La proposta di una Direttiva sull’armonizzazione dei principi di responsabilità extracontrattuale (“Proposta”) [1] rientra nel più ampio pacchetto di misure pensate per sostenere la diffusione di un’IA affidabile in Europa (prima fra tutte, la cd. “Legge sull’IA” o “AI ACT” [2], alla quale il testo della Proposta rinvia per le definizioni dei termini utilizzati).

Obiettivo

L’obiettivo principale della Direttiva è di introdurre semplificazioni dell’onere della prova per qualunque soggetto instauri un’azione per danni causati da sistemi di IA in uno Stato membro, al fine di superare le principali criticità riscontrate in materia di responsabilità civile.

• Anti-economicità: le norme nazionali in materia di responsabilità civile risultano spesso di difficile applicazione alla materia dell’IA (in particolare, in relazione all’identificazione del soggetto responsabile) [3]; chi agisce per il risarcimento di un danno provocato da prodotti e/o servizi basati sull’IA può godere di una protezione “inferiore” rispetto a danni da prodotti e/o servizi di altro tipo;
• Incertezza: le norme nazionali possono inoltre essere interpretate diversamente in base all’apprezzamento del giudice nazionale; le imprese che utilizzano l’IA potrebbero quindi avere difficoltà a definire la possibile esposizione alla responsabilità civile [4];
• Frammentazione: alcuni Stati Membri – tra cui l’Italia – hanno già avviato azioni legislative per implementare regole ad hoc in materia di IA; l’adozione di una disciplina uniforme a livello europeo intende garantire, inter alia, un livello di protezione (minimo) per tutti coloro che subiscono un danno.

                                                                                                                                                   ***

Oggetto e ambito di applicazione

La Proposta si applica alle azioni civili di responsabilità extracontrattuale promosse successivamente alla data di recepimento della direttiva da:

• soggetti direttamente danneggiati dall’IA;
• soggetti subentrati/surrogati nei diritti del danneggiato dall’IA (ad esempio, gli eredi o una compagnia assicurativa);
• soggetti che agiscono per conto di uno o più danneggiati (azioni rappresentative), al fine di ottenere il risarcimento del danno causato dall’output di un sistema di IA o dalla mancata produzione di un output (che avrebbe dovuto essere prodotto da tale sistema) nell’ambito di regimi di responsabilità per colpa.

Il nuovo regime di responsabilità si intende quindi applicabile a prodotti e servizi basati su sistemi di IA, con impatto su un numero molto elevato (e oggi non determinabile) di settori industriali.

Divulgazione degli elementi di prova

Nell’ottica di alleggerire l’onere probatorio, la Proposta introduce il diritto per il danneggiato/attore di ottenere in sede giudiziale elementi di prova sul sistema di IA c.d. “ad alto rischio” [5], mediante un ordine giudiziale di divulgazione di tali elementi.

L’ordine di divulgazione costituisce infatti un mezzo efficace per l’identificazione delle persone potenzialmente responsabili [6] e delle prove pertinenti.

Tale diritto incontra tuttavia dei precisi limiti: l’Autorità nazionale è tenuta a considerare gli interessi legittimi di tutte le parti, compresi i convenuti e i terzi interessati, specialmente in relazione alla protezione dei segreti commerciali e delle informazioni riservate [7].

L’ordine di divulgazione, inoltre, non opera in automatico: il richiedente il risarcimento deve infatti dimostrare di non essere riuscito a procurarsi tali elementi in via autonomia, nonostante “ogni sforzo proporzionato” in tal senso.

Presunzione relativa del nesso di causalità

Sul danneggiato grava normalmente l’onere di dimostrare la sussistenza degli elementi costitutivi della responsabilità extracontrattuale:

• il fatto illecito;
• il dolo o la colpa;
• il danno (ingiusto);
• il nesso di causalità tra il fatto illecito e il danno.

La Proposta alleggerisce tale onere probatorio, introducendo una presunzione relativa circa la sussistenza del nesso di causalità. Il danneggiato non sarà pertanto chiamato a dimostrare la sussistenza di tale requisito qualora:

1. abbia dato prova della colpa del convenuto [8], derivante dal mancato adempimento da parte di quest’ultimo di un obbligo di diligenza dettato a livello europeo/nazionale al preciso scopo di evitare il danno [9];
2. sia “ragionevolmente probabile, sulla base delle circostanze del caso” che il comportamento colposo del convenuto abbia influito sul comportamento del sistema IA;
3. abbia dimostrato che il danno è stato causato dalla produzione/mancata produzione dell’output da parte del sistema di IA.

Anche tale presunzione incontra tuttavia precisi limiti.

In base alla Proposta, il nesso di causalità può infatti essere presunto qualora [10]:

• nei giudizi riguardanti un sistema di IA ad alto rischio, il convenuto non riesca a dimostrare che il danneggiato può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare il nesso causale;
• nei giudizi riguardanti un sistema di IA non ad alto rischio, l’Autorità nazionale ritenga eccessivamente difficile per il danneggiato dimostrare l’esistenza del nesso di causalità.

Poiché si tratta di presunzione relativa, anche in questo caso il convenuto conserva il diritto di confutarla.

                                                                                                                                                   ***

Prossimi passaggi

La Proposta, adottata dalla Commissione europea il 29 settembre 2022, si trova attualmente nella fase di c.d. “prima lettura”.

Il Consiglio e il Parlamento devono concludere l’iter per l’adozione della proposta legislativa [11].

La Direttiva dovrà essere recepita dagli Stati membri nel termine di 2 anni dalla sua entrata in vigore.

Fonti e note:

[1] La “Proposta di DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale)” è consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52022PC0496.

[2] L’AI ACT è stato approvato in via definitiva sia dal Parlamento che dal Consiglio europeo ed entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione europea.

[3] In base alle normative nazionali, il danneggiato è tenuto a dimostrare un’azione o un’omissione illecita del danneggiante, la colpa e il nesso di causalità. Si tratta di un onere molto difficile da assolvere nell’ambito dell’IA, essendo estremamente arduo per il danneggiato dai prodotti e/o servizi dell’IA riuscire a identificare la persona responsabile e dimostrare che sussistono i presupposti per un’azione di responsabilità (soprattutto per colpa).

[4] Si ricorda che, in un contesto transfrontaliero, la legge applicabile alla responsabilità extracontrattuale derivante da fatto illecito è quella del Paese in cui si verifica il danno.

[5] Secondo l’art. 6 dell’AI ACT n sistema è qualificato ad alto rischio se è destinato a essere utilizzato come componente di sicurezza di un prodotto, o è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato I all’AI Act (giocattoli, presidi medici, ascensori, veicoli a motore, imbarcazioni, sistemi ferroviari etc.), o se impatta sulle aree sensibili elencate nell’Allegato III all’AI Act (infrastrutture critiche, servizi pubblici e privati essenziali, formazione, istruzione, recruitment etc.).

[6] Considerato l’elevato numero di persone normalmente coinvolte nello sviluppo di sistemi di IA ad altro rischio.

[7] La Proposta chiarisce che l’autorità nazionale – d’ufficio o su richiesta di parte – può adottare misure specifiche per tutelare la riservatezza di (presunti) segreti commerciali riguardati dall’ordine di divulgazione.

[8] L’art. 4, par. 1, lett. a), della Proposta chiarisce che la colpa del convenuto – oltre che provata dall’attore – può in ogni caso essere presunta dall’autorità nazionale laddove il convenuto non adempia all’ordine di divulgazione e/o conservazione degli elementi di prova.

[9] Nel caso in cui il convenuto sia un soggetto destinatario di precisi obblighi imposti dall’AI Act – per es., un fornitore o un utente (deployer) di un sistema IA ad alto rischio – la Proposta chiarisce a quali condizioni il requisito di cui alla lettera a) può dirsi integrato; cfr. art. 4, paragrafi 2 e 3 della Proposta.

[10] È inoltre contemplato il caso, residuale, in cui un convenuto utilizza il sistema di IA nel corso di un’attività personale non professionale; l’articolo 4, paragrafo 6, stabilisce che la presunzione di casualità dovrebbe applicarsi solo se il convenuto (i) ha interferito materialmente con le condizioni di funzionamento del sistema di IA o (ii) aveva l’obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l’ha fatto. Tale condizione è giustificata dall’esigenza di bilanciare gli interessi delle persone danneggiate e degli utenti non professionali, esentando dall’applicazione della presunzione di causalità i casi in cui il comportamento degli utenti non professionali non determina un incremento dei rischi.

[11] Non sono previsti limiti temporali per la conclusione della prima lettura in Consiglio e in Parlamento. Al contrario, il Parlamento e il Consiglio dispongono di un termine di 3 mesi, più 1 eventuale mese di proroga, per concludere la seconda lettura.