Andrea Fedi[1]
Il 28 settembre scorso la Commissione EU ha annunciato due nuove iniziative: la proposta di revisione (COM(2022)495) della direttiva sulla responsabilità da prodotto (85/374/CEE) e una proposta di direttiva (COM(2022)496) sulla responsabilità derivante dai sistemi basati sull’artificial intelligence (AI). Mentre la primaintende modernizzare le regole sulla strict liability del produttore nel caso di claims azionati da persone fisiche in relazione a prodotti difettosi che abbiano arrecato morte o lesioni personali, danni a cose o perdita di dati, la seconda è pensata come un necessario complemento alla proposta di regolamento sull’AI (AI Act, 2021/0106 (COD), giunta alla terza proposta di compromesso) e si applica a tutti i sistemi di responsabilità fault based che sfuggono all’applicazione della direttiva sulla responsabilità da prodotto.
A regime, nei desiderata della Commissione, ove le proposte di regolamento e di direttiva venissero approvate, avremo: una direttiva aggiornata sulla responsabilità da prodotto che potrà applicarsi espressamente anche a software, sistemi di AI e servizi digitali; un regolamento sull’AI – direttamente applicabile nei Paesi Membri – che vieterà alcune forme di AI e prevedrà requisiti e obblighi di sicurezza ex ante ed ex post per i sistemi di AI non vietati (distinguendo tra sistemi ad alto rischio e non); e, infine, una direttiva sulla responsabilità originata da sistemi AI, che introdurrà particolari meccanismi, in favore dei soggetti danneggiati, per consentire loro più agevolmente la prova della loro pretesa.
Perché una proposta di direttiva sulla responsabilità da sistemi AI
La proposta di direttiva parte dalla constatazione che, accanto a sistemi di responsabilità oggettiva (strict), gli ordinamenti nazionali dei Paesi dell’Unione contemplano generalmente sistemi basati sulla colpa (fault-based), ossia a seguito di un’azione o un’omissione intenzionalmente lesiva o colposa. In questi casi l’attore deve provare la violazione dolosa o colposa di una norma, il nesso causale tra quella violazione e l’evento dannoso e, infine, il danno.
Tenuto conto delle caratteristiche di complessità, autonomia e opacità di alcuni sistemi AI (per i quali si parla di black-box), l’applicazione delle regole nazionali rischia tuttavia di rendere eccessivamente difficoltosa la prova della pretesa e di frustrare le aspettative dei claimant.
Lasciare interamente alle legislazioni nazionali le scelte di politica legislativa su tale materia, del resto, potrebbe aprire la porta a un patchwork di normative diverse, che finirebbero inevitabilmente per ostacolare il libero commercio tra gli Stati unionali e metterebbe a rischio la necessità di un approccio uniforme sui temi valoriali coinvolti dalla regolazione dell’AI, quali il rispetto dei diritti fondamentali di cui alla Carta di Nizza.
Ergo, una direttiva che tracci le linee-guida uniformi da applicarsi all’interno dell’Unione è necessaria, vieppiù in considerazione che l’altro intervento sull’AI (contenuto nella proposta di AI Act) delinea i requisiti e gli obblighi necessari alla gestione dei rischi e alla prevenzione dei danni, ma non regola i profili risarcitori derivanti dall’uso di sistemi AI.
Termine di recepimento
La direttiva, una volta approvata, dovrà essere trasposta in legge nazionale entro due anni, il che corrisponde al termine di recepimento della nuova direttiva sulla responsabilità da prodotto e al termine entro il quale l’AI Act dovrebbe iniziare ad applicarsi. È evidente, infatti, che sia altamente opportuno che tutti i segmenti di quello che appare come un unico pacchetto normativo inizino a trovare applicazione insieme.
Ciò detto, tenuto conto della storia (anche recente) che caratterizza la talora tormentata trasposizione delle direttive unionali nei sistemi giuridici nazionali, non si può sottacere il rischio che una o entrambe le direttive finiscano, in uno o più Paesi, per essere approvate in ritardo rispetto all’entrata in vigore dell’AI Act (che, in quanto regolamento, avrà immediato effetto all’iniziare del suo termine d’efficacia, senza bisogno di trasposizioni o recepimenti). La possibilità, dunque, di un’entrata in vigore asimmetrica e disuniforme non è affatto da escludere.
Altre questioni relative alla trasposizione
La trasposizione della direttiva in legge nazionale (e l’interpretazione di quest’ultima, in combinato disposto con la direttiva) sarà comunque un esercizio delicato. Innanzitutto, certamente, per le considerazioni che sono svolte sotto e riguardano il suo contenuto (la sostanza); ma anche per alcune questioni preliminari, che qui velocemente si segnalano all’attenzione di chi legge.
La proposta di direttiva, infatti, è accompagnata, come di consueto: da un comunicato stampa, da alcune questions & answers e da un memorandum esplicativo. La proposta di direttiva stessa, poi, include un lungo prologo di consideranda. Tutti tali elementi dovranno essere considerati nell’interpretazione in quanto espressivi della volontà del legislatore comunitario ed essere raccordati dalle relazioni e dagli altri documenti accompagnatori che saranno redatti dal legislatore nazionale (ossia, il parlamento in sede di delega e il governo in sede di decreto legislativo): esercizio che si preannuncia sin d’ora non agevole.
A ciò si aggiunga che la terminologia tecnica del legislatore comunitario, rilevante per stabilire il significato proprio delle parole (art. 12 preleggi), dovrà tener conto della redazione della proposta di direttiva in tutte le lingue dell’Unione e dell’ineliminabile scivolosità e approssimazione linguistica che ciò comporta provenendo tali termini da ordinamenti e tradizioni giuridiche diverse (ad esempio, il termine “colpa”, utilizzato nella versione italiana, è reso con il termine “fault”, della versione inglese). Insomma, sarà necessario leggere ed interpretare le norme tenendo bene a mente la loro origine comunitaria. Problemi di questo tipo sono già sorti in passato. Basti ricordare l’art. 82 del GDPR che prevede il risarcimento anche del danno immateriale, laddove la nozione di danno immateriale è sconosciuta al codice civile italiano che discorre bensì di danno “non patrimoniale”, tradizionalmente anche denominato “danno morale”, ma non di danno “immateriale”.
Gli strumenti della la proposta di direttiva
La proposta di direttiva introduce due meccanismi volti ad alleggerire l’onere della prova a carico del potenziale danneggiato.
- Il primo consiste nel diritto di accedere a documenti e informazioni utilizzabili come prova a favore del claimant.
- Il secondo è la presunzione di esistenza del nesso causale tra violazione di una cautela obbligatoria (duty of care) ed il verificarsi di un evento dannoso (‘presunzione di causalità’).
L’idea fondamentale è quella di alleggerire le significative difficoltà, per i danneggiati, di provare la fondatezza delle loro pretese, considerata la complessità, l’autonomia e l’opacità con la quale funzionano i sistemi di AI.
Viene dunque proposto un intervento di armonizzazione europea, che dovrebbe prevenire lo sviluppo di legislazioni totalmente differenti nei Paesi dell’Unione, così ostacolando l’instaurazione di un mercato effettivamente unico.
Per far questo, la Commissione sottolinea di aver cercato le misure meno intrusive a sua disposizione: non si è infatti operato sulla nozione e l’estensione di ‘danno risarcibile’, né su quella di ‘colpa’ o ‘dolo’ e nemmeno si è introdotta una vera e propria inversione dell’onere della prova.
Si è invece deciso di formulare:
- un nuovo diritto d’accesso alle prove sotto la vigilanza dell’autorità giudiziaria che, su domanda del danneggiato, può emettere un ordine di esibizione su alcune caratteristiche del sistema di AI (ordine giudiziale che, se disatteso immotivatamente, può generare una presunzione semplice di non compiliance) e
- una praesumptio juris tantum di nesso causale (che può essere in teoria ribaltata dal fornitore o dall’utilizzatore del sistema di AI).
Peraltro lo strumento della direttiva dovrebbe consentire ai legislatori nazionali di trasferirne i principi in legge nazionale con gli opportuni adattamenti, al fine di assicurare coerenza con il resto dei diversi ordinamenti domestici.
Il diritto di accesso: come funziona
Il nuovo diritto d’accesso alle prove non sembra sconvolgere l’attuale quadro del diritto italiano (numerosi diritti d’accesso sono già previsti, inclusi quelli ex GDPR, per non parlare degli artt. da 210 a 213 c.p.c.).
A questo riguardo, la vera novità della direttiva è la ‘presunzione di non compliance’, che scatta a carico di chi viola l’ordine di esibizione.
La proposta di direttiva invero prevede che il potenziale danneggiato debba per prima cosa chiedere al fornitore o all’utilizzatore del sistema di AI di mettere a disposizione alcune informazioni sul sistema di AI.
Laddove tale richiesta stragiudiziale rimanga disattesa, il potenziale danneggiato potrà adìre l’autorità giudiziaria per ottenere un ordine di esibizione dimostrando il proprio fumus boni juris, ossia la plausibilità della sua pretesa risarcitoria e anche di aver effettuato ogni sforzo proporzionato per ottenere altrimenti gli elementi di prova di cui chiede l’esibizione.
A questo punto, l’autorità giudiziaria potrà emettere ordini di esibizione di conservazione dei mezzi di prova a favore dell’attore, naturalmente nella misura di ciò che appare necessario e proporzionato rispetto alle circostanze di cui è causa e bilanciando l’interesse dell’attore alla prova con l’interesse alla protezione della proprietà intellettuale e industriale di cui è titolare (interesse che può essere tanto del convenuto, quanto dei soggetti che tale proprietà intellettuale hanno concesso in licenza).
Nell’ipotesi in cui l’ordine giudiziale (che sarà soggetto a reclamo) non sia onorato dal convenuto, scatterà una presunzione di non conformità, ossia che il sistema di AI non ottemperi a quei requisiti e obblighi che la legge prevede a carico del fornitore o dell’utilizzatore, il cui rispetto (o, meglio, mancato rispetto) l’attore voleva accertare attraverso l’accesso ai documenti e alle informazioni oggetto dell’ordine del Tribunale. Tale presunzione, comunque, sarà juris tantum, lasciandosi aperta al soggetto che la subisce la possibilità di provare l’effettivo rispetto del duty of care.
Come anticipato, le nuove norme sembrano già coerenti con altre già esistenti nel nostro ordinamento e, anzi, molto prudenti nella concessione del diritto alla disclosure del danneggiato, la cui controparte dovrà ricevere dapprima una richiesta bonaria e stragiudiziale di esibizione, poi potrà opporsi alla richiesta di esibizione ed eventualmente, ove concessa, reclamarla dinanzi al giudice superiore e, infine, manterrà il diritto di vincere la presunzione semplice di non conformità.
Una vera sfida per il legislatore nazionale sarà invece l’organizzazione di un sistema di disclosure obbligatoria, che però riesca a preservare i diritti IP e i segreti commerciali e industriali del soggetto forzato all’esibizione.
La presunzione di causalità: come funziona
L’art. 4 della proposta di direttiva articola i termini e le condizioni ai sensi dei quali è legittimo presumere il nesso causale tra la violazione di un duty of care e la produzione di un output dannoso da parte di un sistema di AI.
La presunzione opera a danno:
- del fornitore del sistema di AI (provider) ossia dello sviluppatore o del committente del sistema di AI
- del fabbricante (manufacturer) di prodotti che abbiano un sistema di AI collegato, quando tali prodotti siano immessi nel mercato o messi in servizio con il nome del fabbricante
- del distributore, importatore, utente o terzo che immette sul mercato o mette in servizio un sistema AI con il suo nome o marchio, oppure ne modifica la finalità o apporta una modifica sostanziale al sistema di AI
- dell’utilizzatore del sistema di AI (user), ma limitatamente ai suoi obblighi di diligenza.
Perché la presunzione possa operare devono essere rispettate tre condizioni:
- l’attore ha dimostrato la violazione di un duty of care (anche attraverso la presunzione di non compliance trattata nel precedente paragrafo), ossia la mancanza di un requisito obbligatorio del sistema di AI o l’inadempimento di un obbligo che l’AI Act mette a carico del convenuto (nella sua qualità di provider, user o altro)
- si può considerare ragionevolmente verosimile che tale violazione abbia influito sull’output prodotto dal sistema di AI; e
- l’attore ha provato che quell’output si è risolto in un danno risarcibile.
Soddisfatte le precedenti condizioni, il fatto che quell’output dannoso discende da quella violazione è presunto juris tantum, salva prova contraria.
Per il fornitore di sistemi ad alto rischio vengono individuati i duty of care rilevanti (tra quelli previsti dall’AI Act), tenuto conto del sistema di gestione rischi di cui quest’ultimo si deve dotare: inadeguato addestramento del sistema di AI, mancanza di trasparenza nella progettazione e nello sviluppo, mancanza di un’adeguata sorveglianza umana e vizi nell’accuratezza, robustezza e sicurezza informatica del sistema di AI.
L’utilizzatore dei sistemi ad alto rischio, invece, soffre la presunzione solo allorché abbia violato l’obbligo di rispettare le istruzioni per l’uso, non abbia sospeso o interrotto l’utilizzo nonostante avesse motivo di ritenere che fosse a rischio la salute o la sicurezza umana o un diritto fondamentale.
La presunzione, peraltro, non si applicherà se, per i sistemi ad alto rischio, il convenuto dimostra che l’attore può ragionevolmente accedere alla prova del nesso causale o, per i sistemi non ad alto rischio, l’attore non ha convinto l’autorità giudiziaria che sarebbe eccessivamente difficile per lui fornire tale prova.
Problemi
Con riferimento alla presunzione di causalità, l’intervento settoriale, in materia civilistica, da parte della Commissione europea sembra innescare vari problemi.
Innanzitutto, non è chiaro se, con riferimento all’AI, la direttiva (una volta trasferita in legge nazionale):
- finirà per sostituire tutte le esistenti regole sulla responsabilità civile (quindi: sia quella generale sulla responsabilità dolosa/colposa ex art. 2043, sia quelle speciali sulla responsabilità da attività pericolose o cose in custodia, artt. 2050, 2051), ponendosi quale loro lex specialis;
- oppure, di converso, si affiancherà a tali norme nazionali, come un doppio binario;
- oppure, ancora, se le integrerà operando solo per quanto riguarda il particolare segmento di giudizio che consiste nell’accertamento del nesso causale tra violazione ed evento dannoso.
In secondo luogo, riscontrato che il testo precisa che la direttiva si applica (solo) a tortious o non-contractual liabilities, risulta incerta la disciplina che si dovrebbe applicare nel caso di danni ‘da AI’ che abbiano natura pre-contrattuale o contrattuale (inclusa responsabilità da contatto sociale, quella verso consumatori e acquirenti, etc.).
A questo riguardo, si deve anche riscontrare che l’AI Act menziona sovente obblighi di garanzia. Così, tra l’altro, accade: agli artt. 9.4 e 9.5 che definiscono i requisiti minimi del sistema di gestione rischi e i test cui sottoporre i sistemi di AI ad alto rischio; oppure all’art. 13.1 con riferimento alla trasparenza che tali sistemi devono assicurare; o all’art. 14.5 per quanto riguarda l’adeguatezza dell’human oversight; e, soprattutto, agli artt. 16 e 19, che enunciano gli obblighi dei provider di sistemi di AI. Tutte queste garanzie innescano solo responsabilità sanzionatorie in caso d’inosservanza, oppure valgono anche quali civilistiche garanzie per vizi? E, in questo caso, sono utilizzabili le presunzioni della direttiva (quella di non-conformità e quella di nesso causale)? Sono domande per ora senza risposta, così come appare irrisolta l’utilizzabilità della presunzione nei giudizi non risarcitori, ma redibitori o demolitori (risoluzione o recesso da contratti in essere) o in autotutela (artt. 1460 e 1461 c.c.).
Inoltre, mentre è certo che la presunzione non debba applicarsi ai casi di responsabilità penale, è un po’ più discutibile se alla presunzione stessa, in un modo o nell’altro, i giudici si rifaranno (magari surrettiziamente) nei casi di responsabilità 231.
Infine, da un punto di vista molto pratico, ci si chiede se la responsabilità da sistemi di AI sia assicurabile e come le presunzioni, a carico di provider e di user nel giudizio principale, si declinino nell’ambito delle chiamate in garanzia o dei giudizi di regresso, ivi inclusi quelli nei confronti dei compartecipi nel fatto lesivo (ad es., i manutentori, i certificatori, il personale, etc.).
Critica
La focalizzazione del legislatore europeo esclusivamente sul filamento della presunzione di causalità (all’interno del vasto genoma della responsabilità civile) non può che finire per creare perplessità.
Da una parte infatti le nozioni di danno e di colpa restano nozioni ‘nazionali’ (con tutte le loro infinite ramificazioni: caso fortuito vs. colpa, colpa personale vs. colpa di organizzazione, causalità giuridica vs. causalità materiale, etc.).
Dall’altra la direttiva vorrebbe fissare una presunzione a livello eurounitario, ma finisce per collegarla al ricorrere di circostanze che non possono che essere affidate allo scrutinio del giudice nazionale, con il suo armamentario di nozioni e tradizioni locali. E infatti: si disciplina che sia presunto il collegamento tra una violazione e un outputdannoso quando sia reasonably likely che la violazione abbia influenzato l’output del sistema di AI, ma si lascia questo giudizio di verosimiglianza al giudice, che, in Italia, dovrà fare i conti con le infinite diverse teorie ancora in campo (condicio sine qua non, causalità adeguata, interruzione del nesso causale, etc.) e con la necessità che le presunzioni siano comunque “gravi, precise e concordanti”.
Anche a prescindere da ciò, due critiche radicali possono essere mosse contro la proposta di direttiva.
La prima è che la direttiva non pare funzionare laddove il sistema di AI non produca effetti inattesi.
Se il sistema di AI sceglie una certa opzione per la gestione del traffico urbano e, come conseguenza, i sistemi semaforici vanno in crash, causando incidenti automobilistici, si arriva a comprendere come la presunzione di causalità possa integrarsi con le regole di responsabilità: una volta provata la violazione di un requisito di conformità e convinto il giudice che quella violazione ha ragionevolmente influito sull’output del sistema di AI, al danneggiato dovrebbe essere semplice ottenere il risarcimento perché quell’output viziato ha provocato conseguenze inattese e non volute (i danni emergenti dagli incidenti automobilistici).
Tutt’al contrario se il sistema di AI deve scegliere tra vari candidati a una posizione lavorativa. Qui, evidentemente, ci sarà un candidato prescelto e vari candidati scartati, il che è del tutto connaturale all’impiego che si fa dell’AI e costituisce il risultato atteso e voluto sin dall’inizio. In questo frangente, la presunzione di causalità non risolve affatto il problema dell’allocazione della responsabilità, perché questo problema presuppone la prova che la scelta operata dal sistema di AI sia sbagliata (contra jus e non jure). Insomma, una volta che il candidato escluso ha provato la violazione di un requisito di conformità e la ragionevole influenza di questo sull’output, l’attore non ha ancora provato un danno perché non ha provato che il sistema di AI ha scelto male e provocato un danno. Se la direttiva dovesse essere letta che, anche in questo caso, opera una presunzione a favore del claimant, allora non staremmo provando il nesso causale-materiale tra violazione e output, ma staremmo presumendo l’erroneità dell’output e quindi la sua dannosità sul piano giuridico.
La seconda critica è sul piano degli effetti. Una volta riconosciuto che i sistemi di AI generano risposte non verificabili dall’intelligenza umana (per la quantità di dati processati, perché si basano sul machine learning e hanno impronta statistica e non deduttiva), sarà di fatto impossibile per l’AI provider ribaltare la presunzione a suo carico. Ciò che sulla carta nasce come suscettibile di prova contraria, rischia dunque di diventare un’inconfutabile condanna a priori.
[1] Andrea Fedi è Partner presso lo Studio legale Legance.