Il momento storico attuale, caratterizzato da necessari e spesso dolorosi stravolgimenti e ripensamenti delle logiche tradizionali, ha fatto emergere, con grande forza, un dato di realtà: tecnologia e intelligenza artificiale sono strumenti così rivoluzionari da essere in grado di aiutarci. Come? Ad esempio migliorando l’assistenza sanitaria (rendendo le diagnosi più precise e consentendo una migliore e più efficace prevenzione delle malattie), aumentando l’efficienza dell’industria e dell’agricoltura, contribuendo alla mitigazione dei cambiamenti climatici, migliorando l’efficienza dei sistemi di produzione mediante la manutenzione predittiva, aumentando la sicurezza dei cittadini, implementando in generale sistemi che possiamo soltanto iniziare a immaginare. Al tempo stesso, è innegabile che l’intelligenza artificiale (AI) comporta una serie di potenziali rischi, quali, fra gli altri, la c.d. “opacità” dei meccanismi decisionali, le possibili discriminazioni, intrusioni nelle nostre vite private, l’erroneità dell’output e, nella peggiore delle ipotesi, l’utilizzo per scopi criminali. Ecco allora emergere il problema della responsabilità civile in AI.
Ed è proprio in ragione della attualità di questo tema che il Dipartimento Affari Legali della Commissione Europea ha commissionato all’EURA “European Centre of Excellence on the Regulation of Robotics & AI” del Sant’Anna di Pisa uno studio su “Artificial Intelligence and Civil Liability” pubblicato il 14 luglio scorso.
Il documento è veramente molto interessante e merita senza dubbio un approfondimento.
Cosa dice l’EURA sulla responsabilità civile in AI
Per non scardinare poi il sistema attualmente vigente, l’EURA suggerisce la diversificazione dei regimi di responsabilità a seconda dell’impatto del rischio dell’AI:
– per i sistemi di AI c.d. “ad alto rischio” si suggerisce il risk approach con attribuzione di una responsabilità oggettiva e l’obbligo di stipulare una idonea copertura assicurativa (in linea con la disciplina della responsabilità civile in altri settori critici);
– per i sistemi di AI definiti “non ad alto rischio”, si ritiene invece possa continuarsi ad applicare la tradizionale responsabilità per colpa.
Numerosi, dunque, gli spunti operativi del recentissimo documento dell’EURA che, come detto, pone anche il tema della responsabilità civile nel settore dell’intelligenza artificiale sulla scia dei meccanismi di risk approach e risk management, nella logica secondo la quale la gestione e la mappatura anticipate del rischio rappresentano la vera chiave di volta per trasformare la riparazione del danno in capacità di prevenzione, mitigazione e/o eliminazione del danno stesso.
Le problematiche giuridiche correlate all’AI
Sono ormai diversi anni che le istituzioni europee tentano di affrontare problematiche giuridiche correlate all’AI, e senz’altro la pandemia da COVID-19 ha alzato il livello di attenzione sul tema.
Peraltro, proprio un attimo prima dello dell’emergenza, la Commissione Europea in data 19 Febbraio 2020 ha lanciato la consultazione pubblica in materia, mediante la pubblicazione del “Libro Bianco sull’Intelligenza Artificiale”, ove la riflessione prende spunto e si sviluppa attorno a un nodo centrale: l’uso dell’A (come l’uso di qualunque nuova tecnologia) comporta sia rischi che opportunità, occorre quindi ragionare per definire un quadro giuridico in grado di affrontare le nuove sfide.
Se infatti, da un lato, i cittadini temono di essere privati dei mezzi per difendere i loro diritti e la loro sicurezza di fronte alle asimmetrie informative del processo decisionale algoritmico, dall’altro le imprese sono preoccupate per l’assenza di un quadro giuridico certo e definito: ed è ben noto la mancanza di fiducia da parte del cittadino e la mancanza di chiarezza per le imprese rappresentano freni e deterrenti per qualsiasi evoluzione.
Uno dei temi evidenziati nel Libro Bianco, e certamente molto sentiti sia dalla società civile che dell’industria, è senz’altro quello relativo alla disciplina e alla corretta allocazione delle responsabilità (civile e/o penali) per i potenziali danni causati agli utenti dall’utilizzo di una AI, in un contesto nel quale la c.d. “opacità” di cui si diceva sopra e la sostanziale autonomia delle AI determina una sempre maggiore difficoltà nell’identificare quale sia il soggetto effettivamente responsabile e, di conseguenza, il soggetto da cui ottenere il giusto risarcimento.
Intelligenza artificiale e responsabilità civile
Ci si domanda se il quadro normativo oggi esistente sia idoneo a dare una risposta adeguata al tema della responsabilità civile nell’ambito dell’AI, evidenziandone i lati positivi e le criticità dell’attuale legislazione e suggerendo, in chiusura del lavoro, alcune interessanti ipotesi di modifica.
Partendo dal presupposto che le applicazioni basate sull’intelligenza artificiale possano essere considerate “prodotti” (tema comunque in discussione), da un punto di vista strettamente giuridico, i testi comunitari di riferimento sono essenzialmente due:
- Circa i requisiti per la commercializzazione il riferimento occorre riferirsi alla Direttiva relativa alla sicurezza generale dei prodotti (2001/95/CE);
- Circa la responsabilità civile il testo cardine è invece la Direttiva sulla responsabilità da prodotto difettoso (85/374/CEE) .
Quest’ultimo documento – oggetto dell’indagine – mira a individuare le regole affinché chi abbia subito un danno a causa dell’utilizzo di un prodotto “difettoso” (ossia di un prodotto che manchi del livello di sicurezza che sarebbe ragionevole attendersi) possa ottenere un risarcimento adeguato: nello specifico l’architettura giuridica della Direttiva 85/374/CEE sulla responsabilità da prodotto difettoso pone la suddetta responsabilità in capo al produttore e impone al soggetto leso l’obbligo di dimostrare la sussistenza di un nesso di causalità tra il danno lamentato e il difetto del prodotto.
Ora, nel settore dell’intelligenza artificiale l’applicazione della Dir 85/374/CEE – così come oggi strutturata – presenta molti punti problematici.
Un primo elemento di criticità è rappresentato dall’ambito di possibile applicazione della Direttiva: la Dir 85/374/CEE si applica solo di “prodotti”, mentre (come sopra accennato) non è chiaro se l’AI debba essere qualificato come “prodotto” o come “servizio”, tenuto conto che le applicazioni tecnologicamente avanzate sono spesso composte sia di elementi software sia di elementi hardware, strettamente collegati fra loro.
Premessa quindi la necessità di un chiarimento sul punto, l’EURA evidenza una serie di ulteriori criticità e formula alcuni suggerimenti per un nuovo assetto normativo idoneo a dare risposte a questo delicato ambito. Questi gli spunti principali.
Il quadro giuridico a livello europeo
La Dir. 85/374/CEE – proprio in quanto “direttiva” – ha avuto recepimenti diversificati nei diversi Stati membri: ciò crea un quadro giuridico spesso molto frammentato. Affinché il sistema giuridico europeo sia in grado di accogliere le sfide delle nuove tecnologie, occorre invece che le norme giuridiche siano certe, condivise e non diversificate: l’uniformità giuridica incentiva infatti lo sviluppo e la commercializzazione dei prodotti e aumenta la fiducia degli utenti nell’uso e nell’affidabilità di soluzioni tecnologicamente avanzate.
Il suggerimento dell’Eura è quindi che si provveda a una regolamentazione a livello europeo che obblighi alla massima armonizzazione, ricorrendo alla forma del Regolamento – immediatamente applicabile nel territorio degli Stati Membri – piuttosto che a quella della direttiva.
Ci si domanda poi se sia sufficiente una revisione della disciplina della Dir 85/374/CEE oppure se per la responsabilità nel campo della AI occorra emanare una disciplina ad hoc.
La soluzione consigliata è quella di promuovere una disciplina ad hoc per le tecnologie che possono presentare rischi e potenzialità considerate rilevanti, suggerendo, invece, che per le restanti tecnologie, l’intervento normativo a livello europeo sia minimamente invasivo, secondo i principi di sussidiarietà e proporzionalità.
Ma la parte più interessante del documento è poi senza dubbio quella che suggerisce di rivedere la logica dell’approccio legislativo alla responsabilità civile nel settore dell’AI.
Si consiglia infatti di passare dalla attuale logica basata sulla colpa ad una logica basata sulla gestione del rischio: ciò in linea con le nuove architetture giuridiche non solo di prodotto (si pensi al nuovo Reg. Ue 2027/745 sui dispositivi medici) ma anche di processo (in questo caso è d’obbligo il richiamo al GDPR).
Ipotizzare l’implementazione di un sistema di responsabilità fondato sulla gestione del rischio significa creare un sistema che attribuisca la responsabilità dell’AI al soggetto che – nella realtà concreta – prende le decisioni ed esercita il controllo sui rischi e benefici associati alla tecnologia stessa: tale soggetto (proprio perché è colui che “può incidere” sul rischio e che quindi può “misurare” anche il rapporto rischi/benefici) sarà chiamato a rispondere degli eventuali danni cagionati a terzi, con la possibilità, in ogni caso, di rivalersi sugli altri soggetti della catena produttiva/distributiva, laddove gli stessi siano parte attiva di tale gestione del rischio.