AI e profili di responsabilità: differenze e uguaglianze tra Italia ed Europa

I sistemi di intelligenza artificiale (a seguire anche SIA) stanno conoscendo un’evoluzione straordinaria, anche grazie all’intrinseca capacità di trasformare radicalmente interi settori economici, ambientali e sociali; tuttavia, l’adozione diffusa degli stessi solleva una serie di questioni complesse, non ultime quelle relative ai potenziali regimi applicabili in tema di responsabilità.

Pensando a questa tecnologia (ormai neppure più definibile “nuova”, a ben vedere), domande come:

• Chi è responsabile quando un sistema di AI causa un danno?
• Quali sono le implicazioni giuridiche di decisioni prese da algoritmi?
• Come si può garantire che l’uso dell’AI sia conforme alle normative vigenti?

dovrebbero essere (così come sono) all’ordine del giorno.

Indaghiamo i profili di responsabilità civile applicabili all’AI, esaminando il quadro normativo attuale e le sfide che emergono nella regolamentazione di queste tecnologie avanzate, nel tentativo di fornire una panoramica sufficientemente esaustiva delle responsabilità coinvolte nell’ecosistema dell’intelligenza artificiale.

Breve panoramica normativa italiana

Se guardiamo, in tal senso, al territorio nazionale, il quadro normativo sulla responsabilità per l’intelligenza artificiale è – evidentemente – ancora in fase di evoluzione, ma è ugualmente possibile individuare regimi potenzialmente applicabili, a livello di overview generale, e così sinteticamente:

1. responsabilità dei padroni e dei committenti (art. 2049 c.c.), secondo cui “i padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell’esercizio delle incombenze a cui sono adibiti”;
2. responsabilità per attività pericolose, ex articolo 2050 del Codice Civile, che prevede che chiunque cagioni un danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, sia tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno;
3. responsabilità del custode (si potrebbe applicare a chi ha il controllo effettivo del sistema), ai sensi dell’articolo 2051 del Codice Civile;
4. responsabilità contrattuale (particolarmente rilevante nei rapporti tra fornitori di sistemi AI e utilizzatori), disciplinata dal Codice Civile (art. 1218 e seguenti). Nel perimetro della responsabilità oggettiva il focus verterà sulla concretizzazione del rischio derivante/generato dal responsabile, di volta in volta individuato dalla legge;
5. responsabilità extracontrattuale (d’interesse soprattutto in caso di danni causati a terzi dall’uso di sistemi di AI), regolata dall’art. 2043 del Codice Civile. Una responsabilità per colpa, per negligenza produttiva, ovverosia adozione di tecnologie ormai superate, carenza di controlli nella produzione o cattiva organizzazione aziendale, che richiede la dimostrazione dell’esistenza di un danno, di una colpa del responsabile e di un nesso di causalità tra colpa e danno;
6. responsabilità da prodotto difettoso, originariamente introdotta dalla direttiva n. 374/1985/CEE ed attuata in Italia con il D.P.R. n. 224/1988, poi confluito nel D.lgs. n. 206/2005 (Codice del Consumo). Nello specifico all’art. 114 è previsto che il produttore risponda “del danno cagionato dai difetti del suo prodotto”.

Su tale perimetro incidono, infine, regolamentazioni europee quali:

• il Regolamento Generale sulla Protezione dei Dati (GDPR), che impone obblighi stringenti in materia di trattamento dei dati personali rilevanti per i sistemi di AI, specie poiché la non conformità può comportare responsabilità per danni causati dal trattamento illecito dei dati;
• le proposte di regolamentazione specifica, ossia il cosiddetto “AI Act”, che stabilisce requisiti di sicurezza e trasparenza per i sistemi di AI e la “AI Liability Directive”, più specificamente centrata sui profili di responsabilità extracontrattuale dei sistemi intelligenti;
• la Direttiva “Macchine” (Direttiva 2006/42/CE) e sue “evoluzioni”.

Ciò premesso, è di certa utilità ripercorrere brevemente quelle normazioni che più di altre sembrano aprire strade utili (specie in chiave futura) per la gestione dei profili di responsabilità dei sistemi intelligenti, avuto riguardo tanto agli aspetti tecnici ed economici, ma anche etici e di impatto su diritti e libertà degli interessati.

Danno da prodotto difettoso

Ad oggi, come brevemente accennato, il quadro normativo applicabile in materia di responsabilità – su territorio europeo – è costituito – oltre che dalle norme nazionali applicabili nei singoli Stati membri – anche dalla Direttiva 85/374/CEE (cd. “Direttiva PLD”, Product Liability Directive), per i danni da prodotti difettosi.

La direttiva PLD aveva come obiettivo quello di armonizzare a livello europeo i regimi di responsabilità oggettiva per le richieste di risarcimento dei danni causati al consumatore a causa della difettosità di una vasta gamma di prodotti, stabilendo regole comuni in base alle quali il produttore (e in alcuni casi il fornitore/venditore) poteva essere ritenuto responsabile dei danni causati da un difetto del proprio prodotto, a condizione che la parte lesa dimostrasse il danno, il difetto e il nesso causale. La stessa stabiliva un regime di responsabilità dell’UE per le richieste di risarcimento in caso di morte, lesioni personali o danni materiali causati da un articolo o prodotto destinato all’uso privato.

Cosa dice la New PLD

Rientrando, però, nel pacchetto di misure europee volte a sostenere la promozione dell’intelligenza artificiale (come l’AI Act, ad esempio), tale Direttiva è stata recentemente oggetto di attenzione a livello europeo, tanto che il 12 marzo 2024 il Parlamento ne ha approvato una nuova “versione” (cd. “New Product Liability Directive”^[1]), con il precipuo obiettivo di innovarla, valutando e inserendo aspetti legati alle nuove tecnologie e in particolare all’AI.

La New PLD, infatti, stabilisce una definizione più ampia di prodotto rispetto alla precedente, andando a coprire e includere:

• i software^[2] (es. sistemi operativi, firmware, programmi per pc, applicazioni, sistemi di AI) e i relativi aggiornamenti, a prescindere che siano integrati nei dispositivi, utilizzati tramite rete o cloud, o siano software-as-a-service (SaaS), inclusi i sistemi di intelligenza artificiale;
• i file di fabbricazione digitale che consentono il controllo automatizzato di macchinari o strumenti, come le stampanti 3D;
• i servizi digitali, quando sono necessari per il funzionamento dei prodotti, in quanto integrati all’interno di prodotti o interconnessi con questi (es. servizi di navigazione dei veicoli autonomi o AGV).

Non rientrano, invece, nel perimetro della responsabilità oggettiva di cui alla New PLD le informazioni^[3] e i software liberi e open source, salvo che questi siano forniti a titolo oneroso o i dati siano usati nel corso di un’attività commerciale.

Secondo la nuova Direttiva, a fronte di un prodotto venduto, per i possibili danni^[4] causati da beni difettosi andrà individuata e ritenuta responsabile l’impresa/operatore economico con sede nell’UE. La norma si applicherà anche ai prodotti acquistati online al di fuori dell’UE.

La New PLD introduce, invero, un approccio stratificato alla responsabilità a seconda della diversa qualifica dell’operatore economico, tra cui figurano: il produttore di un prodotto o di un componente; il fornitore di un servizio connesso; il rappresentante autorizzato; l’importatore; e il fornitore di servizi di adempimento o il distributore. Anche le Online Platforms potrebbero essere chiamate in causa, qualora ricoprano il ruolo di produttore, importatore o distributore.

La responsabilità del produttore

Il produttore dovrebbe essere responsabile dei danni causati da un difetto del suo prodotto o dei suoi componenti, ma andrà anche considerato responsabile qualsiasi operatore economico che abbia modificato in modo sostanziale il prodotto al di fuori del controllo del produttore (venendo, così, considerato alla stregua del produttore stesso).

Allo stesso modo, quindi, tali operatori potrebbero essere chiamati a rispondere (post immissione sul mercato) anche degli aggiornamenti, delle migliorie o degli algoritmi di apprendimento automatico, poiché si ritiene che i sistemi di AI (in particolare) permettano di esercitare un controllo sui prodotti anche in un momento successivo rispetto all’immissione sul mercato o alla messa in servizio.

La nuova Direttiva, infatti, cita espressamente:

• gli aggiornamenti del software sotto il controllo del produttore,
• la mancata risoluzione delle vulnerabilità della sicurezza informatica
• l’apprendimento automatico.

Ciò differisce dall’esclusione di responsabilità di cui all’articolo 7(b) della precedente PLD, che esonerava il produttore dalla responsabilità quando “è probabile che il difetto che ha causato il danno non esistesse al momento in cui il prodotto è stato messo in circolazione da lui o che tale difetto sia emerso successivamente“.

L’onere della prova viene alleggerito

Oltre a ciò, per venire maggiormente incontro ai danneggiati – già in posizione svantaggiata a causa della complessità tecnica o scientifica dei prodotti digitali/intelligenti e della possibilità di ottenere (e comprendere a pieno) le informazioni sulla modalità di fabbricazione e sul funzionamento dei prodotti – la Direttiva aggiornata si fa notare per un alleggerimento dell’onere della prova, stabilendo un sistema semplificato in grado di fornire strumenti più idonei a ottenere un risarcimento del danno causato da prodotti difettosi.

Si punta, oggi, a una presunzione relativa di difettosità^[5] del prodotto, specie nei casi tecnicamente e scientificamente più complessi, e alla possibilità di ottenere un risarcimento non solo per i danni materiali (es. distruzione o corruzione dei dati, come nel caso di cancellazione da disco rigido), ma anche per le perdite non materiali (es. danni alla salute/danni psicologici riconosciuti e certificati dal punto di vista medico; dolori e sofferenze).

Vale la pena di sottolineare come i danni materiali qui previsti vengano distinti da fenomeni quali quelli delle fughe di dati o violazione delle norme sulla data protection, di talché resta possibile per l’interessato agire – distintamente – per ottenere la soddisfazione delle proprie pretese – se fondate – sia lato Regolamento GDPR, sia lato New PLD.

Nella proposta, infine, la durata della responsabilità viene fissata a 10 anni dall’immissione del prodotto sul mercato, ma il periodo di responsabilità viene esteso a 25 anni – per i per danni causati da un prodotto difettoso i cui effetti si manifestino in un periodo di tempo più lungo – nei casi in cui le prove mediche indichino che i sintomi di lesioni personali si siano manifestati tardivamente.

Il regolamento (UE) 2023/1230 relativo alle macchine

All’attuale Direttiva Macchine 2006/42/CE^[6] rimane un orizzonte temporale abbastanza limitato, dal momento che a partire dal 20 gennaio 2027 il nuovo Regolamento macchine verrà applicato, andando contemporaneamente ad abrogare la citata Direttiva.

La principale e macroscopica differenza tra le due normazioni sta nel fatto che, mentre quest’ultima si applicava solo alle macchine nuove senza prendere in considerazioni successive modifiche^[7] apportate alle stesse, il Regolamento nasce con lo scopo di andare a coprire anche i prodotti che hanno subito “modifiche sostanziali”, ovverosia “una modifica (…) mediante mezzi fisici o digitali dopo che tale macchina o prodotto correlato è stato immesso sul mercato o messo in servizio, che non è prevista né pianificata dal fabbricante, e che incide sulla sicurezza della macchina o del prodotto correlato creando un nuovo pericolo o aumentando un rischio esistente, che richiede:

a) l’aggiunta di ripari o di dispositivi di protezione alla macchina o al prodotto correlato, operazione che necessita la modifica del sistema di controllo della sicurezza esistente, o

b) l’adozione di misure di protezione supplementari per garantire la stabilità o la resistenza meccanica di tale macchina o prodotto correlato”.

Il secondo punto rilevante incide sui “componenti di sicurezza”, che erano già presi in considerazione dalla Direttiva, ma la cui definizione viene modificata nel Regolamento, laddove vi vengono fatti rientrare anche i prodotti immateriali/digitali quali:

• software destinati a garantire il funzionamento di una funzione di sicurezza, e
• “componenti di sicurezza dotati di un comportamento integralmente o parzialmente autoevolutivo che utilizzano approcci di apprendimento automatico che garantiscono funzioni di sicurezza”.

È interessante rilevare come anche questo Regolamento venga pensato per introitare temi caldi del momento – e non potrebbe essere altrimenti rientrando nelle citate strategie europee –, come l’estensione della copertura normativa ai rischi digitali/cybersecurity, all’IoT, all’AI, alla condivisione di dati e alla catena di approvvigionamento, e così in particolare:

• la valutazione dei rischi dovrà considerare anche i requisiti fondamentali di salute e sicurezza (RESS) relativi all’intelligenza artificiale e ai livelli di autonomia di cui è capace;
• le macchine connesse dovranno essere progettate by design per poter evitare attacchi informatici che le rendano pericolose;
• nei RESS vengono inseriti un nuovo requisito sulla protezione da alterazioni accidentali o intenzionali per i sistemi informatici, così come nuovi requisiti per le applicazioni collaborative (o COBOT, Robot collaborativi che condividono la stessa area dei lavoratori);
• viene preso in considerazione anche l’impatto sul lavoratore, anche da un punto di vista di stress psicologico, dovendo, ad esempio, quest’ultimo condividere gli spazi lavorativi e collaborare con i COBOT;
• vengono aggiunti (nell’Allegato 1) come nuovi prodotti ad alto rischio i componenti di sicurezza con comportamento auto-evolutivo e macchine che integrano sistemi con comportamento auto-evolutivo.

Sotto il profilo sanzionatorio, invece, l’articolo 50 prevede che gli Stati membri stabiliscano “le norme sulle sanzioni applicabili in caso di violazione del presente regolamento da parte degli operatori economici e adottano tutte le misure necessarie per assicurarne l’attuazione”.

Le sanzioni previste dovranno essere efficaci, proporzionate e dissuasive e potranno comprendere sanzioni penali per violazioni gravi.

L’AI Liability Directive

A settembre 2022 la Commissione Europea ha pubblicato una proposta di Direttiva ^[8] per adeguare le norme di responsabilità civile extracontrattuale ai sistemi di intelligenza artificiale (cd. “Artificial intelligence liability Directive”^[9]), nel tentativo di integrare e modernizzare il quadro normativo dell’UE in tali ambiti, introducendo anche nuove norme specifiche per i danni causati da sistemi di AI^[10], e proponendosi apertamente quale completamento del Regolamento cd. AI Act.

In tal senso, gli users danneggiati da sistemi di intelligenza artificiale potrebbero godere dello stesso livello di protezione di quelli danneggiati da altre tecnologie, alleggerendo, al contempo, l’onere della prova che nel campo dei sistemi intelligenti risulta particolarmente complesso, anche a causa del cd. effetto “black box” che incide – come ormai noto – sulla trasparenza e sulla spiegabilità dell’algoritmo, ossia sulla comprensibilità degli input, degli output e del funzionamento vero e proprio dell’AI.

Le norme

L’approccio della proposta di Direttiva sulla responsabilità per l’AI (di seguito per comodità anche “AiLD”), mira ad armonizzare le norme sulla responsabilità civile extracontrattuale per i danni causati da sistemi intelligenti (SIA), stabilendo norme comuni su (tra le altre):

• la divulgazione di prove relative a sistemi di intelligenza artificiale (IA) ad alto rischio per consentire a un attore di fondare una richiesta di risarcimento danni di diritto civile per colpa extracontrattuale;
• l’onere della prova in caso di azioni civili extracontrattuali fondate su colpa intentate dinanzi ai giudici nazionali per danni causati da un sistema di IA.

Le nuove norme della AiLD si applicherebbero, quindi, ai danni causati dai SIA, indipendentemente dal fatto che siano definiti ad alto rischio o meno ai sensi dell’AI Act^[11], e a prescindere da un legame contrattuale tra “vittima” e responsabile.

Si andrebbe così a garantire che chiunque (persona fisica o giuridica) possa essere risarcito se danneggiato dalla colpa o dall’omissione di un fornitore, sviluppatore o user di AI, che provochi un danno coperto dalla legislazione nazionale (ad esempio salute, proprietà, privacy, etc.).

La presunzione di casualità

Diversamente da altri concetti (per i quali si fa diretto riferimento al Regolamento AI Act), nel caso di “richiesta di risarcimento danni” la Direttiva opta per definirne la portata nel senso di richiesta extracontrattuale, basata sulla colpa, per il risarcimento dei danni causati da un risultato di un sistema di IA o dall’incapacità di tale sistema di produrre un risultato che avrebbe dovuto essere prodotto.

Si tratta, dunque, della creazione di una presunzione di causalità che renderebbe l’onere della prova ricadente sui richiedenti molto più ragionevole e “semplificato”. L’articolo 4, infatti, stabilisce una presunzione di causalità confutabile che stabilisce un nesso di causalità tra l’inosservanza di un obbligo di diligenza ai sensi del diritto dell’Unione o nazionale (ossia la colpa) e l’output prodotto dal sistema di intelligenza artificiale o l’incapacità del sistema di intelligenza artificiale di produrre un output che ha dato origine al danno in questione.

Tale presunzione di causalità, quindi, si applicherebbe solo quando vengano soddisfatte cumulativamente le seguenti condizioni:

• il ricorrente dimostri che l’inosservanza di un determinato obbligo comunitario o nazionale relativo al danno di un sistema di IA ha causato il danno (articolo 4, paragrafo 1, lettera a);
• deve essere ragionevolmente probabile che, in base alle circostanze di ciascun caso, il comportamento negligente del convenuto abbia influenzato l’output prodotto dal sistema o l’incapacità del sistema di AI di produrre un output che ha dato origine al danno rilevante (articolo 1, lettera b);
• l’attore ha dimostrato che l’output prodotto dal sistema o l’incapacità del sistema di AI di produrre un output ha causato il danno (articolo 1, lettera c).

In pratica, se una “vittima” può dimostrare che qualcuno è stato colpevole di non aver rispettato un determinato obbligo rilevante per il suo danno, e che è ragionevolmente probabile un nesso causale con la prestazione dell’AI, si potrà presumere che tale inadempienza abbia causato il danno. Questo approccio solleverebbe l’interessato dalla necessità di dimostrare il funzionamento interno del sistema di IA in questione, che come è noto è questione di non poco conto.

Senza dimenticare, però, che: “Poiché la presente direttiva introduce una presunzione confutabile, il convenuto dovrebbe essere in grado di confutarla, in particolare dimostrando che la sua colpa non può aver causato il danno” (Considerando 30).

Un ulteriore aspetto da considerare (e che viene indagato dalla AiLD) – specie con riferimento ai sistemi di AI ad alto rischio – è, infine, quello relativo alla difficoltà per gli interessati di individuare correttamente i soggetti effettivamente responsabili: in tal senso le nuove norme dovrebbero aiutare ad accedere alle prove pertinenti per la corretta identificazione, “for instance, when damage is caused because an operator of drones delivering packages does not respect the instructions for use or because a provider does not follow requirements when using AI-enabled recruitment services”.

Il regolamento AI Act

Il Regolamento AI Act, inserendosi per volontà del legislatore europeo nella strategia europea dei dati e nell’ambito della più generale disciplina della sicurezza dei prodotti, comporta l’obbligo per i soggetti identificati all’articolo 2 (fornitori, deployer, importatori, distributori etc.) di integrare requisiti tecnici, etici e di rispetto dei diritti fondamentali nella progettazione ed implementazione dell’AI. Questo anche per l’assunzione di responsabilità in termini di sicurezza di ciò che viene immesso sul mercato europeo.

È bene sottolineare, però, come L’AI Act, vada citato a mero completamento, quale fonte di ispirazione, estrapolazione ed interpretazione dei principi che devono necessariamente incidere (anche) sui profili di responsabilità, ma avendo ben chiaro che lo stesso – scientemente – non prevede l’aperta trattazione e regolazione di tali profili.

Come si diceva, la AiLD nasce quale naturale completamento dell’AI Act, con il precipuo scopo di indagare i rilievi in materia di responsabilità potenzialmente derivanti dall’utilizzo di sistemi di intelligenza artificiale, dal momento che il Regolamento si caratterizza, invece, per un approccio maggiormente focalizzato sul migliorare il funzionamento del mercato interno e sulla promozione della diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di IA nell’Unione, e promuovendo l’innovazione.

Senza dimenticare lo sforzo definitorio del Regolamento circa i sistemi di AI, mediante un risk-based approach che modula utilizzo e obblighi in base all’impatto potenziale su interessati e società, che si potrebbe così sintetizzare:

“Laddove il rischio venga valutato inaccettabile, i sistemi saranno vietati di default, mentre gli altri livelli di rischio comporteranno l’applicazione (o meno) di requisiti e obblighi, secondo la seguente impostazione:

• Sistemi ad alto rischio (ad esempio, usati nelle infrastrutture critiche), potranno essere ammessi a fronte del rispetto di determinati requisiti obbligatori e di specifici obblighi individuati nel Regolamento;
• Sistemi a rischio limitato (tra cui quelli che interagiscono con gli esseri umani o rilevano emozioni, chatbot o deepfake), ammissibili dietro rispetto di determinati obblighi di trasparenza;
• Sistemi a rischio minimo (come videogiochi o filtri spam), esenti da obblighi, ferma restando l’adesione volontaria a codici di condotta (ad esempio dove vi sia un rischio di manipolazione)” ^[12].

Conclusioni

Rileva, ad ogni buon conto, che il rispetto di questi rischi è comunque imposto all’uomo, che risulta il solo responsabile per eventuali danni derivanti dall’utilizzo e dal funzionamento di sistemi di AI, ai sensi delle sanzioni “effettive, proporzionate e dissuasive” previste all’articolo 99 (amministrative pecuniarie) dell’AI Act^[13], e al 101 (pecuniarie) per i fornitori di modelli di AI per finalità generali (o GPAI).

Ciò incasellandosi perfettamente nell’obiettivo esplicito del Regolamento, ossia lo sviluppo sicuro, etico, responsabile e – soprattutto – umanocentrico dell’intelligenza artificiale.

Note

1. https://www.europarl.europa.eu/RegData/etudes/BRIE/2023/739341/EPRS_BRI(2023)739341_EN.pdf. ↑
2. Il fatto che il software (comprese le applicazioni) fosse coperto dalla precedente PLD è sempre stato controverso: il dubbio principale verteva sulla possibilità di far rientrare il software tra i prodotti (ai sensi della citata direttiva), o piuttosto nella categoria dei servizi o dei beni immateriali (esclusi dall’ambito di applicazione della stessa). ↑
3. di conseguenza, i regimi di responsabilità non avranno valenza circa il contenuto di file digitali. ↑
4. La nuova PLD amplia la definizione di danno includendo: morte o lesioni personali, compresi i danni psicologici riconosciuti da un punto di vista medico; danni alla proprietà, eliminando la soglia di 500 euro e la possibilità per gli Stati membri di imporre un tetto di 70 milioni di euro; perdita o corruzione di dati non utilizzati esclusivamente per scopi professionali. ↑
5. La difettosità potrebbe essere presunta quando: un produttore non rispetta l’obbligo di divulgazione delle informazioni; un prodotto non è conforme ai requisiti di sicurezza obbligatori; danno è causato da un evidente malfunzionamento del prodotto. ↑
6. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32023R1230. ↑
7. Queste erano regolate solamente dalle leggi nazionali. ↑
8. Per approfondimenti, A. Capoluongo, La direttiva sulla responsabilità da intelligenza artificiale, https://www.itsmf.ch/blogs/post/direttiva-sulla-responsabilità-da-intelligenza-artificiale?utm_source=linkedin&utm_medium=Zoho+Social. ↑
9. Si vedano https://www.europarl.europa.eu/RegData/etudes/BRIE/2023/739342/EPRS_BRI(2023)739342_EN.pdf; https://commission.europa.eu/business-economy-euro/doing-business-eu/contract-rules/digital-contracts/liability-rules-artificial-intelligence_en. ↑
10. La direttiva non definisce l’AI, ma fa riferimento al concetto generale di intelligenza artificiale di cui all’AI act e in particolare alla definizione ivi contenuta di “sistemi di IA”.
11. Commissione Europea, Questions & Answers: AI Liability Directive, 28 September 2022, https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_5793. ↑
12. Per approfondimenti, si veda M. d’Agostino Panebianco, A. Capoluongo, Artificial Intelligence: la sostenibilità ambientale, sociale, economica, cap. 2, Il Sole 24 Ore, 2024. ↑
13. Indicate per scaglioni, secondo il medesimo metodo del GDPR: sino a 35 milioni di euro o al 7% del fatturato totale annuo a livello mondiale; fino a 15 milioni di euro o al 3% del fatturato totale annuo a livello mondiale; fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale annuo totale. ↑