioni di prodotto difettoso e di danno risarcibile.
Nella sua notazione generale, rileva l’art. 4 n. 1 della Direttiva che ampia la definizione di prodotto, includendo espressamente, oltre ai beni mobili, anche l’elettricità, i file per la fabbricazione digitale, le materie prime ed il software, inclusa l’intelligenza artificiale.

L’unica esclusione riguarda i software open source, purché lo stesso sia sviluppato o fornito durante il corso di un’attività non commerciale. A tale riguardo non può non farsi menzione della definizione più ampia di “prodotto”, ora comprensiva del software (a prescindere dalle modalità con cui viene fornito od usato, sia esso integrato all’interno di un dispositivo o fornito attraverso un modello SaaS) e dei servizi digitali integrati od interconnessi (che contribuiscono alla sicurezza di un prodotto, permettendo al prodotto stesso di svolgere le sue funzioni – come ad esempio i servizi di assistenza vocale che consentono di controllare uno o più prodotti tramite i comandi vocali).

Ora, guardando la dimensione patologica, il configurarsi come difettoso del prodotto sviluppa la sua fisionomia all’interno dell’art. 7 della Direttiva e cioè quando esso non risulti in grado di offrire la sicurezza che un consumatore può ragionevolmente (e legittimamente) attendersi. Si tratta di una nozione di difficile discernimento in relazione a sistemi di IA la cui complessità e progressiva capacità di apprendimento grazie a tecniche avanzate di macchine learning, generano il problema del black box.

Inderogabilmente, invece, ex art. 10 della Direttiva, si presume il carattere difettoso allorquando l’attore riesce a dimostrare che il prodotto non rispetta i requisiti obbligatori di sicurezza stabiliti dal diritto dell’Unione o nazionale intesi a proteggere dal rischio del danno subito, oppure al contrario quando l’attore riesce a dimostrare che il danno è stato causato da un malfunzionamento evidente.

Sulla base di tali presunzioni, giocherà un ruolo fondamentale la compliance con gli obblighi imposti dall’AI Act per determinare la difettosità di un prodotto, così, oltre alle sanzioni a cui le aziende sono esposte alla luce dell’AI Act, si aggiunge il rischio che l’eventuale non compliance possa fondare pretese di terzi al risarcimento del danno.

Sotto un ulteriore profilo giova altresì notare come la Direttiva chiarisca che un prodotto debba intendersi come sotto il controllo del relativo produttore anche dopo la sua immissione sul mercato, ove questo mantenga la capacità di fornire aggiornamenti o migliorie del software direttamente o tramite terzi.

La direttiva chiarisce poi che un prodotto può essere considerato difettoso anche in ragione della sua vulnerabilità in termini di cybersicurezza (non soddisfacendo ad esempio i requisiti di sicurezza informativa). A tal proposito, trattandosi di una Direttiva complementare al regolamento sulla cyber resilienza (il c.d. Regolamento UE 2024/2847, pubblicato sulla GU dell’UE il 20 novembre 2024), i produttori dovranno, fra l’altro, rispettare gli obblighi relativi alla fornitura di aggiornamenti di sicurezza dei prodotti previsti da tale regolamento.

Quanto dal danno risarcibile, invece, da un lato, il legislatore europeo amplia la relativa definizione al fine di includere i danni psicologici e la distruzione o la corruzione dei dati (da intendersi, ad esempio, come la cancellazione dei file digitali da un disco rigido). Dall’altro lato, stante l’uso sempre più frequente dei beni a fini sia personali che professionali, la risarcibilità è ora estesa ai beni a uso misto – rimanendo esclusa, invece, la possibilità di ottenere il risarcimento del danno asseritamente causato a beni utilizzati a fini esclusivamente professionali.

In questo contesto, un’altra novità fondamentale è il nuovo meccanismo di divulgazione degli elementi di prova, che alleggerisce l’onere della prova per gli attori nei casi maggiormente complessi.

A fronte della mancata condivisione da parte del convenuto delle informazioni ritenute pertinenti, il carattere difettoso del prodotto in questione potrà essere oggetto di presunzioni da parte delle competenti autorità.
Segue poi il danneggiamento o distruzione di qualsiasi bene, nonché la distruzione o corruzione di dati non usati a fini professionali; l’evenienza in questione apre alla possibilità nel caso in cui il software causi un data breach sotto il profilo dell’integrità o della disponibilità, danneggiando o cancellando i dati.

Quanto alla legittimazione attiva, ex art. 5 della Direttiva, legittimato al risarcimento non è più il solo consumatore, ma qualunque individuo che risulti danneggiato dal prodotto.

La nuova Direttiva UE sulla responsabilità da prodotto difettoso (PLD) 2024/2853 introduce un quadro normativo innovativo che impatta direttamente sviluppatori e produttori di software AI.

Con la sua applicazione estesa ai sistemi di intelligenza artificiale, ai prodotti digitali e alle vulnerabilità di cybersicurezza, diventa essenziale garantire la compliance con gli obblighi imposti dall’AI Act per ridurre il rischio di contenziosi e sanzioni.

Il nostro studio legale offre consulenza specializzata per aziende che operano nel settore dell’IA e dello sviluppo software, assistendole in:

  • Analisi dei rischi e strategie di prevenzione della responsabilità per software AI e prodotti digitali;
  • Adeguamento normativo agli obblighi europei in materia di sicurezza e cybersicurezza;
  • Difesa legale in caso di richieste di risarcimento per prodotti difettosi.

Se la tua azienda sviluppa software AI o prodotti digitali, non farti trovare impreparato di fronte alle nuove sfide normative.

Contattaci oggi stesso per una consulenza legale mirata.

1 Star2 Stars3 Stars4 Stars5 Stars (5 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.