L’esistenza di soluzioni di IA avrà probabilmente conseguenze sul modo in cui interpretiamo e applichiamo concetti base del diritto delle obbligazioni come la prevedibilità, la colpa, la prudenza, etc. Alcuni effetti riguarderanno anche i doveri di diligenza degli amministratori di società. Questi temi sono certamente impattati ma non pienamente regolati nell’AI Act. Il regolamento europeo sull’IA si applicherà insieme (e non in sostituzione) al diritto civile. È ben prevedibile che i contratti che saranno d’ora in poi negoziati conterranno clausole per integrare (quando non sovvertire) le disposizioni dell’AI Act.
The existence of AI tools will likely have consequences on the way we interpret and apply basic concepts of the law of contract, such as foreseeability, negligence, prudence, etc. That will concern the standards applicable to fiduciary duties of directors too. The above topics are impacted but not fully regulated by the AI Act. The EU regulation on artificial intelligence will apply in parallel with the law of contracts (and not in lieu of that). It is reasonable to expect that parties to contracts will negotiate clauses to integrate (and in certain cases supersede) the AI Act.
Sommario: 1. Premessa – 2. Le conseguenze dell’AI “sul” diritto – 3. Il posto dell’AI Act “nel” diritto – 4. Gli effetti “di” diritto dell’AI Act
- Premessa
Il 2 agosto 2024 è entrato in vigore il Regolamento (UE) 2024/1689 del 13 giugno 2014, che stabilisce regole armonizzate sull’intelligenza artificiale (cd. AI Act)[1].
Susseguentemente all’entrata in vigore, le previsioni dell’AI Act diventeranno nondimeno efficaci gradatamente, in quattro distinte e successive fasi temporali (cfr. art. 113 AI Act).
– La prima fase dista oramai poche settimane. Il 2 febbraio 2025, inizieranno infatti a trovare applicazione le disposizioni generali (oggetto e finalità dell’AI Act; ambito di applicazione oggettivo, soggettivo e territoriale; obblighi di alfabetizzazione a carico di fornitori e utilizzatori). Insieme a tali norme fondamentali, diverranno inoltre efficaci alcuni divieti[2], collegati a sistemi di AI che è radicalmente proibito immettere sul mercato, mettere in servizio o usare[3].
– Pochi mesi più tardi, il 2 agosto 2025, sarà il turno delle disposizioni sulle autorità di notifica, sugli organismi di conformità e sulle certificazioni, insieme alle norme sulle autorità di settore europee e nazionali. Nella stessa data, inizieranno anche ad avere effetto le norme sui modelli di AI per finalità generali (general purpose AI – GPAI) e le disposizioni sanzionatorie (disciplinate nel Capo XII dell’AI Act).
– L’anno seguente sarà finalmente il momento della prima applicazione di quasi tutto il resto dell’AI Act, ivi incluse le norme sui sistemi di AI ad alto rischio e quelle sui sistemi di AI che richiedono l’adempimento di particolari obblighi di trasparenza.
– Solo alcune norme, dedicate ai sistemi di AI ad alto rischio che sono componenti di sicurezza di prodotti soggetti a norme UE armonizzate, si applicheranno dal 2 agosto 2027, nell’ultima e quarta fase.
Una volta pienamente applicabile (e, via via che lo diviene, con riferimento alle norme che cominceranno progressivamente a svolgere la loro efficacia), l’AI Act imporrà divieti, pretenderà l’osservanza di presupposti e l’adempimento di obblighi (ex ante ed ex post rispetto all’immissione sul mercato)[4], dislocherà alcuni compiti ad autorità nazionali ed europee e contemplerà sanzioni molto rilevanti per i casi d’inosservanza.
È quasi inevitabile che tale imponente corpus normativo (180 considerando e 113 articoli) impatti, tra gli altri, il diritto civile e, segnatamente, le branche della responsabilità civile e del diritto delle obbligazioni. È con riferimento a questa seconda che si tentano qui alcune modeste e preliminari osservazioni introduttive.
2. Le conseguenze dell’AI “sul” diritto.
La prima osservazione attiene all’effetto dell’AI sul diritto delle obbligazioni. A prescindere da qualsiasi regolamentazione del fenomeno, difatti, l’esistenza stessa dei sistemi di AI e la loro diffusione sul mercato (che si può assumere sarà vertiginosa sia per velocità sia per capillarità) modificheranno profondamente la realtà fattuale del mondo in cui viviamo e, per l’effetto, non potranno che influenzare il nostro sguardo sul diritto, indipendentemente e a priori dei tentativi di normarlo (tra cui l’AI Act). È invero lecito attendersi che la realtà fenomenica dell’AI in sé e per sé (cioè, in quanto esiste e a prescindere da come sia regolata) rivoluzioni il contesto nel quale attualmente agiamo e, per derivazione, scuota alcune delle tradizionali interpretazioni dello jus positum.
In effetti, è la prima volta che è possibile utilizzare uno strumento (l’AI), che:
– ragiona su basi diverse da quelle della logica causale (l’AI di nuova generazione inferisce i risultati sulla base di correlazioni statistiche tra i dati processati e non sulla scorta di leggi deterministiche causa-effetto)[5],
– riesce a ordinare e analizzare una messe di informazioni esponenzialmente più alta di quella che potrebbe essere gestita da qualsiasi essere umano (singolarmente o in gruppi) e
– fornisce risposte (output) che, in alcuni casi, proprio per le ragioni dianzi indicate, sono imprevedibili e sorprendenti, eppure corrette.
Ebbene, una delle riflessioni che si possono fare parte proprio da qui.
Le norme con le quali usualmente interagiamo sono tutte concepite su base antropocentrica o, per meglio dire, antropomorfa, perché sono pensate tenendo conto delle capacità intellettive “naturali” degli esseri umani. Così, nel codice civile ricorre il canone della “prevedibilità”, che in certi contesti delimita l’ammontare dei danni contrattuali risarcibili per inadempimento colposo (art. 1225 c.c.) e, in altri ambiti, ricorre come elemento della risoluzione per eccessiva onerosità sopravvenuta (art. 1467 c.c. [6]).
Sino a oggi tale prevedibilità[7] (ma anche la riconoscibilità dell’errore nel caso dell’errore-vizio; art. 1431 c.c.[8]) erano giudicate dai tribunali rispetto alle capacità “naturali” dei contraenti.
Sarà ancora possibile mantenere tale approccio in settori negoziali caratterizzati da contrattazione algoritmica AI-based[9] o anche solo in mercati in cui l’operatore economico professionale farà ordinariamente uso di sistemi di AI? In altri termini, laddove il contratto risulti da una negoziazione “tra macchine” come dovrà essere interpretato il sintagma normativo dell’art. 1467, per il quale bisogna tener conto della “qualità dei contraenti”? E, nei casi in cui il contratto sia comunque stipulato tra esseri umani, la vasta e normale disponibilità di sistemi di AI non dovrà forse innalzare l’asticella di ciò che è “imprevedibile” e mutare l’odierno approccio in base al quale le capacità di previsione vanno calibrate sull’uomo-medio?
Laddove strumenti di AI (o anche di GPAI) divengano diffusi quanto adesso lo sono i cellulari, non assisteremo forse inevitabilmente a una rilettura dei canoni di prevedibilità e riconoscibilità, che saranno parametrati anche alle tecnologie di AI ordinariamente e mediamente disponibili?
Invero è legittimo chiedersi se, in settori in cui l’AI dovesse trovare normale e frequente impiego, l’imprevedibilità contemplata dall’art. 1467 (o la prevedibilità di cui all’art. 1225) debba essere testata non tanto contro le capacità “umane” del contraente “naturale”[10], quanto contro le abilità “sovrumane” dei sistemi di AI diffusi in quel mercato e per quell’attività, con l’effetto di rigettare tale domanda nell’ipotesi in cui il contraente abbia mancato di “prevedere” perché non ha negligentemente adoperato il sistema di AI pur a sua disposizione o, sebbene lo abbia utilizzato, non abbia imprudentemente tenuto conto dell’oracolo artificiale.
Più alla radice, la disponibilità di sistemi di AI e l’accrescimento delle capacità intellettive oltre i limiti dell’umano, mi sembrano idonei a incidere nella carne viva dei concetti di negligenza, imperizia e imprudenza[11], nonché su quello di imputabilità di un inadempimento a un soggetto[12].
Allo stesso modo, la facoltà di potersi rivolgere a sistemi superumani, che possono prevedere ciò che altrimenti è imprevedibile e suggerire condotte rimediali o per lo meno limitative del pericolo o del danno, nel settore dell’impresa potrebbe condurre a elevare la soglia di diligenza richiesta all’operatore professionale nei suoi rapporti con i consumatori, o quella richiesta agli organi di amministrazione nella gestione delle società.
Basti pensare, al riguardo, al concetto di business judgement rule[13] e alla ripetuta giurisprudenza che ha confermato l’assenza di responsabilità degli amministratori di società di capitali, pur nel caso di scelte a posteriori rivelatesi sbagliate, purché ex ante il processo di elaborazione della decisione (ancorché ex post qualificabile come errata) fosse stato corretto: raccolta scrupolosa delle informazioni, analisi delle stesse con l’ausilio di consulenti ed esperti, formazione della decisione senza azzardi.
Ebbene, di fronte alla disponibilità di sistemi di AI con enormi capacità computazionali e analitiche, sarà ancora coperto dalla business judgement rule l’amministratore che non abbia dotato la sua impresa di tali sistemi o non vi abbia fatto ricorso[14]?
Identicamente, tenuto conto delle enormi capacità dei sistemi di AI e della loro probabile generale diffusione, è verosimile pensare che s’innalzeranno ancora i limiti oltre i quali si potrà accedere alle esenzioni di responsabilità per “caso fortuito” o “adozione di tutte le misure idonee” (artt. 2050 e 2051 c.c., tra i tanti).
Certamente quanto sopra andrà valutato caso per caso.
I risultati interpretativi potrebbero dovrebbero infatti essere sensibilmente differenti a seconda della diffusione dei sistemi AI e della loro affidabilità e uniformità di risultati, nonché sulla base di tutte le particolarità della fattispecie, tanto in termini oggettivi, quanto dei soggetti che vi hanno preso parte (imprenditori, professionisti o consumatori, etc.).
Infine, non è senza importanza sottolineare che i sistemi di AI producono output perché rintracciano correlazioni statistiche tra dati. E, allora, non è detto che l’indicazione, da parte di un sistema di AI, di una certa regolarità statistica possa sempre automaticamente equivalere, ai fini del diritto, a un giudizio di prevedibilità.
Forse si dovrebbe invero ritenere che la prevedibilità sia intimamente collegata a una legge scientifica (in questo senso l’effetto può essere “pre”-visto, al momento in cui se ne scorge la causa che, inevitabilmente, lo produrrà); mentre potrebbe essere sottilmente differente il caso della mera ricorrenza statistica, accertata da un sistema di AI che, oltretutto, come è noto, è di per sé opaco[15].
Insomma, non troverei in linea di principio infondata una linea argomentativa che restringa la prevedibilità e la riconoscibilità a ciò che, secondo leggi causali (e non meramente statistiche), consegue a una certa circostanza. Vieppiù tenuto conto che spesso il sistema di AI presente le caratteristiche del black box (ossia, dal punto di vista umano, non si riesce a ricostruire il perché il sistema di AI abbia giudicato in un certo senso piuttosto che un altro).
Si tratta di temi sui quali è necessaria una riflessione molto approfondita.
Da una parte, la disponibilità di oracoli informatici animati dall’intelligenza artificiale potrebbe elevare l’asticella del test di diligenza in tutti quei settori dove tali sistemi di AI sono diffusi e si sono dimostrati credibili; ma, dall’altra parte, questo non può essere preso come un risultato scontato e automatico, essendoci casistiche nelle quali i sistemi di AI potrebbero essere ancora immaturi, insufficientemente addestrati, o aver fornito output non sempre affidabili; oppure potrebbero essere poco diffusi o estremamente costosi, o, ancora, non meritevoli di supina adesione ai loro responsi, per via della novità del settore in cui si opera e dell’opacità del loro funzionamento.
3. Il posto dell’AI Act “nel” diritto.
La seconda questione di cui vogliamo trattare non attiene all’ambito fenomenico (e ai suoi effetti sul diritto), ma direttamente a quello giuridico ossia a quello delle norme composte in ordinamento, vertendo sulla collocazione dell’AI Act all’interno del diritto (civile).
La questione (gravida di conseguenze pratiche) può essere così sintetizzata:
– L’AI Act si muove esclusivamente sul terreno del diritto pubblico, definendo, da una parte, i compiti di controllo delle Autorità di Notifica e di Vigilanza del Mercato (art. 70 AI Act) e, dall’altra, i presupposti di irrogazione delle sanzioni amministrative (Capo XII AI Act)?
– Oppure l’AI Act assume valore anche dal punto di vista del diritto civile? E, in questo secondo caso, l’AI Act affianca e integra il diritto civile domestico degli Stati Membri UE o si sovrappone allo stesso, disciplinando in esclusiva alcune fattispecie e scalzando le norme civili nazionali?
Per semplicità e facendo un esempio: le pratiche di AI vietate (art. 5 AI Act) esauriscono il novero dei divieti in materia di AI anche in sede civilistica, oppure le stesse rappresentano solo l’elencazione di quelle proibizioni che le Autorità preposte devono verificare e che possono comportare una responsabilità amministrativa, impregiudicate restando però tutte le altre limitazioni e tutti gli altri divieti che possono scaturire dal codice civile, dal codice dei consumatori e dalle altre fonti juris privatorum?
A questa domanda possono essere date varie risposte, con varie sfumature, ma, per semplicità d’analisi, le due alternative estreme sono:
a) la tesi per cui, in ambito di sistemi di AI, le disposizioni dell’AI Act esauriscono la disciplina applicabile e, dunque, ciò che l’AI Act proibisce è vietato e tutto il resto è permesso (anche in ottica privatistica, quindi, ciò che non è vietato dall’AI Act è jure e non contra jus) e
b) l’antitesi per cui l’AI Act opera solo nel rapporto pubblicistico tra cittadino (o impresa) e Autorità, mentre, nei rapporti tra privati, operano le rules e gli standards del diritto civile domestico (neminem laedere, buona fede, etc.)[16].
Entrambe tali letture estreme pongono seri problemi.
– La lettura, per la quale l’AI Act definisce un sistema di divieti e di obblighi “esclusivo” in materia di AI (e il diritto civile domestico, comprese le sue clausole generali, è messo fuori gioco) conduce a risultati contraddittori rispetto all’architettura del diritto comunitario e paradossali rispetto alle conseguenze privatistiche.
Da un lato (quello dell’architettura delle fonti del diritto), il meccanismo articolato dal diritto unionale, che prevede separatamente un regolamento (l’AI Act) e una separata proposta di direttiva (per disciplinare la responsabilità extracontrattuale da AI), lascia intendere chiaramente che le questioni di responsabilità aquiliana restano nel dominio del diritto domestico, pur richiedendosi, tramite la direttiva, un allineamento dei vari diritti statuali. Ergo: tale meccanismo sembra chiaramente negare l’esclusiva di disciplina all’AI Act sulle questioni privatistiche.
Dall’altro lato (quello delle conseguenze privatistiche), portata in extremis l’interpretazione per cui l’AI Act regola in maniera uniforme ed esclusiva anche i rapporti tra privati (rimpiazzando le norme civilistiche di diritto interno) finisce per escludere l’applicabilità di una serie di norme, con risultati del tutto insoddisfacenti proprio rispetto alle finalità dell’AI Act (tra cui la tutela dei diritti fondamentali).
Consideriamo un esempio, a tal riguardo.
L’AI Act dispone che sono proibiti “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative[17] o ingannevoli aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando in modo considerevole la loro capacità di prendere una decisione informata, inducendole pertanto a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare a tale persona, a un’altra persona o a un gruppo di persone un danno significativo” (Art. 5.1.a).
Non v’è chi non veda che si tratta di una fattispecie molto simile (anche se non perfettamente coincidente) a quella del dolo-vizio del consenso ai sensi del diritto interno. Ebbene, la tesi dell’applicazione esclusiva dell’AI Act ci condurrebbe inevitabilmente alla conclusione, per cui un sistema di AI usato come artificio o raggiro non ricadrebbe nella disciplina domestica del dolo-vizio, ma solo in quella dei divieti di cui all’Art. 5 AI Act.
Tale conclusione sarebbe grave.
Vero è che la violazione dell’AI Act (norma imperativa) comporterebbe conseguenze coerenti con l’antigiuridicità dell’evento. Sarebbe infatti plausibilmente riconosciuta la nullità, ex art. 1418 c.c., del contratto concluso a seguito dell’operare di un sistema di AI manipolativo o ingannevole e tale nullità sarebbe rilevabile ex officio e imprescrittibile.
Altrettanto vero è però che la sciagurata formulazione[18] dell’art. 5.1.a dell’AI Act sembra considerare solo il caso del dolo determinante (l’assunzione di una decisione che non sarebbe stata altrimenti presa) e non quella del dolo incidente; con il risultato che non si capirebbe più se tale dolo incidente sia rilevante ai fini giuridici (in quanto non chiaramente desumibile dalla lettera dell’AI Act). Vieppiù grave sarebbe poi osservare che l’AI Act sembra collegare il divieto di sistemi di AI ingannevoli alla ricorrenza di un “danno alla persona”, il che, se l’AI Act fosse l’unica norma operativa nella fattispecie, lascerebbe sguarniti i casi di danno a una cosa, a un’universitas, a un azienda, a un investimento, etc..
Identici rompicapi si potrebbero poi porre con riferimento a varie altre norme. Così, per esempio, l’art. 25, commi 1.a e 2, AI Act, prevede che, in alcuni casi, il deployer che apponga il proprio nome o marchio a un sistema di AI vada considerato come unico fornitore di quel sistema di AI e che l’originario sviluppatore “non è più considerato fornitore”.
Ebbene, riconoscere a tale disposizione dell’AI Act un effetto esclusivo, di guisa che tutte le altre norme civili non dovrebbero più trovar spazio, comporterebbe che l’originario fornitore non sia più tale neanche ai fini delle responsabilità extracontrattuali o contrattuali o consumeristiche che discendono da tale sua veste: il che è evidentemente illogico, oltre che contradditorio con altri atti di diritto dell’UE.
– Molto meglio, dunque, pensare che l’AI Act affianchi, ma non sostituisca, il diritto privato domestico e sia una disciplina “minima” che opera sul piano regolamentare[19], senza soppiantare le regole del diritto civile.
Tale interpretazione, tuttavia, ha bisogno di qualche distinguo.
Infatti, ancorché sembri fondato affermare che l’AI Act non rimpiazzi il diritto civile, questo non significa che l’AI Act e le sue violazioni si muovano solamente sul piano pubblicistico dei rapporti tra Stato e cittadino e restino irrilevanti dal punto di vista del diritto dei contratti. Tutt’al contrario, a chi scrive pare che la mancata osservanza dell’AI Act possa costituire il presupposto per l’applicazione di alcune regole privatistiche.
Per esempio, la violazione, da parte del fornitore, delle norme sui sistemi di AI ad alto rischio, dovrebbe ragionevolmente innescare la sua responsabilità (anche ex empto[20]) per vizi o mancanza di qualità (artt. 1492 e 1497 o 1578 o 1667 c.c., a seconda dei casi di vendita, licenza sviluppo su commissione[21]).
Similmente, la commessa e la fornitura di sistemi di AI per il controllo delle emozioni dei lavoratori (Art. 5.1.f AI Act) devono ritenersi, oltre che vietate dall’AI Act, anche causa di nullità del contratto per violazione di norme imperative (art. 1418 c.c.[22]).
Insomma, l’AI Act non rimpiazza il codice civile, ma le violazioni dell’AI Act sono atti o fatti illegittimi e, come tali, possono costituire elementi delle fattispecie civili considerate dal diritto domestico.
4. Gli effetti “di” diritto dell’AI Act.
Se quanto precede è corretto, allora i contratti aventi l’AI come oggetto continueranno a essere disciplinati (anche) dalle norme del codice civile e del codice del consumo. Questo tuttavia apre a tutta una nuova serie di questioni di grande interesse per i cosiddetti “pratici” del diritto.
– In primo luogo, sarà d’ora in poi necessario negoziare con grande attenzione e disciplinare in modo preciso tutti i vari rapporti all’interno della supply chain di un sistema di AI (quelli con i programmatori, gli sviluppatori, i produttori di componenti hardware o software[23], gli addestratori, i fornitori dei dati[24], etc.)[25]. Tra i temi centrali di negoziazione ci possiamo evidentemente attendere estesi set di dichiarazioni e garanzie, manleve[26] e obblighi di collaborazione e assistenza.
Accanto a questi aspetti, è possibile immaginare che vi saranno estese discussioni su chi debba assumere il ruolo di “fornitore” ai sensi dell’AI Act[27]. Alla luce della vasta messe di obblighi e responsabilità connesse a tale ruolo, non dovrebbe invero essere sorprendente un tentativo di “fuga” da tale ruolo, anche attraverso apposite clausole contrattuali. In ciò, alcune imprecisioni lessicali dell’AI Act, potranno forse essere piegate a tale scopo.
Già la definizione di “fornitore” si presenta in effetti assai imprecisa (art. 3 AI Act), posto che la norma definisce il fornitore come: “una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito”.
Orbene, come interpretare il ricorso alla disgiuntiva “o” nel contesto di tale formulazione? Se un’impresa fa sviluppare un sistema di AI a una software house e quest’ultima la sviluppa e la cede alla committente, chi è il fornitore? Chi l’ha sviluppato (la software house) o chi lo ha fatto sviluppare (l’impresa)? O entrambi? E le responsabilità (tra chi sviluppa, chi fa sviluppare, chi immette sul mercato e chi mette in servizio) saranno solidali o parziarie?
È ben prevedibile che questi temi, non regolati dal regolamento europeo, tenteranno d’essere risolti dalle parti contrattuali, con clausole contrattuali o con un sistema di manleve o assicurazioni.
– In secondo luogo, il già richiamato art. 25.1.a AI Act[28] prevede che il deployer, che apponga il proprio nome o marchio a un sistema di AI, ne divenga fornitore, ma – soggiunge la norma – “fatti salvi accordi contrattuali che prevedano una diversa ripartizione degli obblighi a riguardo”. Ebbene, da una parte, ci si può attendere con ragionevole certezza la negoziazione frequente di tali “accordi”; dall’altra, sarà interessante vedere quale effetto la giurisprudenza vi riconnetterà; in gioco ci sono due diverse possibili interpretazioni: la prima, per la quale l’accordo sulla “diversa ripartizione di responsabilità” ha effetto solo inter partes (tra fornitore e deployer), ma non verso i terzi; la seconda, per la quale la diversa ripartizione vale anche nei confronti dei terzi.
– Infine, nelle condizioni generali di contratto dei fornitori di sistemi AI credo sia legittimo aspettarsi una serie di clausole che, facendo leva sull’appena menzionato art. 25.1 dell’AI Act (ossia la norma che regola i casi in cui deployer, importatore, distributore assumono il ruolo di fornitore), cercheranno di interpretarne estensivamente la casistica in modo da riversare su deployer, importatori e distributori il peso della posizione e degli obblighi di un fornitore di servizi AI. Immagino che non sarà infrequente imbattersi, in questo senso, in condizioni generali pro-fornitore che prevedano, ad esempio, che qualsiasi modifica del sistema di AI debba intendersi sostanziale[29], o qualsiasi uso di un nome (anche se non del marchio) inneschi la trasmissione del ruolo di fornitore, o, ancora, qualsiasi mutamento di finalità del sistema di AI faccia scattare l’acquisizione del ruolo di fornitore.
Non sembra neppure possibile escludere la negoziazione di dichiarazioni e garanzie per così dire “inverse” (ossia rese dal cliente al fornitore) – ad es., che l’acquirente del sistema di AI ha un alto livello di alfabetizzazione, ha struttura e organizzazione perfettamente idonea non solo a rispettare gli obblighi dell’AI Act ma a evitare ogni rischio, che ha pienamente compreso le istruzioni d’uso e le accetta come totalmente soddisfacenti, etc.
Tutte queste clausole saranno verosimilmente chieste dai fornitori per escludere le proprie responsabilità o, quanto meno, per ridurle ex art. 1227 c.c.
Eppure, queste stesse clausole in qualche modo rovesceranno l’assetto di obblighi e responsabilità pensato dall’AI Act. Resisteranno queste clausole a tale censura?
Ci aspettano tempi interessanti.
—
[1] Regolamento (UE) 2024/1689 del 13 giugno 2024 “che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale)”.
Vd. Circolare Assonime 14/2024, Il regolamento europeo sull’intelligenza artificiale: analisi ragionata della nuova disciplina e prospettive di policy per le imprese.
Vd. anche O. Pollicino, Regolazione e innovazione tecnologica nell’ “ordinamento della rete”, https://www.associazionedeicostituzionalisti.it/images/convegniAnnualiAIC/2024_Salerno/Oreste_Pollicino.pdf.
[2] Non si deve ritenere che, tenuto conto dell’avvio dell’efficacia di questa parte dell’AI Act solo dal 2 febbraio 2025, le pratiche di AI contemplate dall’Art. 2 fossero prima permesse. Semplicemente, quelle pratiche, fino alla fatidica data del 2 febbraio 2025, restano regolate alla luce dei rispettivi diritti nazionali degli Stati membri, in linea con i requisiti oggettivi, soggettivi, temporali e spaziali previsti da quelle norme domestiche. Così, per esempio, una pratica manipolativa o lo sfruttamento di una vulnerabilità personale per il tramite di un sistema di AI (Art. 5.1.a e b AI Act), fino al 2 febbraio 2025, rileva in diritto italiano come dolo contrattuale, fatto illecito o, addirittura, reato: ma sempre secondo i crismi del diritto nazionale e nel suo ambito di applicabilità.
[3] I termini “immissione sul mercato” e “messa in servizio” hanno significati specifici, loro assegnati dall’art. 3.9 e 3.11 AI Act. Il termine “uso” non è invece definito. Anche dove i termini sono puntigliosamente definiti, non si possono escludere problemi d’interpretazione. Ad esempio, il significato di “messa a disposizione sul mercato” e “messa in servizio” è costruito attorno al concetto di “fornitura”. Molto probabilmente tale concetto va tuttavia inteso non in senso restrittivo (vendita, somministrazione), ma in senso estensivo (corrispondentemente alla sua utilizzazione in altre fonti normative unionali), inclusivo di ogni forma di trasferimento e anche della prestazione di servizi e/o di licenze.
[4] A carico di per fornitori, deployer, importatori, fornitori e rappresentanti autorizzati.
[5] I. Carnat, Intelligenza artificiale e responsabilità civile, in Enc. Dir., Tematici, Responsabilità Civile, Milano, 2024, 657 ss.
[6] La risoluzione per eccessiva onerosità sopravvenuta può essere invocata solo dove derivi da avvenimenti straordinari e imprevedibili al di fuori dell’alea normale.
[7] Con riferimento all’art. 1225 si veda Cass. civ., sez. lav., 31 luglio 2014 n. 17460, in Dir. & Giust., 2014, con nota di M. Scofferi: “La prevedibilità del danno [….] costituisce uno dei criteri di determinazione del danno risarcibile e si risolve in un giudizio astratto di probabilità del verificarsi di un futuro evento, secondo un parametro di normale diligenza del soggetto responsabile”.
Con riferimento all’art. 1467 si veda, ex multis, Trib. Milano, 7 maggio 2024, in www.giurisprudenzadelleimprese.it: “L’eccessiva onerosità sopravvenuta della prestazione, per potere determinare, ai sensi dell’art. 1467 c.c., la risoluzione del contratto, richiede l’incidenza sul sinallagma contrattuale di eventi che non rientrano nell’ambito della normale alea contrattuale e che si caratterizzano per la loro straordinarietà, connotato di natura oggettiva che qualifica un evento in base all’apprezzamento di elementi, quali la frequenza, le dimensioni, l’intensità, suscettibili di misurazioni (e quindi, tali da consentire, attraverso analisi quantitative, classificazioni quanto meno di carattere statistico); e per la loro imprevedibilità, che ha fondamento soggettivo, in quanto fa riferimento alla fenomenologia della conoscenza”: così anche Cass. civ., sez. III, 19 ottobre 2006 n. 22396, in Il civilista, 2009, 88 con nota di B. Pezzini.
[8] Cass. civ., sez. 1 ottobre 1993 n. 9777, in Giur. it., 1994, I, 1536, con nota di A. Lolli.
Vd. anche C. Scognamiglio, Vizi del Consenso, in Enc. Dir., Tematici, Il Contratto, Milano, 2021, 1190.
[9] U. Ruffolo- A. Amidei, Diritto dell’intelligenza artificiale, Luiss University Press, 2024.
[10] Cass. civ., sez. II, 23 febbraio 2001 n. 2661, in Giur. it., 2001, 1824, con nota di V. Corriero.
[11] La prevedibilità, così come l’evitabilità, sono i due concetti-pilastro della colpevolezza; vd. F. Piraino, Dolo e colpa (responsabilità civile), in Enc. Dir., Tematici, Responsabilità Civile, Milano, 2024, 564.
[12] La disponibilità di tecnologie AI incide evidentemente anche sul consumer expectation test sulla sicurezza dei prodotti, di cui alla Direttiva sulla Sicurezza dei Prodotti (direttiva 2024/2853, art. 7).
[13] Favaretto, Intelligenza artificiale, sostenibilità e digitalizzazione, in Casi di diritto commerciale, a cura di P. Montalenti, Milano, 2024, p, 230.
Ex multis, Cass. civ., sez. I, 25 marzo 2024, n. 8069, in Giust. Civ. Mass., 2024: “In tema di responsabilità dell’amministratore per i danni cagionati alla società amministrata, il principio della insindacabilità del merito delle scelte di gestione (cd. business judgement rule), le quali possono eventualmente rilevare come giusta causa di revoca dell’amministratore, ma non come fonte di responsabilità contrattuale nei confronti della società, non si applica in presenza di irragionevolezza, imprudenza o arbitrarietà palese dell’iniziativa economica e, tantomeno, in caso di inequivoche violazioni di legge come, in particolare, nel caso di violazione di norme tributarie”.
Spetta inoltre agli amministratori il dovere di predisporre assetti organizzativi, amministrativi e contabili adeguati (art. 2086 e 2381 c.c.) e, ai fini del giudizio di adeguatezza, conta evidentemente scriminare tra eventi prevedibili (che hanno bisogno di essere fronteggiati da assetti organizzativi già predisposti e pronti a contrastarne gli effetti negativi) ed eventi imprevedibili (vd. A. Lolli – M.G. Paolucci, Gli assetti organizzativi adeguati e la responsabilità dell´organo amministrativo tra collegialità e organi delegati: la nuova impostazione del codice della crisi nella versione riformata dal primo “correttivo”, in Riv. Dir. Soc., 2020, 343. Vd. anche M. De Poli, in Le azioni di responsabilità nelle società di capitali, a cura di M. De Poli e G. Romagnoli, Pacini Giuridica, 2024, 86.)
[14] A. Sacco Ginevri, Ancora su intelligenza artificiale e corporate governance, in Riv. Trim. Dir. Ec., 2021, n. 3, s. 2, 343 ss. N. Abriani, La corporate governance nell’era dell’algoritmo…., in Nuovo Dir. Soc., 2020, 270. M.L. Montagnani, Flussi informativi e doveri degli amministratori di società per azioni ai tempi dell’intelligenza artificiale, in Pers. Merc., 2020, 99 ss.
[15] E. Battelli, Necessità di un umanesimo tecnologico: sistemi di intelligenza artificiale e diritti della persona, in Dir. Fam. Pers., 2022, 1096 ss.
[16] L’AI Act dispone che il regolamento europeo non pregiudica alcune norme del diritto UE, ma non dice nulla sul mancato pregiudizio alle norme nazionali. Vd. considerando 9
[17] La capacità manipolativa rileva sia come elemento della fattispecie delle pratice di AI vietate ai sensi dell’art. 5 dell’AI Act, sia come fattore di rischio sistemico per i GPAI (art. 55). Vd. First Draft of the General-Purpose AI Code of Practice published, written by independent experts | Shaping Europe’s digital future
[18] La norma sembra avere vari problemi di formulazione: ad esempio, l’avverbio “volutamente” che sembra riferirsi solo alle pratiche ingannevoli e manipolative e non a quelle subliminali.
[19] U. Ruffolo – A. Amidei, Diritto dell’intelligenza artificiale, Luiss University Press, 2024. Del resto, la decisione del legislatore comunitario di consegnare il sistema della responsabilità civile a due proposte di direttiva, separate dall’AI Act, dimostra che la regolazione degli aspetti civili (extracontrattuali) dell’uso dell’intelligenza artificiale è intesa come materia e settore separati dal campo d’applicazione “diretto” dell’AI Act.
[20] Il problema gigantesco, specie nel caso dei sistemi di AI, sarà però il termine di prescrizione annuale (per la vendita) che, all’evidenza, non si concilia con la tempistica per rendersi conto dell’esistenza di un vizio del sistema.
[21] Nel caso dei programmi per elaboratore, si discute talora se la fornitura debba essere ricompresa nel genus vendita o in quello appalto; Cass. civ., sez. II, 9 agosto 2013, n. 19131, in Giust. civ. Mass. 2013: “A prescindere dalla qualificazione del contratto come vendita o appalto, l’obbligo di fornire e mettere in funzione un sistema computerizzato di software applicativo (nella specie, per la realizzazione e la gestione di una banca dati) è un’obbligazione di risultato, sicché, qualora il medesimo risultato contrattuale sia mancato, l’utente può chiedere la risoluzione del contratto”.
[22] E. Navarretta, Libertà fondamentali dell’U.E. e rapporti fra privati: il bilanciamento di interessi e i rimedi civilistici, in Le libertà fondamentali dell’Unione Europea e il diritto privato, a cura di F. Mezzanotte, UniversityTre Press, 2016. A. Plaia, Le patologie del contratto, Giappichelli Torino, 2022, 11.
[23] Vd. considerando 88 e art. 25.4 AI Act, che prevede “Il fornitore di un sistema di IA ad alto rischio e il terzo che fornisce un sistema di IA, strumenti, servizi, componenti o processi utilizzati o integrati in un sistema di IA ad alto rischio precisano, mediante accordo scritto, le informazioni, le capacità, l’accesso tecnico e qualsiasi altra forma di assistenza necessari, sulla base dello stato dell’arte generalmente riconosciuto per permettere al fornitore del sistema di IA ad alto rischio di adempiere pienamente agli obblighi di cui al presente regolamento. Il presente paragrafo non si applica ai terzi che rendono accessibili al pubblico strumenti, servizi, processi o componenti, diversi dai modelli di IA per finalità generali, con licenza libera e open source”. La norma impone la conclusione di un accordo scritto e ne elenca il contenuto minimo. Per quanto abbiamo sostenuto sopra, al paragrafo 1, con riferimento alla coesistenza dell’AI Act con le norme di diritto civile nazionale, la mancanza di un siffatto accordo scritto comporterà un illecito amministrativo sanzionabile, ai sensi dell’AI Act. Non deve però ritenersi che l’AI Act abbia introdotto un nuovo requisito di forma scritta ad substantiam o ad probationem; perciò, anche in assenza di atto scritto, l’analisi sull’an e sul contenuto di accordi tra il fornitore di sistemi AI e i fornitori di sue componenti continueranno a essere delibati secondo le ordinarie norme privatistiche.
[24] La qualità dei dati è l’architrave e il presupposto fondamentale per evitare allucinazioni e inquinamento da bias; vd. M. Bassini, Intelligenza Artificiale generativa: alcune questioni problematiche, in MediaLaws, 2023, 393.
[25] Grandi problemi di diritto internazionale privato si porranno, peraltro, laddove il contratto di fornitura sia soggetto a legge straniera, che si applicherà contemporaneamente all’AI Act, alle disposizioni di applicazione necessaria italiane, al GDPR, etc.
[26] Grande attenzione richiederà l’analisi di tali manleve. Non tutte saranno forzatamente valide. Dottrina e giurisprudenza sono da anni in discussione, infatti, sui limiti di validità e operatività del cd. patto di manleva. A. Franchi, Riflessioni sulla manleva, in Contr. e impr., 2017, 155.
[27] e, da un punto di vista privacy, chi sia data controller e chi sia data processor
[28] Vd. anche considerando 84 AI Act
[29] Quid, ad esempio, nel caso di customizzazione di un sistema di AI?