La responsabilità civile per l’uso di sistemi di intelligenza artificiale nella Risoluzione del Parlamento europeo 20 ottobre 2020: “Raccomandazioni alla Commissione sul regime di responsabilità civile e intelligenza artificiale”
di Pasquale Serrao d’Aquino*
Sommario: 1. Le diverse proposte del Parlamento europeo sull’intelligenza artificiale - 2. La responsabilità civile derivante dall’utilizzo di sistemi di IA - 3. L’applicazione congiunta della direttiva sulla responsabilità per prodotto difettoso e di nuove regole specifiche per la responsabilità dell’IA - 4. I soggetti responsabili - 5. IA ad alto rischio e non ad alto rischio: responsabilità oggettiva e per colpa presunta - 6. La responsabilità per i danni cagionati dall’IA nel codice civile - 7. La prova della responsabilità: la “scatola nera” e l’accesso ai dati - 8. La prescrizione.
1. Le diverse proposte del Parlamento Europeo sull’intelligenza artificiale
Nella convinzione che l’intelligenza artificiale rientri tra le priorità dell’agenda politica dell’Unione europea futura, il Parlamento Europeo ha adottato un intenso programma di azione sul tema dell’intelligenza artificiale.
Il 16 febbraio 2017[1] il PE ha approvato una Risoluzione di raccomandazioni alla Commissione “concernenti norme di diritto civile sulla robotica”, al quale è seguita . la Comunicazione del 25 aprile 2018 “L’intelligenza artificiale per l’Europa”[2]. Dopo diversi atti intermedi, il 20 ottobre 2020 il PE ha approvato tre risoluzioni e due proposte di regolamento su etica, responsabilità e proprietà intellettuale dei sistemi di IA.[3]
Una quarta risoluzione , invece, ha avuto luce il 20 gennaio 2021[4] e tratta del delicato tema dei sistemi autonomi di armi letali (lethal autonoums weapon system), i robot assassini, con la quale chiede alla Commissione l’adozione di una strategia volta a proibire i “sistemi d’arma se non soggetti al controllo umano”.
Quanto ai diritti di proprietà intellettuale, il Parlamento, invece, ha sottolineato l’importanza di un sistema efficace per l’ulteriore sviluppo dell’intelligenza artificiale, compresa la questione dei brevetti e dei nuovi processi creativi indicando, tra le questioni da risolvere, quelle della tutela e della titolarità della proprietà intellettuale di quanto interamente sviluppato dall’intelligenza artificiale assegnando la loro titolarità alla persona umana (e non alla IA, alla quale è negata la personalità giuridica) e distinguendo, inoltre, tra le creazioni umane ottenute con l’assistenza dell’intelligenza artificiale e quelle generate autonomamente dall’IA.
Una definizione di intelligenza artificiale e` contenuta nella Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni. “L’intelligenza artificiale per l’Europa” [COM (2018) 237 final]: secondo la quale con tale espressione di indicano “sistemi che mostrano un comportamento intelligente analizzando il proprio ambiente e compiendo azioni, con un certo grado di autonomia, per raggiungere specifici obiettivi”. Essi possono consistere in software che agiscono nel mondo virtuale (per esempio assistenti vocali, software per l’analisi delle immagini, motori di ricerca, sistemi di riconoscimento vocale e facciale) oppure incorporare l’IA in dispositivi hardware (per esempio in robot avanzati, auto a guida autonoma, droni o applicazioni dell’Internet delle cose).
2. La responsabilità civile derivante dall’utilizzo di sistemi di IA
La Risoluzione del 20 ottobre 2020 “raccomandazioni alla Commissione sul regime di responsabilità civile e intelligenza artificiale”[5] evidenzia come con l’espressione IA si intendano tecnologie avanzate che incidono in quasi tutti i settori della vita sociale ed economica (trasporti, istruzione personalizzata, assistenza alle persone fragili, programmi di fitness, concessione di credito), all'ambiente di lavoro (alleggerimento di attività faticose e ripetitive), fino alle sfide globali (cambiamenti climatici, assistenza sanitaria, nutrizione, logistica). E’ inevitabile, quindi, che sia già iniziata la corsa mondiale all'IA e doveroso che in tale ambito l'Unione svolga un ruolo di primo piano.
La disciplina della "responsabilità" dell’IA svolge un duplice ruolo: garantisce il diritto al risarcimento della vittima di un danno e, al contempo, fornisce un incentivo alle persone fisiche e giuridiche affinché evitino sin dall'inizio di causare danni o pregiudizi, nonché quantifica il risarcimento dovuto per i loro comportamenti.
Al tempo stesso, il PE è consapevole che l’utilizzo di sistemi di IA potrebbe causare danni gravi, come compromettere la dignità umana e i valori e le libertà europei, tracciando gli spostamenti delle persone contro la loro volontà, introducendo sistemi di credito sociale, prendendo decisioni di parte riguardanti assicurazioni sanitarie, concessioni di crediti, ordinanze giudiziarie o decisioni in materia di assunzione o di impiego o, ancora, costruendo sistemi d'arma autonomi letali (considerando 3 della proposta di regolamento).
Per contro, la sfida dell’IA non può essere elusa, in quanto i vantaggi della diffusione dei sistemi di IA sono ritenuti prospetticamente di gran lunga superiori agli svantaggi. Essi, secondo il PE, aiuteranno a contrastare più efficacemente i cambiamenti climatici, a migliorare le visite mediche e le condizioni di lavoro, a migliorare l'integrazione delle persone con disabilità e degli anziani nella società e a fornire corsi di istruzione su misura a tutte le tipologie di studenti (considerando 4 della proposta di reg.)
Il quadro giuridico in materia di responsabilità civile, pertanto, deve «infondere fiducia nella sicurezza, nell'affidabilità e nella coerenza di prodotti e servizi, compresa la tecnologia digitale» (punto B della Risoluzione), garantendo e la certezza del diritto per tutte le parti, del produttore, dell'operatore, della persona interessata o di terzi.
Si è esclusa l’opzione radicale di attribuire la personalità giuridica ai sistemi di IA, ipotesi teorizzata da alcuni studiosi anglosassoni e, comunque, a mio avviso, non impossibile sul piano giuridico-concettuale (per la personalità attribuita agli enti e, in una certa misura, per il riconoscimento di patrimoni separati), ma fortemente inopportuna per l’innescarsi di problemi eticamente e politicamente drammatici, connessi all’inevitabile riconoscimento anche di poteri e di diritti dell’IA. Ferma restando, quindi, la responsabilità in capo a persone fisiche o enti, la Risoluzione del PE individua nelle diverse ipotesi i soggetti responsabili; distingue le diverse tipologie di sistemi di IA; ne differenzia il regime di responsabilità; regola gli obblighi assicurativi, il diritto alla prova e il regime della prescrizione delle azioni risarcitorie delle vittime.
Il regolamento è destinato ad applicarsi nel territorio dell'Unione dove un'attività, dispositivo o processo virtuale o fisico guidato da un sistema di IA abbia arrecato un danno o un pregiudizio alla vita, alla salute, all'integrità fisica di una persona fisica, al patrimonio di una persona fisica o giuridica o abbia arrecato un danno non patrimoniale rilevante risultante in una perdita economica verificabile (art. 1).
Le norme del regolamento sono inderogabili per cui qualsiasi contratto tra l'operatore di un sistema di IA e una persona fisica o giuridica vittima di un danno o pregiudizio a causa di un sistema di IA che eluda o limiti i diritti e gli obblighi sanciti dal regolamento (stipulato tanto prima tanto dopo che il danno o il pregiudizio si sia verificato), è nullo per quanto riguarda i diritti e gli obblighi sanciti dal regolamento.
La tutela prevista dal regolamento è, in ogni caso, aggiuntiva rispetto a quella derivante dalle condizioni contrattuali o da altre norme: «Il presente regolamento fa salve le eventuali ulteriori azioni per responsabilità derivanti da rapporti contrattuali nonché da normative in materia di responsabilità per danno da prodotti difettosi, protezione del consumatore, anti-discriminazione, lavoro e tutela ambientale tra l'operatore e la persona fisica o giuridica vittima di un danno o pregiudizio a causa del sistema di IA, e per il quale può essere presentato ricorso contro l'operatore a norma del diritto dell'Unione o nazionale.» (art. 2, comma 3).
L’art. 3 della proposta di regolamento, che si compone di complessivi 14 articoli, contiene una serie definizioni, oggettive e soggettive: è "sistema di intelligenza artificiale (IA)" il sistema basato su software o integrato in dispositivi hardware che mostra un comportamento che simula l'intelligenza, tra l'altro raccogliendo e trattando dati, analizzando e interpretando il proprio ambiente e intraprendendo azioni, con un certo grado di autonomia, per raggiungere obiettivi specifici; è "autonomo" il sistema basato sull'intelligenza artificiale che opera interpretando determinati dati forniti, e utilizzando una serie di istruzioni predeterminate, senza essere limitato a tali istruzioni, nonostante il comportamento del sistema sia legato e volto al conseguimento dell'obiettivo impartito e ad altre scelte operate dallo sviluppatore in sede di progettazione; un sistema di IA che opera in modo autonomo è ad "alto rischio" quando sussiste un potenziale significativo di causare danni o pregiudizi a una o più persone in modo casuale, e che va oltre a quanto ci si possa ragionevolmente aspettare; l'importanza del potenziale dipende dall'interazione dei vari possibili danni o pregiudizi, dal grado di autonomia decisionale, dalla probabilità che il rischio si concretizzi e dalla modalità e dal contesto di utilizzo del sistema di IA
3. L’applicazione congiunta della direttiva sulla responsabilità per prodotto difettoso e di nuove regole specifiche per la responsabilità dell’IA
Secondo il PE la responsabilità dei sistemi di IA non può sic et simpliceter essere assoggettata alla direttiva eurounitaria in materia di prodotti difettosi. A causa della loro opacità, connettività e autonomia, secondo il PE, sarebbe molto difficile o addirittura impossibile ricondurre specifiche azioni dannose dei sistemi di IA a uno specifico input umano o a decisioni adottate in fase di progettazione.
Ciò nonostante, in ambito europeo si è maturata la convinzione che non sia necessaria una revisione completa dei regimi di responsabilità correttamente funzionanti, ma che in ragione de «la complessità, la connettività, l'opacità, la vulnerabilità, la capacità di modifica mediante aggiornamenti, l'autoapprendimento e la potenziale autonomia dei sistemi di IA, come pure la molteplicità degli attori coinvolti» occorrano «adeguamenti specifici e coordinati dei regimi di responsabilità» onde evitare che le persone che subiscono pregiudizi o danni al patrimonio non siano risarcite (punto 6 delle Raccomandazioni).
La prospettiva di questo adeguamento è di prevedere l’applicazione delle direttive eurounitarie in materia di prodotti difettosi congiuntamente all’introduzione di regole specifiche, considerando responsabili le varie persone nella “catena del valore che creano il sistema di IA, ne eseguono la manutenzione o ne controllano i rischi associati” (punto 7 racc.).
La direttiva sulla responsabilità per danno da prodotti difettosi ha dimostrato, infatti,per oltre trent'anni, di essere un mezzo efficace per ottenere un risarcimento per i danni cagionati da prodotto difettoso. Essa, tuttavia, - secondo il PE - deve essere rivista per adattarla al mondo digitale e alle tecnologie digitali emergenti, garantendo un elevato livello di efficace protezione dei consumatori e la certezza giuridica per consumatori e imprese.
Parallelamente deve essere aggiornata la direttiva 2001/95/CE del P.E. e del Consiglio, del 3 dicembre 2001, sulla sicurezza generale dei prodotti, per garantire che i sistemi di IA integrino la sicurezza e la protezione fin dalla progettazione.
Specifiche indicazioni sono rivolte, pertanto, dal Parlamento alla Commissione affinché: a) valuti se la direttiva sulla responsabilità per danno da prodotti difettosi debba essere trasformata in un regolamento; b) chiarisca la definizione di "prodotti", determinando se i contenuti e i servizi digitali rientrino nel suo ambito di applicazione; c) esamini l'adeguamento di concetti quali "pregiudizio", "difetto" e "produttore".
Le principali difficoltà applicative della direttiva n. 374/85 CEE derivano dal fatto che la prova a carico del danneggiato, ed in particolare l’onere di dimostrare il difetto del prodotto e il nesso di causalità tra difetto e danno (art. 4), è particolarmente difficile per prodotti ad alta complessità tecnologica.
4. I soggetti responsabili
Se in base di principi generali la responsabilità per il danno ricade sulla persona che crea o mantiene un rischio e se la stessa è tenuta a «minimizzarlo ex ante o risarcirlo ex post nel caso in cui non riesca ad evitare il suo avverarsi». Ne consegue che, in questo ambito, la responsabilità per i danni deve appuntarsi, quindi, su (a) chiunque crei un sistema di IA, (b) ne esegua la manutenzione, (c) lo controlli o (d) vi interferisca.
La responsabilità dell'operatore ai sensi della proposta di regolamento si basa sul fatto che egli esercita un certo grado di controllo su un rischio connesso all'operatività e al funzionamento di un sistema di IA, assimilabile a quello del proprietario di un'automobile (considerando 10 prop. Reg.).
L’"operatore di front-end" (lett. e) è la persona fisica o giuridica che esercita un certo grado di controllo su un rischio connesso all'operatività e al funzionamento del sistema di IA e che beneficia del suo funzionamento. Sulla base della Risoluzione, quindi, la responsabilità può ricadere sul deployer, nozione nella quale può, ad esempio, rientrare il conducente del veicolo non del tutto autonomo o il medico che utilizza un sistema di intelligenza artificiale.
L"operatore di back-end", invece, la persona fisica o giuridica che, su base continuativa, definisce le caratteristiche della tecnologia e fornisce i dati e il servizio di supporto di back-end essenziale e pertanto esercita anche un elevato grado di controllo su un rischio connesso all'operatività e al funzionamento del sistema di IA.
Per “controllo” (art. 3 lett. g) si intende l’azione che influenza il funzionamento di un sistema di IA e che, quindi il grado quindi il grado di esposizione di terzi ai suoi potenziali rischi.
Laddove ci sia più un operatore, ad esempio, un operatore di back-end e un operatore di front-end,, il PE ritiene che in tal caso tutti gli operatori dovrebbero essere responsabili in solido, pur avendo il diritto di rivalersi reciprocamente su base proporzionale, in misura dei «rispettivi gradi di controllo che gli operatori hanno esercitato sul rischio connesso all'operatività e al funzionamento del sistema di IA» e non del criterio, concettualmente diverso, ma simile negli effetti pratici, del contributo causale apportato dalla condotta di ciascuno (sempre che una condotta sia concretamente individuabile) o del grado di colpa di ciascuno.
Il regolamento non si occupa, invece, della tutela alle persone che subiscono danni (patrimoniali e non) a seguito dell'interferenza di un terzo quale, ad esempio, un hacker. Essa, infatti, costituisce sistematicamente un'azione basata sulla colpa, per cui il vigente diritto degli Stati membri in materia di responsabilità civile per colpa offre già, il più delle volte, un livello sufficiente di protezione. Solo per casi specifici, inclusi quelli in cui il terzo sia irrintracciabile o insolvibile, risultano necessarie ulteriori norme in materia di responsabilità per integrare il diritto nazionale in materia di responsabilità civile (punto 9 racc.). E’ evidente, in tal caso, la necessità di prevedere che per tale attività pericolosa, come ad esempio, quella da circolazione stradale (non a caso richiamata per analogia come attività rischiosa – punto 10 racc.), siano istituiti fondi di garanzia che assicurino forme di risarcimento in favore del danneggiato.
Tali passaggi sembrano implicare che, oltre alla forza maggiore, anche il fatto del terzo porti ad escludere la responsabilità dell’operatore del sistema di IA ad alto rischio.
Quanto all’utente, ovvero la persona che utilizza il sistema di IA coinvolta nell'evento dannoso, questi dovrebbe essere chiamata a rispondere a norma del presente regolamento solo laddove si qualifichi anche come operatore. In caso contrario, la sua responsabilità può essere affermata solo per colpa, apprezzando l'entità del suo contributo al rischio per negligenza grave o intenzionale (considerando 11 prop. reg.).
5. IA ad alto rischio, e non ad alto rischio: responsabilità oggettiva e per colpa presunta
Le IA sono estremamente diverse nelle caratteristiche, funzionamento, settore operativo. La stragrande maggioranza dei sistemi di IA è utilizzata per gestire compiti banali, privi di rischi o con rischi minimi per la società (considerando 6 prop. reg.).
La Risoluzione, pertanto, preferisce utilizzare la diversa espressione di "processo decisionale automatizzato" la quale potrebbe evitare la possibile ambiguità del termine IA. Esso implica che «un utente deleghi inizialmente una decisione, in parte o interamente, a un'entità utilizzando un software o un servizio; che tale entità a sua volta utilizza modelli decisionali automatizzati per lo svolgimento di un'azione per conto di un utente, o per informare le decisioni dell'utente nello svolgimento di un'azione» (punto G ris. e considerando 6 pro. Reg.).
Onde non assimilarle tutte al medesimo regime di responsabilità, il PE ricorre al criterio del rischio, giustamente considerato come il più opportuno in relazione alla essenza dell’IA, consistente nell’essere una tecnologia che sia in grado di prendere decisioni autonome.
Distingue, pertanto, i sistema di IA ad alto rischio, quando il suo funzionamento autonomo ha un elevato potenziale di causare danni a una o più persone, in un modo che è casuale e che va ben oltre quanto ci si può ragionevolmente aspettare. La Risoluzione indica che occorre anche tenere conto del settore in cui è possibile prevedere l'insorgere di rischi significativi e della natura delle attività svolte; ritiene che l'importanza del potenziale dipenda dall'interazione tra la gravità dei possibili danni, la probabilità che il rischio causi un danno o un pregiudizio e la modalità di utilizzo del sistema di IA (punto 15 Racc.). Tra i sistemi a rischio elevato possono indicarsi gli aeromobili senza equipaggio, i veicoli con livello di automazione elevato (livello 4 e 5 delle norme SAE J3016).
Dal momento che all'avvio del funzionamento autonomo del sistema di IA, la maggior parte delle persone potenzialmente interessate è ignota e non identificabile, il PE ritiene che sistema di IA che agisce in modo autonomo è potenzialmente molto più pericoloso per il pubblico, ragione per cui la Risoluzione prevede una responsabilità oggettiva per le IA “ad alto rischio”, previste nell’elenco allegato alla Risoluzione (da aggiornarsi semestralmente) e una responsabilità colposa per le IA che, invece, non presentano tale livello di rischio.
L’inserzione nell’elenco è decisiva in quanto tutte le attività, i dispositivi o i processi guidati da sistemi di IA che possono provocare danni o pregiudizi, ma che non sono indicati nell'elenco contenuto nell'allegato al regolamento proposto, dovrebbero continuare a essere soggetti a un regime di colpa presuntiva, per cui la persona interessata dovrebbe comunque poter far valere una presunzione di colpa dell'operatore, che dovrebbe potersi discolpare dimostrando di aver rispettato l'obbligo di diligenza (punto 20).
Nel caso in cui, tuttavia un sistema di IA che non sia ancora stato valutato dalla Commissione e dal comitato permanente e che, di conseguenza, non sia ancora stato classificato come ad alto rischio e non sia stato incluso nell'allegato al regolamento proposto, essere dovrebbe soggetto alla responsabilità oggettiva qualora abbia causato incidenti ripetuti che producono gravi danni o pregiudizi, ferma restando la necessità per la Commissione di “valutare, senza indebito ritardo, la necessità di rivedere” l’allegato nonché l’effetto retroattivo dell’inclusione di tale sistema di IA nell'elenco, a partire dal momento in cui si è verificato il primo incidente provocato dal sistema di IA in questione, che ha causato un danno o un pregiudizio grave (punto 21 Racc.).
Gli operatori dei sistemi di sistemi di IA ad alto rischio possono esonerarsi da responsabilità, definita come “oggettiva” solo provando la forza maggiore. Non possono, pertanto, eludere la propria responsabilità sostenendo di avere agito con la dovuta diligenza o che il danno o il pregiudizio sia stato cagionato da un'attività, dispositivo o processo autonomo guidato dal loro sistema di IA.
La proposta regolamento prevede che le sue norme prevalgano sui regimi nazionali di responsabilità civile in caso di discrepanze nella classificazione dei sistemi di IA ai fini della responsabilità oggettiva.
La proposta di direttiva indica, quanto alla dimostrazione della colpa per l’utilizzo di sistemi di IA non ad alto rischio, «la diligenza che ci si può attendere da un operatore dovrebbe essere commisurata i) alla natura del sistema di IA, ii) al diritto giuridicamente tutelato potenzialmente interessato, iii) al danno o pregiudizio potenziale che il sistema di IA potrebbe causare e iv) alla probabilità di tale danno.» Occorre tener conto anche del fatto che l'operatore potrebbe avere una conoscenza limitata degli algoritmi e dei dati utilizzati nel sistema di IA (considerando 18 prop. Reg.).
L’art. 8 prevede che l'operatore non è responsabile se riesce a dimostrare che il danno o il pregiudizio arrecato non è imputabile a sua colpa per uno dei seguenti motivi: a) il sistema di IA si è attivato senza che l'operatore ne fosse a conoscenza e sono state adottate tutte le misure ragionevoli e necessarie per evitare tale attivazione al di fuori del controllo dell'operatore; b) è stata rispettata la dovuta diligenza: selezionando un sistema di IA idoneo al compito e alle competenze, mettendo debitamente in funzione il sistema di IA, monitorando le attività e mantenendo l'affidabilità operativa mediante la periodica installazione di tutti gli aggiornamenti disponibili.
Viene altresì precisato che l'operatore non può sottrarsi alla responsabilità sostenendo che il danno o il pregiudizio sia stato cagionato da un'attività, dispositivo o processo autonomo guidato dal suo sistema di IA.
L'operatore non è responsabile se il danno o il pregiudizio è dovuto a cause di forza maggiore.
6. La responsabilità per i danni cagionati dall’IA nel codice civile
Se si analizza l’impatto della proposta di regolamento sul piano interno, deve rilevarsi che diverse norme del Codice civile, nell’attesa dell’approvazione del Regolamento, appaiono astrattamente applicabili ai sistemi di IA. Ad esempio, qualora il sinistro avvenga nell’ambito della circolazione di autoveicoli su strada, si potrà fare riferimento all’art. 2054 c.c.
Analogamente le regole speciali della responsabilità aggravata o semioggettiva, dalla rovina di edificio, ai danni da aeromobili in volo, potranno risultare di volta in volta applicabili anche qualora siano utilizzati strumenti dotati di intelligenza artificiale.
Nelle ipotesi ulteriori, il danno cagionato dall’utilizzo di un sistema di IA appare astrattamente riconducibile a diverse disposizioni.[6]
Potrebbe farsi ricorso, in particolare, all’art. 2049 c.c. sulla responsabilità del datore di lavoro per l’illecito dei “domestici e commessi”. Si è osservato, tuttavia, che in tale caso il datore di lavoro risponde per l’agire di un soggetto che e` astrattamente imputabile, tanto che il dipendente risponde del danno cagionato in solido con il datore di lavoro.
Numerose, poi sono le forme di responsabilità indiretta, oggettiva o aggravata, a seconda della classificazione dottrinale alla quale si voglia fare riferimento.
Da un lato si è richiamato l’art. 2047 c.c., sul danno causato dall’incapace, e l’art. 2048 c.c., in materia di responsabilità dei genitori, dei tutori e dei precettori, i quali rispondono per il fatto cagionato dal minore, dal soggetto sottoposto a tutela, dall’allievo o dall’apprendista.
Se è vero che l’IA non ha capacità giuridica, mentre gli incapaci si è sostenuto che l’applicabilità della norma al caso in esame è sostenibile in considerazione della natura evolutiva e autonoma dei dispositivi in esame, caratteristica che li distingue dagli oggetti inanimati.
L’utilizzo di dispositivi intelligenti nell’ambito produttivo può anche costituire un’attività pericolosa ai sensi dell’art. 2050 c.c. Si è sostenuto che tale connotazione sarebbe impropria in quanto l’IA è utilizzata come mezzo correttivo o integrativo delle imprecisioni umane e risultando capace di evitare i rischi legati allo svolgimento di certe attività, non escludendosi, tuttavia, che, qualora il dispositivo intelligente sia utilizzato nello svolgimento di un’attività ritenuta di per sè pericolosa, la disposizione potrebbe risultare applicabile.
Ancora si è proposto di applicare l’art. 2051 c.c. sulle cose in custodia o, piuttosto, l’art. 2053 c.c. sul danno cagionato da custodia di animali, in considerazione dell’autonomia decisionale e di spostamento che possano avere alcuni sistemi di IA.
Paradossalmente, per le attività non rischiose dovrebbe applicarsi l’art. 2051 c.c. che esclude la responsabilità solo per il fortuito, mentre il meno rigoroso art. 2050 c.c., che prevede la prova liberatoria dell’aver fatto tutto il possibile per evitare il danno, sarebbe destinato a trovare applicazione per le attività pericolose in luogo dell’art. 2050 c.c.
Si è quindi coerentemente proposto che dovrebbe applicarsi l’art. 2050 c.c. qualora il danno sia cagionato dalla cosa sottoposta alla direzione, ancorchè inadeguata, di un soggetto, mentre l’art. 2051 c.c. dovrebbe essere applicato qualora la cosa non sia azionata direttamente dall’operatore.
Risulta evidente, peraltro, che trovando molte di tali norme applicazione per analogia, il regolamento, riempiendo il vuoto normativo, porterà ad escluderne l’applicazione o a limitarla a casi residuali.
Fondamentale per lo sviluppo dell’IA e la tutela dei danneggiati è la previsione dell’assicurazione obbligatoria per gli operatori a copertura della responsabilità civile adeguata agli importi e all'entità del risarcimento previsti dagli articoli 5 e 6 della proposta di regolamento, salvo che tale attività non sia già soggetta ad un regime di assicurazione obbligatoria ai sensi di un'altra legge dell'Unione o nazionale o fondi assicurativi aziendali volontari che copra tali gli importi e l'entità del risarcimento.
7. La prova della responsabilità: la “scatola nera” e l’accesso ai dati
La prova della responsabilità dell’IA può essere difficile o, eccessivamente onerosa o anche impossibile, perché la loro opacità strutturale potrebbe rendere estremamente oneroso, se non impossibile, identificare chi ha il controllo del rischio associato a quel sistema di IA o quale codice, input o dati abbiano causato, in definitiva, l'attività pregiudizievole.
La questione è resa più complessa dalla connettività, che spesso lega un sistema di IA e altri sistemi, di IA e non di IA, dalla dipendenza da dati esterni (si pensi alla tematica dell’Internet of Things), dalla vulnerabilità a violazioni della cybersicurezza e dalla progettazione di sistemi di IA sempre più autonomi, che si avvalgono, tra l'altro, di tecniche di apprendimento automatico e di apprendimento profondo.
A tal fine il PE indica alla Commissione che occorre valutare in che modo i dati raccolti, registrati o salvati riguardanti sistemi di IA ad alto rischio potrebbero essere consultati e utilizzati dall'autorità inquirente e in che modo la tracciabilità e la verificabilità di tali dati potrebbero essere migliorate, tenendo conto di diritti fondamentali e del diritto alla tutela della vita privata.
I sistemi di IA più evoluti e complessi sono sviluppati e si basano su tecnologie come le reti neurali e i processi di apprendimento profondo. La loro opacità e autonomia potrebbe rendere molto difficile ricondurre determinate azioni a specifiche decisioni umane prese durante la loro progettazione o il loro funzionamento. L'operatore potrebbe sostenere, ad esempio, che l'attività, il dispositivo o il processo fisico o virtuale che ha causato il danno o il pregiudizio fosse al di fuori del proprio controllo in quanto attivato da un'operazione autonoma del proprio sistema di IA. Pertanto, vi potrebbero essere casi di responsabilità in cui l'attribuzione della responsabilità potrebbe essere iniqua o inefficiente o in cui la persona che ha subito un danno cagionato da un sistema di IA non possa dimostrare la colpa del produttore, di una terza parte che abbia interferito o dell'operatore, e non ottenga, pertanto, un risarcimento (considerando 7 prop. dir.).
Ciononostante, secondo il PE deve affermarsi che chiunque crei un sistema di IA, ne esegua la manutenzione, lo controlli o interferisca con esso dovrebbe essere chiamato a rispondere del danno o pregiudizio che l'attività, il dispositivo o il processo provoca.
Ai sensi dell’art. 10, comma 2 un operatore ritenuto responsabile può utilizzare i dati generati dal sistema di IA per provare il concorso di colpa della persona interessata, in conformità del regolamento (UE) 2016/679 e di altre leggi pertinenti in materia di protezione dei dati.
La persona interessata può utilizzare tali dati anche come prova o ai fini di un chiarimento nell'ambito dell'azione per responsabilità.
Per ovviare tali inconvenienti la risoluzione afferma un principio di equità del risarcimento basata sull’equivalenza del livello di protezione assicurato al danneggiato dalla IA rispetto alle ipotesi nelle quali non sia coinvolto un sistema di IA.
8. La prescrizione
Le azioni per responsabilità civile intentate per pregiudizi subiti da sistemi di IA ad alto rischio (art.4, paragrafo 1), se inerenti a danni alla vita, alla salute o all'integrità fisica sono soggette a un termine di prescrizione speciale di 30 anni a decorrere dalla data in cui si è verificato il danno; se, invece, intentate per danni al patrimonio o rilevanti danni non patrimoniali che risultino in una “perdita economica verificabile” sono soggette a un termine di prescrizione speciale di: a) 10 anni a decorrere dalla data in cui si è verificato, rispettivamente, il danno al patrimonio o la perdita economica verificabile derivante dal danno non patrimoniale rilevante o b) 30 anni a decorrere dalla data in cui ha avuto luogo l'attività del sistema di IA ad alto rischio che ha provocato il danno al patrimonio o il danno non patrimoniale. Tali norme trovano applicazione senza pregiudizio l'applicazione del diritto nazionale che disciplina la sospensione o l'interruzione della prescrizione. Le azioni per responsabilità civile intentate per danni da attività di IA non ad alto rischio, invece,o (art. 8, paragrafo 1 regolamento) sono soggette ai termini di prescrizione e agli importi ed entità di risarcimento delle leggi dello Stato membro in cui si è verificato il danno o il pregiudizio.
Infine, nella consapevolezza del carattere sperimentale della normativa e della velocità dei cambiamenti dei sistemi di IA, la proposta di regolamento prevede che entro tre anni dalla data di sua applicazione del presente regolamento, e successivamente ogni tre anni, la Commissione presenti una relazione dettagliata al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo riesaminando anche il testo normativo alla luce degli ulteriori sviluppi dell'intelligenza artificiale.
*Magistrato addetto all’Ufficio Studi del CSM.
[1] Risoluzione del Parlamento europeo del 16.2.2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica (2015/2013 (INL).
[2] Nel maggio 2019 e` stato pubblicato un Report di un gruppo di esperti, i cui risultati sono stati ripresi nel febbraio 2020 nella Relazione della stessa Commissione “sulle implicazioni dell’intelligenza artificiale, dell’Internet delle cose e della robotica in materia di sicurezza e responsabilità” (Commissione Europea, COM (2020) 64 final, 16 febbraio 2020, Relazione sulle implicazioni dell’intelligenza artificiale, dell’Internet delle cose e della robotica in materia di sicurezza e responsabilità), allegato al Libro Bianco “sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia”(Commissione Europea, COM (2020) 65 final, 16 febbraio 2020, Libro bianco sull’intelligenza artificiale – Un approccio europea all’eccellenza e alla fiducia.)
[3] V. specificamente U. Salanitro, Intelligenza artificiale e responsabilita`:la strategia della commissione europea,in Riv. dir. civile, 6/2020, p. 1246 s.; A. Fusaro, Quale modello di responsabilità per la robotica avanzata? Riflessioni a margine del percorso europeo, in NGCC 6/2020, p. 1344 s.
[4] Inerente a” questioni relative all’interpretazione e applicazione del diritto internazionale nella misura in cui l’UE è interessata relativamente agli impieghi civili e militari e all’autorità dello Stato al di fuori dell’ambito della giustizia penale”.
[5] Su proposta della Commissione Giuridica (27 aprile 2020), il Parlamento Europeo ha presentato il 20 ottobre 2020 una Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilita` civile sull’intelligenza artificiale (2020/2014 (INL)), in cui abbandona la tesi della soggettivita`, reputata non necessaria, e accoglie l’impostazione della Commissione.
[6] In merito v. diffusamente MATILDE RATTI, Riflessioni in materia di responsabilita` civile e danno cagionato da dispositivo intelligente alla luce dell’attuale scenario normativo, i. Contratto e impresa 3/2020, p. 1174 .s.