a cura di Cristina Arata, avvocato in Castelfranco Veneto

Nell’ambito dell’approfondita riflessione svolta dalla plenaria del Parlamento Europeo sull’Intelligenza Artificiale è emersa la convinzione che la sfida relativa all'introduzione di sistemi di IA nella società, nei luoghi di lavoro e nell'economia è oggi una delle questioni più importanti dell'agenda politica: queste tecnologie avanzate possono e, quindi, dovrebbero migliorare la nostra vita quasi in ogni settore, dalla sfera personale (trasporti, istruzione personalizzata, assistenza alle persone fragili, programmi di fitness, concessione di credito), all'ambiente di lavoro (alleggerimento di attività faticose e ripetitive), fino alle sfide globali (cambiamenti climatici, assistenza sanitaria, nutrizione, logistica).
È quindi necessario, da un lato, sfruttarne in modo efficiente i vantaggi, ma è altrettanto essenziale prevenire possibili abusi ed evitare la frammentazione normativa nell'Unione.
Questo quadro giuridico europeo, armonizzato e uniforme, dovrà garantire la certezza giuridica e tutelare efficacemente i valori europei e i diritti dei cittadini. E dovrà farlo rapidamente, con uno specifico regolamento: il PE propone alla Commissione un testo regolamentare che allega alla risoluzione in commento. 
La sfera digitale è caratterizzata da rapide dinamiche, da flussi di dati internazionali: in altre parole la corsa mondiale all'IA è già in atto e in tale ambito l'Unione deve riuscire a svolgere un ruolo di primo piano, sfruttando il proprio potenziale scientifico e tecnologico, ma anche etico e giuridico, in particolare in tema di responsabilità civile.
Il concetto di "responsabilità" svolge un duplice ruolo nella vita quotidiana: garantisce che una persona vittima di un danno abbia il diritto di chiedere ed ottenere un risarcimento dalla parte di cui sia dimostrata la responsabilità; e fornisce un supporto affinché gli operatori economici (ma anche qualsiasi altro soggetto giuridico) evitino sin dall'inizio di causare pregiudizi, mediante la prevenzione degli eventi potenzialmente dannosi.
Un quadro giuridico in materia di responsabilità civile orientato al futuro dovrà, quindi, trovare un equilibrio tra l'efficace ed equa tutela dei potenziali danneggiati e una sufficiente libertà d'azione, che consenta alle imprese (anche piccole e medie) di sviluppare nuove tecnologie e nuovi prodotti/servizi, garantendo la certezza del diritto per tutte le parti, che si tratti del produttore, dell'operatore, della persona interessata o di terzi.
Deve, anzitutto, essere chiaro che chiunque crei un sistema di IA, ne esegua la manutenzione, lo controlli o vi interferisca, è chiamato a rispondere del danno che l'attività, il dispositivo o il processo può provocare. Questo principio discende da concetti di giustizia generali e ampiamente accettati in materia di responsabilità, per i quali la persona che crea o mantiene un rischio per il pubblico è responsabile se il rischio si concretizza in un evento dannoso, e pertanto dovrebbe minimizzarlo ex ante o risarcirlo ex post nel caso in cui non riesca ad evitare il suo avverarsi.
Appare, poi, necessario utilizzare concetti non ambigui. I sistemi di IA comprendono una vasta gamma di diverse tecnologie (semplici statistiche, apprendimento automatico, apprendimento profondo ecc.). Meglio quindi sostituire il termine I.A. con il termine "processo decisionale automatizzato” nel quale un utente deleghi inizialmente in tutto o in parte una decisione a un'entità utilizzando un software o un servizio, e tale entità utilizzi a sua volta modelli decisionali automatizzati per lo svolgimento di un'azione per conto dell’utente, o per supportare le decisioni dell'utente nello svolgimento di un'azione.
Alcuni sistemi di IA pongono, inoltre, più di altri sfide giuridiche significative in materia di responsabilità, perché la loro opacità strutturale potrebbe rendere estremamente oneroso, se non impossibile, identificare chi ha il controllo del rischio associato a quel sistema di IA o quale codice, input o dati abbiano causato, in definitiva, l'attività pregiudizievole. La questione incide sul nesso causale tra danno e comportamento che lo ha causato, con il risultato che le vittime potrebbero non ricevere un adeguato risarcimento o non riceverlo affatto.
Le sfide giuridiche derivano anche dalla connettività, che spesso lega un sistema di IA e altri sistemi, di IA e non di IA, dalla dipendenza da dati esterni, dalla vulnerabilità a violazioni della cybersicurezza e dalla progettazione di sistemi di IA sempre più autonomi, che si avvalgono, tra l'altro, di tecniche di apprendimento automatico e di apprendimento profondo.
La possibilità di ottenere un’equa riparazione dei danni causati dai sistemi di IA potrà evitare che gli utenti siano poco propensi ad accettare le tecnologie emergenti, in considerazione dei rischi connessi.
Una riparazione può dirsi equa se ogni persona che subisce un danno cagionato da sistemi di IA, o il cui patrimonio sia danneggiato da sistemi di IA, benefici dello stesso livello di protezione previsto per i casi in cui non sia coinvolto un sistema di IA. L'utente, quindi, deve avere la certezza che per il potenziale danno arrecato dai sistemi di IA esistano una via legale definita per il risarcimento e un'adeguata copertura assicurativa.
Il legislatore europeo è convinto che non sia necessaria una revisione completa dei regimi di responsabilità già funzionanti, ma che occorrano adeguamenti specifici e coordinati dei regimi di responsabilità esistenti, che si misurino con la complessità, la connettività, l'opacità, la vulnerabilità, la capacità di modifica mediante aggiornamenti, l'autoapprendimento e la potenziale autonomia dei sistemi di IA, come pure con la molteplicità degli attori coinvolti nel settore. 
Il presupposto da cui è necessario partire è che tutte le attività, i dispositivi o i processi fisici o virtuali che sono guidati da sistemi di IA possono essere tecnicamente la causa diretta o indiretta di danni o pregiudizi. E che l'opacità, la connettività e l'autonomia dei sistemi di IA potrebbero rendere, nella pratica, molto difficile/impossibile ricondurre alcune azioni dannose dei sistemi di IA a uno specifico input umano o a decisioni adottate in fase di progettazione.
Queste attività e dispositivi sono quasi sempre il risultato della creazione, della diffusione o dell'interferenza con i sistemi posti in essere da qualcuno: possono, quindi, essere considerate responsabili le varie persone che nella catena del valore creano il sistema di IA, ne eseguono la manutenzione o ne controllano i rischi associati.
Per questo, per il PE, non è necessario né auspicabile conferire personalità giuridica ai sistemi di IA: non possiedono una coscienza umana, e il loro unico compito consiste nel servire l'umanità.
La direttiva sulla responsabilità per danno da prodotti difettosi ha dimostrato, per oltre trent'anni, di essere un mezzo efficace per ottenere un risarcimento per i danni cagionati da prodotto difettoso. Quindi dovrebbe continuare ad applicarsi anche nel caso di azioni per responsabilità civile nei confronti del produttore di un sistema di IA difettoso, laddove tale sistema possa essere considerato come prodotto ai sensi di tale direttiva.
Che dovrà, tuttavia, essere rivista per adattarla al mondo digitale e alle tecnologie digitali emergenti, garantendo un elevato livello di efficace protezione dei consumatori e la certezza giuridica per consumatori e imprese. Aggiornamento che dovrà andare di pari passo con l'aggiornamento della direttiva 2001/95/CE del P.E. e del Consiglio, del 3 dicembre 2001, sulla sicurezza generale dei prodotti, per garantire che i sistemi di IA integrino la sicurezza e la protezione fin dalla progettazione.
Di qui la specifica esortazione del PE alla Commissione a valutare se la direttiva sulla responsabilità per danno da prodotti difettosi debba essere trasformata in un regolamento, a chiarire la definizione di "prodotti", determinando se i contenuti e i servizi digitali rientrino nel suo ambito di applicazione, e ad esaminare l'adeguamento di concetti quali "pregiudizio", "difetto" e "produttore".
La proposta di regolamento allegata alla raccomandazione si concentra, quindi, sulla responsabilità civile dell’operatore di un sistema di IA, per il suo ruolo di controllo del rischio associato a tale sistema: vista la complessità e la connettività di un sistema di IA, l'operatore sarà, in molti casi, il primo punto di contatto visibile per la persona interessata.
Il regolamento non si occupa, invece, della tutela alle persone che subiscono danni (patrimoniali e non) a seguito dell'interferenza di un terzo, quale un hacker, in quanto l'interferenza costituisce sistematicamente un'azione basata sulla colpa, per cui il vigente diritto degli Stati membri in materia di responsabilità civile per colpa offre già, il più delle volte, un livello sufficiente di protezione, che andrà in ogni caso integrato con l’inclusione di casi specifici in cui il terzo sia irrintracciabile o insolvibile.
Per il PE il concetto di "produttore" dovrebbe includere i produttori, gli sviluppatori, i programmatori, i prestatori di servizi e gli operatori di back-end; e poi, in casi chiaramente definiti, dovrebbe essere valutata l'inversione dell'onere della prova per i danni causati dalle tecnologie digitali emergenti.
L’art. 3 della proposta di Regolamento “sulla responsabilità per il funzionamento dei sistemi di intelligenza artificiale” (che si compone di complessivi 14 articoli) contiene una serie di importanti definizioni:
è "sistema di intelligenza artificiale (IA)" il sistema basato su software o integrato in dispositivi hardware che mostra un comportamento che simula l'intelligenza, tra l'altro raccogliendo e trattando dati, analizzando e interpretando il proprio ambiente e intraprendendo azioni, con un certo grado di autonomia, per raggiungere obiettivi specifici;
è "autonomo" il sistema basato sull'intelligenza artificiale che opera interpretando determinati dati forniti, e utilizzando una serie di istruzioni predeterminate, senza essere limitato a tali istruzioni, nonostante il comportamento del sistema sia legato e volto al conseguimento dell'obiettivo impartito e ad altre scelte operate dallo sviluppatore in sede di progettazione;
un sistema di IA che opera in modo autonomo è ad "alto rischio" quando sussiste un potenziale significativo di causare danni o pregiudizi a una o più persone in modo casuale, e che va oltre a quanto ci si possa ragionevolmente aspettare; l'importanza del potenziale dipende dall'interazione dei vari possibili danni o pregiudizi, dal grado di autonomia decisionale, dalla probabilità che il rischio si concretizzi e dalla modalità e dal contesto di utilizzo del sistema di IA;
è "operatore" sia l’operatore di front-end, sia l’operatore di back-end, a condizione che la responsabilità di quest'ultimo non sia già coperta dalla direttiva 85/374/CEE;
è "operatore di front-end" la persona fisica o giuridica che esercita un certo grado di controllo su un rischio connesso all'operatività e al funzionamento del sistema di IA e che beneficia del suo funzionamento; è "operatore di back-end" la persona fisica o giuridica che, su base continuativa, definisce le caratteristiche della tecnologia e fornisce i dati e il servizio di supporto di back-end essenziale, e che pertanto esercita anche un elevato grado di controllo su un rischio connesso all'operatività e al funzionamento del sistema di IA; è  "controllo" qualsiasi azione di un operatore che influenza il funzionamento di un sistema di IA e, quindi, il grado in cui l'operatore espone terzi ai potenziali rischi associati all'operatività e al funzionamento del sistema di IA;
è "persona interessata" qualsiasi persona subisca danni o pregiudizi causati da un'attività, dispositivo o processo fisico o virtuale guidato da un sistema di IA, e che non sia l'operatore di tale sistema; 
è  "danno o pregiudizio” l’effetto negativo che influisce sulla vita, la salute, l'integrità fisica di una persona fisica, il patrimonio di una persona fisica o giuridica, o che causa un rilevante danno non patrimoniale che si traduce in una perdita economica verificabile.
È "produttore" quello definito all'articolo 3 della direttiva 85/374/CEE.
Per i sistemi di IA ad alto rischio il regolamento introduce all’art. 4 una espressa ipotesi di responsabilità oggettiva dell’operatore, esclusa solo se il danno o il pregiudizio è dovuto a cause di forza maggiore; si impone anche in tali casi la sussistenza di una copertura assicurativa della responsabilità civile, adeguata agli importi e all'entità del risarcimento previsti dagli articoli 5 e 6 dello stesso regolamento.
“L’'operatore di un sistema di IA ad alto rischio è oggettivamente responsabile di qualsiasi danno o pregiudizio causato da un'attività, dispositivo o processo fisico o virtuale guidato da tale sistema di IA”. Tutti i sistemi di IA ad alto rischio e tutti i settori fondamentali in cui sono utilizzati sono espressamente individuati in un documento allegato al regolamento.
“Gli operatori di sistemi di IA ad alto rischio non possono eludere la propria responsabilità sostenendo di avere agito con la dovuta diligenza, o che il danno o il pregiudizio sia stato cagionato da un'attività, dispositivo o processo autonomo guidato dal loro sistema di IA.”
Il regolamento dovrebbe, inoltre, prevalere sui regimi nazionali di responsabilità civile, in caso di discrepanze nella classificazione dei sistemi di IA ai fini della responsabilità oggettiva.
La scelta per una responsabilità oggettiva discende, per il legislatore europeo, da molteplici riflessioni.
Il regolamento dovrebbe consentire alla persona interessata di intentare azioni per responsabilità civile lungo tutta la catena di responsabilità e durante l'intero ciclo di vita di un sistema di IA. 
Dovrebbe anche riguardare, in linea di principio, tutti i sistemi di IA, a prescindere da dove operino e dal fatto che ciò avvenga fisicamente o virtualmente. 
La maggior parte delle azioni per responsabilità civile intentate a norma del regolamento dovrebbe riguardare, tuttavia, casi di responsabilità civile verso terzi in cui un sistema di IA operi in uno spazio pubblico ed esponga a rischio numerose persone. In tale situazione, spesso le persone interessate non saranno consapevoli del sistema di IA in funzione e non avranno vincoli contrattuali o giuridici con l'operatore. Se potessero far valere unicamente la responsabilità per colpa, potrebbero avere serie difficoltà a dimostrare la colpa dell'operatore. 
Senza contare che l’uso dei sistemi di IA nella vita quotidiana porterà a situazioni in cui la loro opacità (elemento "scatola nera") e la pluralità di soggetti che intervengono nel loro ciclo di vita renderanno estremamente oneroso o addirittura impossibile identificare chi avesse il controllo del rischio associato all'uso del sistema, o quale codice o input abbia causato l'attività pregiudizievole. Difficoltà aggravata dalla connettività tra sistemi, dalla dipendenza da dati esterni, dalla vulnerabilità a violazioni della cybersicurezza e dalla crescente autonomia dei sistemi (attivati dall'apprendimento automatico e dalle capacità di apprendimento profondo).
Questa autonomia potrebbe rendere molto difficile ricondurre determinate azioni a specifiche decisioni umane, prese durante la loro progettazione o il loro funzionamento. L'operatore di un siffatto sistema di IA potrebbe sostenere, ad esempio, che l'attività, il dispositivo o il processo fisico o virtuale che ha causato il danno o il pregiudizio fosse al di fuori del proprio controllo, in quanto attivato da un'operazione autonoma del proprio sistema di IA. Di conseguenza, vi potrebbero essere casi in cui l'attribuzione della responsabilità potrebbe essere iniqua o inefficiente o in cui la persona che ha subito un danno o un pregiudizio cagionato da un sistema di IA non possa dimostrare la colpa del produttore, di una terza parte che abbia interferito o dell'operatore, e non ottenga quindi alcun risarcimento. 
In caso di presenza di più di un operatore (es. un operatore di back-end e un operatore di front-end), tutti gli operatori dovrebbero essere responsabili in solido, fermo il diritto di rivalersi fra loro su base proporzionale. E le proporzioni della responsabilità dovrebbero essere determinate dal grado di controllo rispettivamente esercitato sul rischio connesso all'operatività e al funzionamento del sistema di IA.
A tal fine la tracciabilità dei prodotti deve essere migliorata, per consentire una efficace individuazione dei soggetti coinvolti nelle diverse fasi.
Tutte le attività, i dispositivi o i processi guidati da sistemi di IA che possono provocare danni o pregiudizi, ma che non sono indicati nell'elenco delle tecnologie ad alto rischio, dovrebbero continuare a essere soggetti ad un regime di responsabilità per colpa, a meno che non siano in vigore normative nazionali e una legislazione in materia di protezione dei consumatori più rigorose. 
Le leggi nazionali regoleranno anche i termini di prescrizione.
In tali casi la parte debole del rapporto dovrebbe essere tutelata sul piano processuale dall’inversione dell’onere della prova: una presunzione di colpa dell'operatore che dovrebbe potersi discolpare dimostrando di aver rispettato l'obbligo di diligenza.
“L'operatore non è responsabile se riesce a dimostrare che il danno o il pregiudizio arrecato non è imputabile a sua colpa per uno dei seguenti motivi:  a)    il sistema di IA si è attivato senza che l'operatore ne fosse a conoscenza e sono state adottate tutte le misure ragionevoli e necessarie per evitare tale attivazione al di fuori del controllo dell'operatore, oppure   b)   è stata rispettata la dovuta diligenza con lo svolgimento delle seguenti operazioni: selezionando un sistema di IA idoneo al compito e alle competenze, mettendo debitamente in funzione il sistema di IA, monitorando le attività e mantenendo l'affidabilità operativa mediante la periodica installazione di tutti gli aggiornamenti disponibili."
“L'operatore non può sottrarsi alla responsabilità sostenendo che il danno o il pregiudizio sia stato cagionato da un'attività, dispositivo o processo autonomo guidato dal suo sistema di IA. L'operatore non è responsabile se il danno o il pregiudizio è dovuto a cause di forza maggiore”.
Laddove, invece, il danno sia stato causato da un terzo che abbia interferito con il sistema di IA attraverso la modifica del suo funzionamento o dei suoi effetti, l'operatore dovrà comunque essere tenuto a corrispondere un risarcimento qualora il terzo sia irrintracciabile o insolvibile.
Per il PE anche un sistema di IA, non ancora valutato e classificato ad alto rischio (e quindi non incluso nello specifico elenco), in deroga al sistema della responsabilità per colpa, dovrebbe essere soggetto a responsabilità oggettiva in caso di incidenti ripetuti, con gravi danni o pregiudizi. 
Il meccanismo di tutela potrebbe essere individuato nell’effetto retroattivo dell'inclusione nell’elenco, a partire dal momento in cui si è verificato il primo incidente provocato dal sistema di IA in questione, che ha causato un grave pregiudizio.
Il sistema di tutela è poi integrato dalla previsione di lunghi termini prescrizionali per le attività ad alto rischio.
“Le azioni per responsabilità civile intentate” “per danni alla vita, alla salute o all'integrità fisica sono soggette a un termine di prescrizione speciale di 30 anni a decorrere dalla data in cui si è verificato il danno”.
“Le azioni per responsabilità civile intentate” “per danni al patrimonio o rilevanti danni non patrimoniali che risultino in una perdita economica verificabile sono soggette a un termine di prescrizione speciale di: 10 anni a decorrere dalla data in cui si è verificato, rispettivamente, il danno al patrimonio o la perdita economica verificabile derivante dal danno non patrimoniale rilevante o 30 anni a decorrere dalla data in cui ha avuto luogo l'attività del sistema di IA ad alto rischio che ha provocato il danno al patrimonio o il danno non patrimoniale”. 
Le azioni per responsabilità civile intentate per danni da attività di IA non ad alto rischio (art. 8, paragrafo 1 regolamento) sono soggette ai termini di prescrizione e agli importi ed entità di risarcimento delle leggi dello Stato membro in cui si è verificato il danno o il pregiudizio.
L’effettività del risarcimento per le attività ad alto rischio è garantita dalla quantificazione del danno operata dal regolamento e dall’obbligo assicurativo.
Tutti gli operatori di sistemi di IA ad alto rischio dovranno essere in possesso di un'assicurazione per responsabilità civile, regime obbligatorio che deve coprire gli importi e l'entità del risarcimento previsti dal regolamento; la Commissione dovrà collaborare con il settore assicurativo per verificare in che modo sia possibile utilizzare dati e modelli innovativi per creare polizze assicurative che offrano coperture adeguate a prezzi accessibili.
Con riferimento alle tecnologie di IA ad alto rischio il regolamento si sofferma anche sull’entità dei risarcimenti: è previsto un importo massimo di due milioni di EUR in caso di morte o in caso di danni alla salute o all'integrità fisica in conseguenza della messa in funzione di un sistema di IA ad alto rischio; fino a un importo massimo di un milione di EUR in caso di danni non patrimoniali rilevanti che risultino in una perdita economica verificabile, o in caso di danni al patrimonio, anche quando vari beni di proprietà di una persona siano stati danneggiati in conseguenza di un'unica messa in funzione di un unico sistema di IA ad alto rischio. Qualora la persona interessata possa far valere anche la responsabilità contrattuale nei confronti dell'operatore, non dovrebbe essere corrisposto alcun risarcimento ai sensi del regolamento se l'importo complessivo dei danni al patrimonio o il danno non patrimoniale rilevante ha un valore inferiore a 500 EUR.
L’auspicio del PE è che anche la questione del regime di responsabilità civile per l'IA sia oggetto di un ampio dibattito pubblico, che tenga conto di tutti gli interessi in gioco, partendo dagli aspetti etici, giuridici, economici e sociali, per evitare malintesi e timori ingiustificati. E che sia attuato un attento esame, all'interno di una valutazione d'impatto, delle conseguenze che il nuovo quadro normativo avrà su tutti gli attori e soggetti giuridici coinvolti.