Il contributo si propone di offrire una ricostruzione in chiave critica dell’approccio europeo alla responsabilità per i danni derivanti da sistemi di intelligenza artificiale (IA), con particolare riguardo alla nuova Direttiva sulla responsabilità per danno da prodotti difettosi, ormai in via di definizione, e alla Proposta di Direttiva sulla responsabilità da IA, le quali – stando all’originaria visione della Commissione europea – dovrebbero completare un sistema di regole ex ante, al cui vertice si pone il Regolamento noto come Legge sull’IA. Nella prima parte, il lavoro offre un’analisi dei presupposti concettuali e delle principali regole operazionali che sorreggono i progetti normativi in tema di responsabilità da IA, per poi, sulla scorta dei risultati di tale analisi, evidenzia le criticità che esibisce il sistema di responsabilità congegnato dall’Unione europea, specie sotto il profilo del rischio di frammentazione del quadro normativo e della difficile fruibilità, in ragione della loro complessità tecnica, delle soluzioni ideate dal legislatore per facilitare l’onere probatorio delle vittime. Nella seconda parte il lavoro sviluppa un’ipotesi ricostruttiva formulata sul modello della responsabilità “vicaria”. In particolare, si osserva che, ove oggetto di un’opportuna reinterpretazione in chiave evolutiva, la regola di responsabilità “vicaria” non solo offre un valido modello di base su cui elaborare il completamento del sistema di regole divisato dal legislatore europeo, ma può altresì rappresentare una base normativa potenzialmente idonea a fondare un addebito di responsabilità entro i confini nazionali.

SOMMARIO:

1. Introduzione. - 2. Il modello europeo di responsabilità da IA e il vincolo antropocentrico. - 3. Il pacchetto europeo in tema di responsabilità per danni associati a sistemi di IA. a) La Proposta di (nuova) Diretti-va sulla responsabilità per danno da prodotti difettosi. – b) La Proposta di Direttiva sulla responsabilità da IA. - 4. Prime riflessioni critiche sul pacchetto europeo in tema di responsabilità da IA. - 5. La (prospettata) responsabilità oggettiva dell’operatore per danni cagionati da sistemi di IA ad alto rischio nella Proposta di Regolamento del Parlamento europeo. - 6. La responsabilità "vicaria" del deployer: un’ipo¬tesi ricostruttiva. Sistema di imputazione e principi giustificativi dell'obbligazione risarcitoria per il fatto dell'ausiliario. - 7. La responsabilità del deployer nella prospettiva dell’art. 2049 c.c. - 8. Il fatto illecito dell’ausiliario nello spettro decisionale del sistema di IA. - 9. Dalla «non conformità» dell’azione umana alla «non conformità» della decisione algoritmica. - 10. Lo statuto giuridico dei sistemi di IA nella prospettiva della responsabilità "vicaria". - 11. La redistribuzione dei costi del danno: natura - NOTE

1. Introduzione.

La questione della responsabilità extracontrattuale per i danni associati ai c.d. sistemi di intelligenza artificiale (IA) continua a sollecitare l’interesse di una numerosa schiera di giuristi^[1], anche in ragione dei continui impulsi che, sul piano istituzionale, derivano dall’Unione europea. La premessa che fa da sfondo agli studi – dottrinali così come istituzionali – è ormai ben definita e pressoché indiscussa: le attuali norme di responsabilità sono inidonee a garantire una tutela efficace nell’ipotesi di danni connessi all’uso di prodotti e servizi algoritmici, specie ove basati sulle metodologie progettuali e funzionali sviluppate nel campo dell’intelligenza artificiale^[2]. Il problema risulta particolarmente avvertito in relazione a quella speciale classe di algoritmi che, operando secondo processi decisionali non univoci, fondati su approcci di apprendimento automatico (o machine learning) ^[3], sono in grado di generare output – quali previsioni, raccomandazioni e decisioni – non del tutto preconoscibili, determinabili o spiegabili, per i creatori dei sistemi e/o per gli operatori che li utilizzano. In questi casi, una serie di fattori tecnici dei sistemi di IA – principalmente: la complessità tecnica, la (parziale) autonomia, la dipendenza dai dati e l’opacità – può rendere eccessivamente difficoltosa o onerosa l’attivazione delle norme in tema di responsabilità, fino al punto di metterle completamente fuori gioco.

Al fine di garantire ai consociati una tutela risarcitoria efficace e ad ampio raggio all’interno della costituenda «società algoritmica», l’Unione europea ha intrapreso un percorso normativo di riforma, esitato in una serie di proposte legislative oggi in via di definizione. Il piano europeo contempla, allo stato attuale, due progetti di Direttive complementari dedicate, l’una, alla «modernizzazione» della normativa in tema di responsabilità da prodotto difettoso (Direttiva sulla responsabilità per danno da prodotti difettosi) e, l’altra, all’armonizzazione «mirata» di taluni aspetti delle norme nazionali di responsabilità per colpa (Direttiva sulla responsabilità da IA) ^[4], le quali completano un sistema di regole ex ante, al cui vertice si pone il Regolamento noto come Legge sull’IA ^[5].

Scopo di questo contributo non è di offrire un’analisi dettagliata delle menzionate normative, né di disputare singole regole tecniche che in esse sono destinate a trovare sede. L’analisi dei progetti normativi sarà invece funzionale a una ricostruzione in chiave critica dell’approccio europeo alla responsabilità da intelligenza artificiale, teso a valutare, attraverso il chiarimento dei presupposti concettuali e delle logiche tecniche che sorreggono i menzionati progetti normativi, in che misura le regole prospettate appaiono, sul piano teorico, informate da basi giuridicamente solide, anche alla luce delle dinamiche evolutive della responsabilità civile; nonché, sul piano operativo, idonee a garantire soluzioni tecniche sufficientemente incisive e resilienti rispetto al carico di innovazione tecnologica immesso nella società dalla diffusione dei processi decisionali algoritmici.

Gli esiti della ricerca, ancora provvisoria stante la non definitività di alcuni dei testi normativi presi in considerazione, mostreranno: (a) che il programma normativo predisposto dall’Unione europea soffre di una generale carenza di visione d’insieme, a sua volta riconducibile a un’impostazione teorica saldamente legata a paradigmi concettuali ideologicamente vincolati, la quale può minare i risultati applicativi cui esso ambisce; (b) che i paesi di tradizione europea dispongono di una regola di responsabilità – quella della c.d. responsabilità “vicaria” – che, per struttura e funzione, appare particolarmente adeguata ad affrontare – insieme ad altre – le problematiche associate all’uso di sistemi di IA, specie ove implicanti un rischio elevato per i consociati; (c) che, ove oggetto di un’opportuna reinterpretazione in chiave evolutiva, la regola di responsabilità “vicaria” non solo offre – de iure condendo – un valido modello di base su cui elaborare il completamento del sistema di regole divisato dal legislatore europeo, evitando la frammentazione delle istanze di tutela che esibisce il quadro normativo per come attualmente prospettato, ma può altresì rappresentare – de iure condito e, dunque, anche a prescindere da una sua formale riedizione in chiave algoritmica – una base normativa potenzialmente idonea a fondare un addebito di responsabilità entro i confini nazionali.

2. Il modello europeo di responsabilità da IA e il vincolo antropocentrico.

Prima di esaminare più nel dettaglio il contenuto delle proposte menzionate, conviene effettuare alcune preliminari considerazioni in ordine agli elementi qualificanti il sistema europeo di regolazione dell’IA. Queste saranno utili, oltre che a meglio comprendere talune scelte normative, a impostare utilmente le riflessioni critiche e le proposte ricostruttive che seguiranno.

Il pacchetto europeo in materia di responsabilità si innesta, integrandolo, all’interno di una più ampia strategia di politica del diritto sull’IA, improntata alla promozione – entro e fuori i confini europei (c.d. effetto Bruxelles) – di un’intelligenza artificiale «antropocentrica» e «affidabile» ^[6]. Fin dai primi documenti di policy, è emersa l’intenzione dell’UE di definire un modello normativo che consentisse di favorire lo sviluppo e lo sfruttamento dell’innovazione tecnologica, nel pieno rispetto dei diritti fondamentali degli individui e dei valori etico-giuridici che connotano la società europea ^[7]: solo conservando la centralità dell’essere umano – detentore di uno «status morale unico e inalienabile», rispetto al quale l’IA è mero «strumento posto al [suo] servizio» e in funzione del miglioramento del suo benessere – potrà crearsi la fiducia necessaria per lo sviluppo e la diffusione della nuova tecnologia ^[8].

Fuor di retorica, l’impostazione human-centric segna, spiegandola, l’opzione per un paradigma normativo di tipo regolamentare, votato alla gestione e minimizzazione (prima ma anche dopo l’immissione in mercato) dei rischi per la sicurezza e per i diritti fondamentali degli individui connessi all’utilizzo di sistemi di IA. D’altra parte, né la selezione, tramite mercato, dei prodotti e servizi algoritmici in concorrenza tra loro, né l’approntamento di rigide regole di responsabilità oggettiva sarebbero in grado, per sé sole, di garantire incentivi sufficienti ad eliminare o minimizzare i rischi associati alle applicazioni di IA, specie considerando gli effetti pregiudizievoli “occulti”, perché non facilmente identificabili dalle loro vittime ovvero “sistemici”, perché capaci di diffondersi rapidamente e capillarmente nella società, che possono derivare qualora tali rischi si concretizzassero in danni ^[9].

Il sistema di regole ex ante si sviluppa attorno al Regolamento noto come Legge sull’IA, proposto dalla Commissione nel 2021 e approvato dal Parlamento europeo nel mese di marzo 2024. Il Regolamento stabilisce divieti e obblighi armonizzati specifici per chi sviluppa, fornisce o utilizza sistemi di IA ovvero gli output di tali sistemi all’interno dell’Unione ^[10], seguendo un approccio proporzionato, basato sul grado di rischio associato al loro utilizzo. In estrema sintesi, il Regolamento prevede, in particolare: (i) un divieto assoluto per i sistemi di IA il cui uso comporta un rischio inaccettabile, perché contrario ai valori dell’UE e lesivi dei diritti fondamentali (art. 5); (ii) una serie di requisiti tecnici e obblighi diligenza specifici in capo ai fabbricanti, fornitori e deployer ^[11] di sistemi di IA «ad alto rischio», comportanti un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone (artt. 6 e ss.); (iii) alcuni obblighi minimi di trasparenza per specifici sistemi di IA il cui uso comporti un rischio basso o minimo (art. 50); (iv) talune regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali (art. 51)  ^[12]. La verifica del rispetto di tali obblighi è affidata ad apposite autorità competenti, legittimate a sanzionarne l’eventuale violazione (artt. 90 e ss.).

Va da sé che il quadro regolamentare di stampo pubblicistico, pur orientato alla garanzia di sorveglianza umana e di trasparenza nella progettazione e nell’utilizzo dei sistemi di IA, non elimina la necessità di approntare un efficace sistema di responsabilità, il quale conserva un fondamentale ruolo complementare, per assicurare la tutela privata delle vittime allorché i rischi si concretizzino in danni; nonché – più in generale – quale dispositivo retorico di rafforzamento della fiducia del pubblico nella possibilità di giovarsi dei benefici dell’IA, senza doversi gravare dei costi derivanti da decisioni per loro ingiustamente pregiudizievoli. È in questa duplice prospettiva che l’UE ha promosso, accanto al primo filone normativo, un intervento riformatore di adeguamento del sistema di responsabilità al nuovo contesto tecnologico, con l’obiettivo espresso – che di quell’intervento deve segnare la misura – di assicurare alle vittime di danni causati dall’IA un «livello di protezione equivalente» rispetto alle vittime di danni causati senza il concorso dell’IA ^[13]; al contempo evitando – com’è nella natura stessa di questi interventi – la frammentazione giuridica all’interno del mercato unico.

Analizzando i documenti preparatori dell’UE ^[14], si evince come l’istanza di adeguamento muova dalla necessità di superare, in particolar modo, due ordini di problemi giuridici, variamente connessi alla complessità, al grado di autonomia, alla capacità inferenziale e all’opacità che connotano i processi decisionali algoritmici, specie se associati all’utilizzo di sistemi di machine learning (c.d. effetto scatola nera).

Il primo problema riguarda l’individuazione del soggetto da convenire in giudizio per ottenere la riparazione del torto subito. La complessità tecnica alla base del funzionamento dei sistemi IA determina una moltiplicazione delle possibili fonti di “distorsione” dell’output, rendendo oltremodo difficoltoso o comunque oneroso – per l’attore “potenziale” – stabilire a quale dei numerosi soggetti che partecipano alla produzione della decisione algoritmica sia causalmente riconducibile il danno ad essa associato ^[15]. Le difficoltà risultano, sotto tale profilo, ulteriormente amplificate in ragione dell’incertezza che deriva dall’autonomia decisionale che sorregge taluni di questi sistemi e che, se non adeguatamente appianata mediante preventive scelte legislative, scarica sull’attore il costo, in termini di rischio, di decidere chi debba rispondere di un eventuale comportamento autonomo lesivo, assegnando al convenuto un’arma per rifuggire da un eventuale addebito di responsabilità ^[16].

Il secondo problema riguarda la difficoltà – per l’attore che si sia determinato ad agire in giudizio – di raccogliere gli elementi probatori necessari e sufficienti a provare tutti gli elementi costitutivi alla base del modello di responsabilità che si è scelto di attivare. Su questo versante, gli ostacoli si legano più strettamente all’elevato grado di opacità dei sistemi di IA ^[17] che, oltre a intensificare il problema della ricerca del convenuto sopra evidenziato, può altresì impedire la prova in giudizio della connessione causale tra la natura lesiva dell’output e un difetto del sistema (qualora si sia agito contro il produttore) o una colpa addebitabile al partecipante alla catena di produzione dell’output convenuto in giudizio, qualora si agisca secondo il tradizionale modulo di responsabilità per colpa. Si tratta, a ben vedere, di problemi tra loro strettamente collegati, ma non identici: il secondo emerge a valle del primo, nel senso che presuppone che la vittima abbia già selezionato il convenuto o i convenuti a cui il danno ritiene sia da addebitare, decidendo di affrontare i costi e i tempi che conseguono alla loro chiamata in giudizio.

Precisati il ruolo e la funzione della responsabilità in tema di IA, nonché le ragioni e la misura dell’in­tervento riformatore, resta infine da osservare – e il dato acquisirà particolare rilevanza nel prosieguo – che anche l’approccio sul versante della responsabilità risulta imbevuto dell’istanza antropocentrica, la cui tensione a preservare la centralità dell’essere umano penetra nella trama progettuale intessuta dal legislatore, condizionando il contenuto tecnico delle soluzioni proposte, sotto diversi profili.

Per un verso, la “riserva di umanità” ^[18] si riflette, fondandola, nell’affermazione secondo cui qualsiasi cambiamento del quadro giuridico in tema di responsabilità «dovrebbe iniziare con il chiarimento che i sistemi di IA non possiedono né una personalità giuridica né una coscienza umana e che il loro unico compito consiste nel servire l’umanità» ^[19]. La precisazione si riallaccia, per rifiutarla, a quella tesi – avanzata dapprima in senso alla dottrina tedesca e statunitense ^[20] e rimbalzata poi sullo stesso tavolo istituzionale europeo ^[21] – che, lungo il crinale di una soggettività intesa in senso puramente tecnico e patrimonialistico, aveva ipotizzato di istituire taluni sistemi di IA come «persone elettroniche», per farne il centro di imputazione finale di vicende lesive dalle matrici causali difficilmente decifrabili. Anche la dottrina prevalente si è espressa sul­l’ipotesi in termini prevalentemente negativi, ritenendo che una tale soluzione si rivelerebbe poco utile, perché non riuscirebbe a eliminare il problema – di cui l’imputazione materiale del danno è solo strumentale – di individuare il patrimonio mediante il quale riparare il pregiudizio patito dal terzo innocente ^[22]; se non addirittura dannosa, poiché dietro il “velo digitale” della personalità elettronica, si determinerebbe una limitazione della responsabilità patrimoniale dei soggetti potenzialmente coinvolti nel fatto dannoso (il fabbricante, il fornitore, l’operatore o il deployer), con proporzionale riduzione degli incentivi all’adozione di adeguate cautele ^[23]. Ciò che interessa qui rilevare, tuttavia, è che, contrariamente alla dottrina, l’UE riconduce tale rifiuto non già a ragioni tecnico-giuridiche, bensì alla premessa ideologica del quadro normativo da cui il modello europeo di regolazione deve muovere. Il che, sul versante della responsabilità, si risolve, come si avrà modo di osservare meglio nel prosieguo, nella necessità di costruire regimi di responsabilità fondati sull’implicita identità ontologica tra il sistema di IA, le sue componenti e, finanche, le sue decisioni, da un lato, e le cose (o i prodotti) che da sempre popolano la realtà offline, dall’altro.

Per altro verso, la centralità dell’essere umano – il quale deve sempre essere (percepito dai consociati come) in grado di mantenere il controllo sull’operato del sistema di IA – si traduce nella ricerca, espressa negli studi preparatori e riflessa nel contenuto delle proposte, di soluzioni che assicurino che l’imputazione del danno patito dalla vittima (ove non difettoso) si realizzi solo ove questo sia espressione di una condotta “rimproverabile” di uno dei componenti della catena del valore, di modo che ciascuno si assuma la responsabilità – morale oltre che giuridica – del proprio operato: d’altra parte, sottolineano le istituzioni, i danni associati ai sistemi di IA «sono quasi sempre il risultato della creazione, della diffusione o dell’interferenza con i sistemi da parte di qualcuno […]» ^[24].

L’analisi dell’impianto normativo di (parziale) armonizzazione messo a punto dall’UE, tuttavia, consente di rilevare una particolare tensione tra il perseguimento degli obiettivi prefissati dal legislatore e la logica antropocentrica che pervade il sistema di responsabilità, la quale si traduce in una disciplina frammentata idonea sì ad agevolare la vittima nel sostegno di una domanda risarcitoria, ma non anche nell’individuazione del soggetto contro cui rivolgere la stessa.

3. Il pacchetto europeo in tema di responsabilità per danni associati a sistemi di IA. a) La Proposta di (nuova) Diretti-va sulla responsabilità per danno da prodotti difettosi. – b) La Proposta di Direttiva sulla responsabilità da IA.

a) – Al fine di dare corso al rilievo formulato, occorre dapprima volgere l’attenzione ai due progetti di direttiva che, in concorso tra loro^[25], sono chiamati a costituire un sistema di responsabilità idoneo ad assicurare l’equivalenza della protezione, nel rispetto del vincolo antropocentrico.

Il primo, ormai prossimo alla definitiva adozione, mira a modernizzare, sostituendola, la Direttiva 85/374/CEE in tema di prodotto difettoso. Com’è noto, la normativa contempla una regola di responsabilità più rigorosa di quella fondata sulla colpa, ispirata alla logica del rischio d’impresa ^[26], in base alla quale il produttore risponde dei danni – a persone o cose – derivanti dall’utilizzo di un prodotto da parte dei consumatori, laddove sia possibile dimostrare che l’accadimento dannoso sia causalmente riconducibile a un difetto dello stesso. La nuova Direttiva, pur riproducendo la struttura e la logica di fondo della precedente disciplina, introduce rilevanti modifiche nel tentativo di farla aderire a un contesto sociale profondamente mutato in ragione della proliferazione di prodotti ad alto contenuto tecnologico, la cui costante interazione con il flusso di dati provenienti dalla rete virtuale ne moltiplica, oltre alle funzionalità, anche le possibili fonti dei malfunzionamenti all’origine dei danni.

In via di estrema sintesi, l’adeguamento operato dalla nuova normativa – destinata ad avere un campo di applicazione ben più ampio di quello segnato dai danni cagionati dai sistemi di IA– muove lungo tre principali linee direttrici ^[27], ciascuna delle quali intercetta un nodo strutturale fondamentale del modello di responsabilità in esame.

La prima concerne la nozione di «prodotto» rilevante ai fini della normativa, che viene estesa agli elementi che ne determinano la natura digitale. Essa comprenderà, in particolare: (i) il software, sia quello integrato in un dispositivo, sia quello utilizzato tramite tecnologie cloud (ad esclusione del codice sorgente e del software libero); (ii) i file per la fabbricazione digitale, che contengono le istruzioni necessarie per produrre beni materiali attraverso il controllo automatizzato di macchine o strumenti; (iii) i servizi digitali correlati, integrati o interconnessi al sistema, quali la fornitura continuativa di dati, necessari per il funzionamento di un prodotto, ove siano sottoposti al controllo del fabbricante di tale prodotto ^[28]. Ne consegue che l’azione di responsabilità per il danno (a cose, persone ma, nella nuova Direttiva, anche ai dati) ^[29] cagionati dal prodotto difettoso può essere mossa direttamente non solo contro il fabbricante (o l’operatore economico ad esso assimilato) ^[30] dell’hardware, ma anche contro lo sviluppatore di software, compreso il fornitore di sistemi di AI, come definito nel Regolamento sull’IA, nonché nei confronti del fornitore dei servizi digitali, ma solo laddove i servizi possano essere considerati sotto il governo tecnico del fabbricante (nel qual caso si potrà agire contro lo stesso fabbricante). Resta in ogni caso impregiudicata la possibilità per la presunta vittima di muovere un addebito di responsabilità al fornitore del servizio digitale secondo le ordinarie norme nazionali, di regola configurate per tali ipotesi attorno al requisito della colpa.

La seconda linea di modifiche investe il concetto di «difetto», per il cui riscontro – secondo il tradizionale medium rappresentato dell’«aspettativa di sicurezza» della massa (potenziale) degli utenti – occorre prendere in considerazione una serie più ampia di circostanze, legate alla natura e ai rischi specifici dei prodotti dell’era digitale (e dell’economia circolare). In tal senso, la Direttiva contempla la possibilità che la natura difettosa del prodotto derivi da elementi che sopraggiungono alla sua messa in circolazione, in virtù dal suo costante collegamento alla rete virtuale ^[31], quali un errore nella fornitura di dati nell’ambito dei servizi digitali correlati, negli aggiornamenti o migliorie apportati al software successivamente all’immissione in mercato o, ancora, la mancanza di aggiornamenti o migliorie del software necessari per mantenere la (ciber)sicurezza del prodotto ed evitare possibili intrusioni di terzi, il cui concorso nella causazione del danno, peraltro, non esclude la responsabilità del fabbricante ^[32]. Nel valutare la sicurezza del prodotto, evidenzia inoltre il legislatore, occorre altresì tenere conto degli «effetti sul prodotto che ci si può ragionevolmente attendere siano utilizzati insieme al prodotto», nonché «degli effetti sul prodotto dell’eventuale capacità di continuare a imparare dopo la sua diffusione».

Il terzo snodo della Proposta concerne la rete di agevolazioni processuali riconosciute alla vittima, perlopiù tesa, nella logica di rinnovazione della normativa, a superare i problemi di “opacità” che connotano il funzionamento dei dispositivi dotati di intelligenza. La strategia non è nuova alla disciplina della responsabilità del produttore. Uno dei tratti distintivi della Direttiva del 85/374/CEE era rappresentato – e continuerà ad esserlo nella sua nuova versione – dalla “sintesi” operata sul piano del nesso eziologico, ridotto al solo legame tra difetto del prodotto e danno patito, di modo da sgravare la vittima dall’onere di ricercare e dimostrare le cause – tutte interne all’organizzazione e produzione aziendale – all’origine del malfunzionamento del prodotto. L’originario effetto agevolativo risulta nella nuova Direttiva ulteriormente amplificato, per mezzo di una serie di meccanismi processuali – previsti agli artt. 9 e 10 – che dovrebbero facilitare (pur senza invertirlo, precisa la Direttiva) la prova del difetto e/o del nesso causale da parte dell’attore.

L’art. 9 prevede un obbligo di divulgazione dei pertinenti elementi di prova a carico del danneggiante, su ordine del giudice, previa apposita sollecitazione da parte dell’attore che abbia dimostrato, adducendo fatti e prove sufficienti, la plausibilità delle proprie ragioni ^[33]. La norma ripropone la misura introdotta con la Direttiva sul danno antitrust (art. 5 Direttiva (UE) 104/2014 e art. 3 d.lgs. n. 3/2017) al fine di alleviare la forte asimmetria informativa che – in quell’ambito come in questo, sebbene per ragioni diverse – connota la posizione delle parti in causa. Il giudice dovrà valutare la sussistenza delle condizioni dell’ordine di esibizione, selezionare gli elementi di prova rilevanti ai fini della causa e proporzionali rispetto alla decisione da assumere, nonché adottare, se del caso, i provvedimenti necessari a tutelare informazioni qualificabili in termini di segreto commerciale. Diversamente da quanto previsto per l’illecito antitrust, il mancato ottemperamento all’ordine di esibizione è qui “sanzionato” attraverso la previsione di una presunzione relativa di difettosità del prodotto (art. 10, par. 2, lett. a). La regola riveste particolare interesse perché, ove opportunamente interpretata, induce a qualificare come “difettoso” ogni dispositivo che non sia stato progettato in modo tale da renderne conoscibile e comprensibile il funzionamento tecnico. In questa prospettiva, essa è suscettibile di trovare ulteriori sviluppi, nella più ampia prospettiva di disincentivare la messa in circolazione di dispositivi di cui non è possibile conoscere ex post il funzionamento, mediante l’equiparazione della loro forza lesiva a quella propria di un prodotto difettoso.

Oltre a quanto già menzionato, l’art. 10 contempla una presunzione relativa di difetto del prodotto ^[34], allorché non siano stati rispettati i requisiti obbligatori di sicurezza stabiliti dal diritto dell’Unione o nazionale intesi a proteggere dal rischio del danno verificatosi ovvero sia stato provato che il danno deriva da un malfunzionamento evidente del prodotto (art. 10, par. 2, lett. b e c); una presunzione relativa di nesso di causa, se si dà prova che il prodotto è difettoso e che la natura del danno cagionato è generalmente coerente con il difetto in questione (art. 10, par. 3); e, ancora, una presunzione relativa dell’uno, dell’altro o di entrambi, qualora l’eccessiva difficoltà della loro prova dipenda dalla complessità tecnica o scientifica del prodotto ovvero che l’attore dimostri che è probabile che il prodotto sia difettoso, oppure che il carattere difettoso dello stesso è una causa probabile del danno, o entrambi tali elementi (art. 10, par. 4, lett. a) e b).

Se le presunzioni di cui all’art. 10, par. 2 e 3 non paiono destare particolari difficoltà, facendo semmai dubitare (ad eccezione di quella legata all’ordine di divulgazione) della loro incisività, maggiori perplessità solleva l’ultima delle presunzioni menzionate, sia per la natura ambigua del fraseggio utilizzato (non essendo chiaro, in particolare, quale sia lo standard per determinare la sussistenza di «difficoltà eccessive», né come debba intendersi il requisito del «contributo» del prodotto nel causazione del danno, né, ancora, quale sia la soglia di «probabilità» del difetto e del nesso la cui prova è necessaria per accedere alla presunzione), sia per la possibilità di incrociare gli effetti agevolativi sul piano del difetto e del nesso di causa. La norma, pensata per agevolare la vittima proprio nelle ipotesi di danni cagionati da prodotti tecnologicamente più avanzati, quali i sistemi di IA, appare mossa dall’intento di ridurre in tali ipotesi l’onere probatorio a carico della vittima alla sola prova del nesso tra il danno e l’utilizzo di un sistema di IA, lasciando al produttore il più gravoso compito di dimostrare la sicurezza del prodotto e, insieme, la sua estraneità al danno patito (sul piano della causalità individuale). Un tale sviluppo, che in parte tradisce la stessa logica originaria della Direttiva, rischia, ove non sorretto da una più precisa definizione delle condizioni di operatività delle presunzioni, di generare contenziosi oltremodo complessi, a detrimento sia dei fabbricanti, chiamati a rispondere (o quantomeno difendersi) anche per i danni che probabilmente sono stati cagionati dalla natura probabilmente difettosa del prodotto; sia degli attori, incentivati dalle presunzioni a muovere la propria azione risarcitoria, in relazione a danni di cui non sia certa l’origine causale, contro i fabbricanti, nonostante il patrimonio tecnico-informativo di cui questi godono per ribaltare gli addebiti di responsabilità.

b) – È appena il caso di precisare che la Direttiva sul prodotto difettoso, pur nella versione rieditata proposta dalla Commissione, coprirebbe solo una limitata area dei possibili danni associati all’utilizzo di sistemi di IA: essa lascerebbe fuori quadro, in particolare, i danni derivanti da difetti nella fornitura di servizi non sottoposti al controllo del fabbricante; i danni non riconducibili a un difetto del sistema di IA o di un suo componente; i danni derivanti da violazioni di diritti fondamentali, quali violazioni della protezione dei dati o della vita privata o discriminazioni (ad esempio a causa di un software basato sull’IA per l’assunzione di personale), siano essi riconducibili o meno a un difetto del sistema. Fin dall’inizio della fase di studio, è parso evidente che per assicurare un’IA affidabile occorresse intervenire legislativamente anche in relazione a tali ipotesi dannose. Si potrebbe anzi affermare che è precisamente su questo fronte che si gioca la partita di politica del diritto più delicata in materia di responsabilità da intelligenza artificiale.

Non a caso l’Unione europea mostra su tali aspetti una particolare cautela. Stretta tra l’esigenza di scongiurare una frammentazione del quadro normativo, ma forse non ancora pronta a scelte definitive circa il regime di responsabilità oggettiva più adeguato, la Commissione ha proposto un intervento normativo di armonizzazione minima e mirata, volta a fissare uno standard minimale di agevolazione probatoria per le azioni nazionali di responsabilità per colpa ove attivate in relazione a danni causati da un sistema di IA non difettoso; lasciando, però, la possibilità per l’attore di invocare norme nazionali più favorevoli, comprese eventualmente le norme nazionali di responsabilità oggettiva «possibilmente applicabili ai danni causati da sistemi di IA» ^[35].

La Proposta di direttiva sull’IA presenta stretti profili di correlazione con la disciplina della c.d. legge sull’IA, essendo stata concepita (in larga misura) come strumento di private enforcement complementare al proponendo Regolamento, che nulla prevede sotto il profilo rimediale. La Direttiva si propone dunque di favorire la risarcibilità dei danni derivanti dalla violazione di taluni degli obblighi imposti ai fornitori, alle persone soggette agli obblighi del fornitore e agli operatori (rectius: deployer) ^[36], specie di sistemi di IA ad alto rischio utilizzati in ambito professionale; circostanza che, come si avrà modo di rimarcare, restringe non di poco il campo di applicazione della normativa ^[37].

Sotto il profilo contenutistico, la Proposta di direttiva sull’IA reca una disciplina scarna, constando di soli nove articoli, ma, ciononostante, alquanto (e forse eccessivamente) complessa. I problemi di responsabilità da IA sono filtrati e affrontati – in ragione dell’impostazione prescelta – nella prospettiva di una regola di responsabilità incentrata sull’azione o omissione colposa di una persona, anziché (direttamente) sul danno prodotto dal sistema di IA, il quale si limita – nella logica seguita dalla Commissione – a «[interporsi] tra l’azio­ne o omissione di una persona e il danno» ^[38]. Questa impostazione incide plasticamente sulla stessa struttura della fattispecie, la quale è costruita scindendo la linea causale tra la condotta colposa e il danno, in due distinti segmenti: un primo nesso di causalità intercorrente tra l’output del sistema di IA e il danno patito (secondo la struttura tipica delle ipotesi di responsabilità oggettiva); un secondo nesso intercorrente tra l’azione o omissione colposa di una persona e la produzione dell’output (o l’omessa produzione dell’output) da cui si è originato l’evento dannoso. Più precisamente, la Proposta prende in considerazione le sole ipotesi in cui l’output sia causalmente riconducibile a una colpa specifica del danneggiante, consistente nella «non conformità a un obbligo di diligenza previsto dal diritto dell’UE o dal diritto nazionale». Rispetto al quadro così delineato, la Proposta di direttiva introduce alcune misure volte ad alleggerire l’onere probatorio e facilitare – almeno questo è l’obiettivo – l’esito positivo delle azioni di responsabilità giustificate. In particolare, si prevede un obbligo di divulgazione degli elementi di prova per consentire all’attore di motivare adeguatamente la domanda di risarcimento; e una duplice presunzione relativa – operante, l’una, sul versante della colpa e, l’altra, sul nesso di causalità tra colpa e danno – per alleggerire l’onere probatorio dell’attore. Restano, invece, interamente a carico della vittima la prova del danno, nonché del primo nesso di causalità – quello tra output e danno.

L’obbligo di divulgazione o conservazione degli elementi di prova opera esclusivamente nei confronti del fornitore, della persona soggetta agli obblighi del fornitore ^[39] o dell’utente (ora deployer) di un sistema di IA ad alto rischio che si sospetta abbia cagionato il danno, ai quali può essere richiesto di fornire gli elementi di prova necessari e proporzionati a sostenere una domanda risarcitoria per colpa. L’ordine di disclosure può essere emanato dall’organo giurisdizionale nazionale sia nel corso del giudizio, su richiesta dell’attore, purché questi abbia previamente compiuto ogni sforzo proporzionato per ottenere tali elementi di prova dal convenuto (art. 3, par. 2); sia fuori dal giudizio, su richiesta di un «attore potenziale», purché, in tale secondo caso, questi abbia già inoltrato a una delle predette persone la richiesta di divulgazione, rimasta inevasa, e la richiesta sia sorretta da fatti e prove sufficienti a sostenere la «plausibilità» della domanda di risarcimento del danno ^[40].

Qualora un convenuto “effettivo” non ottemperi all’ordine di disclosure, l’attore potrà avvalersi di una presunzione relativa «di non conformità a un pertinente obbligo di diligenza da parte del contenuto, che gli elementi di prova richiesti erano intesi a dimostrare ai fini della domanda di risarcimento del danno». La presunzione di colpa, tuttavia, ha un ambito applicativo ancora più ristretto del meccanismo di divulgazione: dal combinato disposto dell’art. 3, par. 5 e art. 4, par. 2, si evince come essa possa operare solo nel contesto di domande di risarcimento presentate contro un fornitore di un sistema di IA ad alto rischio o una persona soggetta agli obblighi del fornitore a norma della legge sull’IA, non anche nei confronti del deployer ^[41].

La seconda presunzione, quella operante sul piano del nesso di causalità tra la condotta colposa e l’output prodotto dal sistema di IA, è destinata ad avere un ambito applicativo più ampio, potendo – almeno in taluni casi – prescindere sia dalla specifica violazione degli obblighi previsti dal Regolamento, sia dalla qualifica del sistema come ad alto rischio. La presunzione è subordinata al soddisfacimento di tre requisiti generali, valevoli nei confronti di tutti i soggetti convenuti ai quali può essere addebitata la violazione di un obbligo di diligenza previsto dal diritto dell’UE o dal diritto nazionale stabiliti, a cui si aggiungono una serie di ulteriori condizioni differenziate a seconda della qualifica del soggetto o del tipo di sistema di IA o, ancora, del tipo di attività nell’ambito del quale ci si è avvalsi dell’output. Per potersi avvalere della presunzione occorre a) che l’attore provi, o l’organo giurisdizionale presuma, «la colpa del convenuto (o di una persona della cui condotta il convenuto è responsabile), consistente nella non conformità a un obbligo di diligenza previsto dal diritto dell’Unione o nazionale e direttamente inteso a proteggere dal danno verificatosi»; b) che sia «ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull’output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema»; c) che l’attore provi «che il danno è stato causato dall’output prodotto dal sistema di IA o dalla mancata produzione di un output da parte di tale sistema».

Da tali requisiti sembra potersi delineare una differenziazione nei criteri di accertamento dei due segmenti causali. Se con riguardo al nesso di causa tra output e danno appare possibile procedere ad un accertamento mediante un più tradizionale giudizio esplicativo ex post volto a ricostruire l’effettiva concatenazione naturalistica degli eventi, per accertare il nesso di causa tra colpa e output risulta necessario procedere mediante un giudizio di prognosi postuma, al fine di verificare che se l’osservanza della regola cautelare violata dal convenuto avrebbe impedito il verificarsi dell’evento dannoso o meglio, per dare una lettura più coerente al testo, avrebbe impedito la produzione, o mancata produzione, di quel determinato output, poi a sua volta rivelatosi dannoso per la vittima in giudizio ^[42]; il tutto salvo che operi la presunzione iuris tantum di cui all’art. 3.

Se le condizioni generali per l’attivazione della presunzione sembrano, pur con qualche imprecisione e incertezza, idonee ad assicurare un ragionevole bilanciamento nella distribuzione degli oneri probatori, le condizioni specifiche, stabilite dai paragrafi 2 e ss., rischiano di complicare non poco la valutazione in ordine alla possibilità per la vittima di avvalersi della presunzione, specie in ragione dell’utilizzo di una terminologia eccessivamente elastica che può alimentare, anziché ridurre, i profili di disputa tra le parti. Si prevede, in estrema sintesi, che: ove la domanda sia presentata nei confronti del fornitore (o persona soggetta ai suoi obblighi) ovvero nei confronti dell’utente (ora deployer) soggetto agli obblighi della Legge sull’IA, la presunzione può scattare solo se sia dimostrata l’inosservanza di alcuni requisiti specificamente elencati dalla normativa (art. 4, parr. 2 e 3) e sempreché il convenuto non abbia dimostrato che l’attore può «ragionevolmente» accedere ad elementi di prova «sufficienti» per dimostrare l’esistenza del nesso di causa (par. 4); ove la domanda riguardi un sistema di IA non classificato come ad alto rischio, la presunzione di causalità si applica solo se l’organo giurisdizionale ritiene «eccessivamente» difficile per l’attore dimostrare l’esistenza del nesso di causa (par. 5) ^[43]; infine, ove la domanda riguardi un sistema di IA utilizzato nel corso di un’attività personale non professionale, la presunzione si applica solo se «il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l’obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l’ha fatto» (par. 6).

4. Prime riflessioni critiche sul pacchetto europeo in tema di responsabilità da IA.

Lo sforzo profuso dalle istituzioni europee nell’elaborazione di un quadro normativo più aderente al nuovo contesto tecnologico non può che essere accolto con favore, specie laddove le nuove disposizioni siano in grado di incentivare la progettazione di sistemi di IA rispondenti ad elevati standard di sicurezza e trasparenza e il mantenimento degli stessi lungo tutto il loro ciclo di vita. Le iniziative legislative che ne sono scaturite, tuttavia, lasciano non poche perplessità, tanto sul fronte delle premesse teoriche che le sorreggono, tanto, e di conseguenza, sul fronte delle regole operazionali che a tali premesse dovrebbero dare concreta attuazione.

Se la linea di riammodernamento della responsabilità da prodotto difettoso appare, in termini generali, condivisibile, a meritare ulteriori riflessioni sono le scelte normative opzionate con riferimento agli altri partecipanti alla catena di produzione degli output dei sistemi di IA. A sorprendere, in particolare, è la scelta di eleggere la colpa quale criterio generale di imputazione dei danni scaturiti dall’uso di sistemi di IA (al di fuori, va da sé, delle ipotesi in cui il sistema si presenti difettoso). La scelta appare criticabile anzitutto per l’assunto sistematico su cui riposa: quello secondo cui la colpa conserverebbe una centralità, negli ordinamenti degli stati dell’Unione, tale da farne assumere un ruolo di preminenza su tutti gli altri criteri di imputazione. Già un’analisi condotta ad ampio raggio e in chiave comparata della giurisprudenza, oltre che dell’imponente opera dottrinale sul tema, consentirebbe di evidenziare, se non il carattere recessivo della colpa, quantomeno la costante espansione dell’area della responsabilità oggettiva e della responsabilità per colpa presunta ^[44]. Ma il rapporto di gerarchia, quand’anche ancora esistente, sarebbe in ogni caso ribaltato se il campo di analisi fosse ristretto alle sole ipotesi di danni cagionati da quelle «entità strumentali» – siano esse cose inanimate o persone umane – della cui mediazione il consociato abbia scelto di servirsi per “operare” nel contesto sociale ed economico, pur nella consapevolezza di non poter esercitare, sugli “atti” di tali cose o sulle azioni di tali persone, un pieno controllo materiale ^[45]; e/o alle ipotesi lesive di origine tecnologica, in cui l’elevato tasso di tecnica coinvolto nella vicenda lesiva rende più problematica, perché meno trasparente, la ricostruzione delle sequenze causali che dovrebbero collegare un determinato danno a una determinata condotta umana. È ben noto come queste siano aree tradizionalmente servite da regole di responsabilità oggettiva (o, quantomeno, non fondate direttamente sulla colpa del responsabile), i cui principi e le cui strutture consentono di tradurre il rischio di danno, dalle incerte connessioni causali, in un costo da addossare, secondo una valutazione politica compiuta ex ante, al soggetto ritenuto meglio in grado di sostenerne il peso economico e/o di prendere le iniziative necessarie all’abbattimento del numero e gravità degli incidenti ^[46]. D’altra parte, le due presunzioni cui è affidato l’intero (o quasi) progetto di adeguamento delle regole di responsabilità nella direttiva sull’IA non appaiono per sé sole in grado di reggere il peso delle dirompenti novità prodotte dalle tecnologie emergenti nel campo dell’IA ^[47]. È vero che, sul piano pratico, esse contribuirebbero a far tendere il regime per colpa verso una regola di responsabilità oggettiva, facendolo così scivolare in quella zona intermedia in cui è il convenuto a dover sostenere il maggior carico probatorio per dimostrare la correttezza del proprio operato ^[48]. Tuttavia, specie per come attualmente configurate, l’effettiva operatività di tali regole appare limitata, sia perché circoscritte a ipotesi in cui il danno sia riconducibile alla violazione di taluni specifici requisiti e obblighi di diligenza, in capo a taluni specifici soggetti; sia perché subordinate a criteri complessi e poco sicuri. Il rischio, in ultima analisi, è di veder traslare le incertezze registrate sul piano della prova degli elementi costitutivi della responsabilità civile, che fondano l’intervento normativo, sul diverso piano della dimostrazione degli elementi necessari per attivare le presunzioni processuali, che quelle incertezze mirano ad appianare.

Ma, al di là di tali profili, residuerebbero altre e più rilevanti ragioni di policy per sciogliere l’ambiguità, preferendo il secondo modello al primo. Le ragioni vanno ricondotte all’esigenza di ovviare alla carenza di prospettiva di insieme di cui sembra soffrire l’approccio delle istituzioni e che impedisce una più coerente e coesa risposta normativa al problema sotteso alla responsabilità dei sistemi di IA. Le diverse iniziative eurounitarie, invero, riflettono un modo di procedere per compartimenti stagni, che si sostanzia nell’isolare le diverse fattispecie di responsabilità a seconda della posizione o qualifica attribuibile al potenziale danneggiante e a ricercare, per ciascuna, le soluzioni più adatte per contemperare le esigenze di tutela della vittima con quelle di sviluppo e promozione delle nuove tecnologie.

In tal modo, tuttavia, si pone sullo sfondo la posizione della vittima, la cui esposizione al pericolo – il pericolo di subire un pregiudizio in ragione dell’output o mancato output del sistema IA (per usare il linguaggio marcatamente asettico e matematico proposto dall’UE) – si configura, dal suo punto di vista, in termini unitari, prescindendo dalla numerosa schiera di operatori economici o non, che può aver influenzato il risultato del processo decisionale intrapreso dal sistema di IA. Una tutela effettiva ed equivalente delle potenziali vittime di danni associati ai sistemi di IA dovrebbe allora transitare per la garanzia di un rimedio costruito in termini altrettanto unitari, che consenta loro di accedere alla tutela risarcitoria riducendo, nella misura del possibile, la (preliminare) esatta identificazione delle “colpe” e dei “rischi” di cui il danno rappresenta concretizzazione. Sarebbe questa, d’altra parte, un’impostazione coerente con il fine primario sotteso alla costruzione di regole di responsabilità oggettiva: che non è tanto quello di passare da un criterio “individualistico a uno sociale, da uno discrezionale ad uno automatico, ma quello di spostare l’attenzione dal danneggiante al danneggiato, valutando in questa prospettiva gli interessi in conflitto, l’amministrazione dei costi e via dicendo” ^[49].

5. La (prospettata) responsabilità oggettiva dell’operatore per danni cagionati da sistemi di IA ad alto rischio nella Proposta di Regolamento del Parlamento europeo.

La prospettiva di introdurre una responsabilità speciale di tipo oggettivo non è stata del tutto scartata dalle istituzioni dell’UE. La stessa Proposta di direttiva sull’IA prevede un meccanismo di revisione per valutare, a distanza di 5 anni dal recepimento della stessa, l’efficacia delle regole fissate dagli artt. 3 e 4 e, se del caso, l’introduzione di uno speciale regime armonizzato di responsabilità oggettiva per i sistemi di IA ad alto rischio in capo agli operatori (eventualmente abbinata a un’assicurazione obbligatoria)^[50]. A tal fine, la Commissione fa esplicito richiamo alla Proposta di Regolamento, formulata un paio di anni prima, con la quale il Parlamento europeo aveva caldeggiato l’introduzione (accanto alla responsabilità da prodotto difettoso) di uno specifico regime di responsabilità in capo all’operatore^[51]. Occorre subito precisare che la nozione di operatore proposta dal Parlamento in quella sede era più ampia di quella di “deployer” che lo stesso Parlamento ha accolto nella Legge sull’IA (allora non ancora elaborata): con tale formula si identificava sia la persona che in primis decide in merito all’utilizzo del sistema di IA, esercitando un certo grado di controllo su un rischio connesso alla sua operatività e funzionamento e che «beneficia del suo funzionamento» (c.d. operatore front-end) ^[52]; sia la persona che, su base continuativa, definisce le caratteristiche della tecnologia e fornisce i dati e il servizio di supporto essenziali e pertanto esercita anche un elevato grado di controllo su un rischio connesso all’operatività e al funzionamento del sistema di IA (c.d. operatore back-end). In buona sostanza, essa avrebbe dovuto armonizzare il regime di responsabilità applicabile a coloro che si avvalgano di un sistema di IA (indistintamente se per scopo personale ovvero professionale), nonché ai fornitori di servizi digitali (salvo, in caso di difetto, quelli soggetti alla responsabilità del produttore la cui Proposta è, in ogni caso, intervenuta successivamente).

La responsabilità dell’operatore, nel Progetto del Parlamento, avrebbe dovuto assumere una configurazione mista ^[53]: un regime di responsabilità per colpa per tutti i sistemi, ad eccezione di quelli «ad alto rischio» ^[54]; e un regime di responsabilità oggettiva per «qualsiasi danno o pregiudizio causato da un’attività, dispositivo o processo fisico o virtuale guidato da [sistemi di IA ad alto rischio]», la cui prova liberatoria sarebbe coincisa con la sola «forza maggiore». La prima ipotesi è stata assorbita, seppur in una versione modificata, dalla Proposta di Direttiva sulla responsabilità da IA, per cui non è il caso di soffermarsi oltre. Può, invece, essere utile spendere qualche parola sul secondo criterio, quello oggettivo, posto che – come già rilevato – ad essa potrà attingersi, qualora gli interventi in materia si rivelino insufficienti.

Su questo fronte, preme anzitutto rilevare come non sia chiaro il fondamento giustificativo posto alla base della regola di responsabilità. Il testo della Proposta del Parlamento ricollega espressamente la sua ratio giustificatrice a quei «concetti di giustizia generali» ed «ampiamente accettati», secondo cui «la persona che crea o mantiene un rischio per il pubblico – come nel caso di un’automobile o di attività pericolose, suggerisce in altro punto il Parlamento – è responsabile se il rischio causa un danno o un pregiudizio e pertanto dovrebbe minimizzarlo ex ante o risarcirlo ex post» ^[55]. Senonché, il testo della Risoluzione (che quella Proposta accompagna) è costellato di riferimenti al «potere di controllo del rischio» dell’operatore dei sistemi di IA, del quale si afferma a più riprese la sua natura di principio giustificativo del nuovo regime. Si sottolinea nel documento che «la responsabilità dell’operatore […] si basa sul fatto che egli esercita un certo grado di controllo su un rischio connesso all’operatività e al funzionamento di un sistema di IA, che è assimilabile a quello del proprietario di un’automobile»; riferimenti – quelli al «controllo sul rischio» – che penetrano nelle stesse nozioni di operatore front-end e back-end, prima richiamate. Soffermandosi poi sulla nozione di «controllo», che pure è nel testo precisata, l’incertezza aumenta: per controllo si intende «qualsiasi azione di un operatore che influenza il funzionamento di un sistema di IA […]» e che può avere «un impatto in qualsiasi fase determinando gli input, gli output o i risultati, o [che può] modificare funzioni o processi specifici all’interno del sistema di IA» e quindi «il grado in cui l’operatore espone terzi ai potenziali rischi associati all’operatività e al funzionamento di tale sistema». In tal modo, la Risoluzione sembrerebbe fondare la responsabilità dell’operatore sul potere (di fatto) di vigilanza e di controllo che questi abbia sull’azione del sistema di IA (e, dunque, sul grado di rischio per i terzi), secondo una logica molto prossima a quella che sorregge la responsabilità del custode ^[56]. Tant’è vero che, in modo analogo a quest’ultima fattispecie, l’operatore sarebbe “fatto responsabile” di tutti i danni provenienti dal sistema di IA, salvo solo la prova di eventi irresistibili (ai quali potrebbero essere equiparati anche gli eventi imprevedibili).

Il rischio, così procedendo, è duplice. Per un verso, la molteplicità di soggetti potenzialmente in grado di influire materialmente sull’azione dell’IA alla base dell’azione lesiva, specie laddove connotato da un elevato livello di autonomia, depotenzia la capacità selettiva del criterio fattuale della “relazione di controllo”, rendendolo inidoneo a individuare, sulla scorta di un giudizio tipologico, un preciso soggetto cui addossare la responsabilità (ciò che, invece, tendenzialmente consente la figura del “custode”). A tale rischio si potrebbe, almeno in parte, ovviare restringendo di molto la nozione di operatore, fino a farla coincidere con l’operatore front-end o, più agevolmente, con la figura del deployer introdotta nella Legge sull’IA, ravvicinando così il regime giuridico alla logica della “creazione del rischio”. Per altro verso, e nonostante tali rilievi, la configurazione del Parlamento rischierebbe di caricare sulle spalle dell’operatore il peso e il costo dei danni di qualsivoglia decisione – sbagliata o corretta che sia – compiuta dal sistema di IA, anche qualora dallo stesso non attivato, con evidenti rischi sul piano della promozione dell’uso e della diffusione della nuova tecnologica ^[57].

6. La responsabilità "vicaria" del deployer: un’ipo¬tesi ricostruttiva. Sistema di imputazione e principi giustificativi dell'obbligazione risarcitoria per il fatto dell'ausiliario.

Le disfunzioni prospettate nel pacchetto di proposte elaborato a livello eurounitario sembrano trovare radice in un equivoco alimentato, sul versante della responsabilità, dalla premessa antropocentrica che fa da sfondo all’approccio di regolazione adottato in materia. Si è osservato a suo tempo che detta premessa – tesa a mantenere la tutela dell’essere umano al centro della regolazione – si riflette, tra le altre, nel rifiuto di qualsivoglia caratterizzazione “umana” dell’IA, a partire da una sua soggettivizzazione. Ciò ha indotto le istituzioni a elaborare le proposte legislative in materia muovendo dall’implicita e contraria associazione, vincolante per la struttura delle fattispecie di responsabilità, tra i sistemi di IA – rectius, le decisioni o le azioni ad essi riferibili – e le cose inerti o al più seagenti. Tecnicamente, l’output del sistema di IA risulta ridotto ora a mero intermezzo causale di una sequenza eziologica che deve muovere da un’azione (o omissione) umana, così approssimandola a una qualsiasi cosa posta sotto la piena direzione di che ne fa uso o la controlla (così, nella Proposta di direttiva sull’IA); ora a mera espressione di un risultato puramente accidentale, come fosse scaturita da una cosa (anziché da un’azione/decisione frutto di un complesso processo) la quale, una volta sottrattasi al controllo del suo operatore, scarica la propria energia distruttiva in modo imprevedibile nei confronti della malcapitata vittima (così nella Proposta di Regolamento del Parlamento).

Questo accostamento, che di per sé offre il fianco a diverse critiche di metodo ^[58] oltre che di merito ^[59], rischia di produrre esiti insoddisfacenti: anzitutto, poiché determina una frammentazione della vicenda lesiva in tante possibili matrici causali quanti sono i soggetti potenzialmente capaci di interferire con il suo output, impedendo, giocoforza, l’approntamento di una soluzione più organica ed efficace a tutela della vittima; vi è poi che essa induce a obliterare la complessità del processo di formazione che sta dietro quell’output, così come cancellate risultano le differenze che, sul piano della sua aderenza o meno all’ordinamento, possono connotare la singola decisione assunta dal sistema di IA all’interno della vicenda lesiva.

Ora, considerato che il sistema europeo di responsabilità da IA è ancora in fase di costruzione e che, quand’anche vedesse la luce, la Direttiva sulla responsabilità da IA non escluderebbe l’applicazione, entro i confini nazionali, di altre e più rigorose regole di responsabilità ^[60], appare utile coltivare una prospettiva di ricerca tesa a verificare se sia dato rinvenire nell’ordinamento una regola idonea ad assicurare una tutela efficace ed “equivalente” alle vittime di danni da IA, ovviando o, quantomeno, appianando le difficoltà sin qui evidenziate. Ebbene, provando a ragionare al di fuori da prestabilite coordinate “ontologiche” e a ricercare, tra quelle disponibili, una regola non solo utile a risolvere, sul piano tecnico, i problemi posti dall’inten­sificarsi della delega di attività ai sistemi di IA, ma capace al contempo di garantire una coerenza, sul piano storico-evolutivo, con la sua tradizionale funzione in chiave di politica del diritto, questa potrebbe essere individuata nella c.d. responsabilità “vicaria”: vale a dire, in quella regola – che nel nostro ordinamento trova sede nella clausola contenuta all’art. 2049 c.c. ^[61] – secondo cui, per usare un linguaggio più moderno, il preponente (o principal) è chiamato a rispondere per i danni arrecati dal fatto illecito dei suoi preposti (o agents) nell’esercizio delle incombenze a cui sono adibiti.

Le ragioni normative che suggeriscono di istituire su questa base una linea di continuità in materia di responsabilità da IA non sono poche.

Quella regola, sebbene genealogicamente legata alla più antica responsabilità nossale di origine romana, costituisce l’esito di un processo di rielaborazione sospinto dalla necessità di rafforzare la tutela dei consociati contro il maggior pericolo di danno associato all’affermarsi di una società sempre più complessa, che imponeva agli attori economici di servirsi con maggiore frequenza del contributo di lavoratori e ausiliari, per espletare le proprie attività artigianali, produttive e di commercio. Si deve alla dottrina francese ^[62] la spinta verso la formulazione di una regola di responsabilità che, in funzione di garanzia per i terzi e di prevenzione degli incidenti, provvedesse ad accollare i danni cagionati dai lavoratori e ausiliari (anzitutto) al soggetto che, oltre a trarre utilità dall’uso strumentale di tale forza lavoro, appariva di regola anche maggiormente solvibile ^[63]. La regola che ne emerse trovò la sua prima collocazione formale nell’art. 1384 del Code Civil e da lì transitò nell’art. 1153, ult. co, del codice civile del 1865, per poi rifluire, quasi intatta ^[64], nell’art. 2049 c.c.

Epurata dai residui storici che la volevano anch’essa saldata al principio della colpa (in eligendo o in vigilando), la disposizione è stata, in tempi più moderni, ricondotta entro l’alveo della responsabilità oggettiva ^[65]. Per interpretazione ormai pacifica, l’addebito di responsabilità poggia sul “solo fatto della altrui utilizzazione strumentale”, per il riscontro del quale – secondo la giurisprudenza della nostra Corte di cassazione – non è necessario qualificare giuridicamente il rapporto tra l’autore materiale dell’illecito e il soggetto “fatto responsabile” (ad es. in termini di lavoro subordinato), essendo sufficiente dimostrare che per volontà di un soggetto (committente), un altro (commesso) esplichi un’attività per conto del primo ^[66]. Parimenti estensiva è l’interpretazione che si dà alla locuzione «nell’esercizio delle incombenze», essendo detto requisito soddisfatto ogniqualvolta sia possibile registrare un rapporto di “occasionalità necessaria” tra il fatto illecito e l’esercizio delle mansioni (rapporto che si esclude laddove il preposto agisca per finalità private). Quanto, infine, al presupposto del «fatto illecito», su cui si dirà più estesamente oltre ^[67], mette conto per ora solo di rilevare che, di regola, la responsabilità del committente è sancita anche qualora l’ausiliario non sia personalmente imputabile (2046 c.c.) e finanche laddove non sia stato possibile individuare a quale soggetto, tra i plurimi ausiliari di cui si sia servito il committente, il danno fosse materialmente addebitabile ^[68].

Nel corso del tempo la norma ha acquisito una peculiare valenza sistematica all’interno del nostro codice ^[69], catalizzando l’attenzione degli autori che, specie intorno agli anni Settanta del secolo scorso, avevano rivolto i propri studi a quella vasta e nebulosa area della responsabilità da cui la colpa era stata – più o meno risolutamente – spodestata. La ragione del successo teorico della disposizione si lega, almeno in parte, allo scarno – nonché, per certi versi, vago – fraseggio utilizzato (rectius, ereditato) dal legislatore italiano per descrivere la fattispecie, la quale si contraddistingue – rispetto alle ipotesi di responsabilità che la precedono come quelle che la seguono – per l’assenza di qualsivoglia menzione alla possibilità del preponente di fornire una prova liberatoria.

La sua formulazione lasca ha fatto dell’art. 2049 c.c. l’ideale “aggancio normativo” ^[70] per accogliere o anche fondare rationes e spiegazioni tra loro differenti: alcuni autori in dottrina ne hanno radicato il fondamento nel più impolverato principio del cuius commoda, eius et incommoda ^[71]; altri studiosi hanno sfruttato l’art. 2049 c.c. per organizzare un vero e proprio sottosistema di responsabilità, parallelo a quello della colpa, fondato sul rischio d’impresa (o di organizzazione) ^[72]; altra dottrina ancora ha individuato nella norma il punto di accesso privilegiato per introiettare nel nostro ordinamento le più moderne teorie del cheapest-cost-avoider ^[73], nel frattempo comparse oltreoceano ^[74].

Non è questa la sede per provare a portare argomenti a favore dell’uno o dell’altro fondamento giustificativo, ciascuno dei quali, considerando il vasto ambito applicativo della norma, può trovare un proprio spazio di aderenza alla realtà. Anzi, è la capacità della norma di ospitare, talvolta combinandole ^[75], diverse rationes a rappresentare la cifra che forse più di tutte contrassegna l’art. 2049 c.c., donandole una peculiare versatilità sul fronte applicativo e una forte resilienza rispetto ai mutamenti sociali ed economici.

Se si volesse tuttavia ricercare una sintesi più astratta, e per questo più generale, della spiegazione logica sottesa alla norma, si potrebbe affermare che essa mira a “fare responsabile” colui che si trova nella posizione migliore per confrontare i benefici derivanti dall’avvalersi di energie e capacità altrui per svolgere un’attività che presenti un minimo di continuità e dal quale intende trarre un qualche vantaggio, con i costi (tra cui quelli dei possibili danni a terzi) che tale contributo può comportare; sì da decidere, sulla scorta di tale analisi, secondo quali modalità, con quali cautele, per quali incombenze e con quale frequenza avvalersi di un determinato ausiliario e/o lavoratore ^[76]. D’altra parte, il soggetto candidato responsabile coincide, di regola, con quello che direttamente – o tramite un’organizzazione d’impresa – dovrebbe meglio conoscere il tenore delle incombenze da assegnare e le caratteristiche dell’ausiliario o del lavoratore a cui intende affidarle ^[77].

7. La responsabilità del deployer nella prospettiva dell’art. 2049 c.c.

Sulla scorta di questi preliminari rilievi è possibile osservare che tanto l’esigenza di policy, che sta dietro il funzionamento dell’art. 2049 c.c., tanto il dato tecnico, che presiede alla struttura della norma, offrono significativi argomenti nel senso di provare ad adeguare il sistema risarcitorio in relazione al danno da IA lavorando sulla regola di responsabilità “vicaria”, nel presupposto che il ricorso all’assistenza di una macchina autonoma e ad autoapprendimento possa essere assimilato all’impiego di un ausiliario umano, laddove tale assistenza comporti un danno a terzi^[78].

Sotto il primo profilo, l’aderenza è flagrante: il problema emerge in ragione del moltiplicarsi dei pericoli che derivano dalla crescente propensione da parte dei consociati di delegare alle azioni di altri – un tempo uomini e donne, oggi sistemi di IA – una serie di attività e incombenze, al fine di trarne un qualche tipo di utilità ^[79]. Per quanto diverso possa essere il loro contenuto, in entrambi i casi le “incombenze” sono svolte nell’interesse di un’altra persona ed entro i vincoli imposti dalle “mansioni” assegnate e dalle direttive impartite ^[80]; così come, nell’uno e nell’altro caso, il concreto espletamento delle attività ad essi affidate presuppone una capacità di azione e decisione in certa misura indipendente e autonoma, poiché implicante l’adozione di scelte in contesti di incertezza ^[81]. Peraltro, la consonanza sul piano della fattualità socioeconomica è destinata a incrementare ove si osservi che, considerati gli elevati costi (almeno nel breve e medio-periodo) dei sistemi autonomi e più sofisticati, questi saranno più spesso utilizzati nell’ambito di un’attività professionale o nell’esercizio di un’attività imprenditoriale. Una prospettiva, quella qui caldeggiata, che non sembra del tutto estranea alle istituzioni eurounitarie e, anzi, può trovare un utile aggancio proprio nella nozione di «deployer» adottata nella Legge sull’IA (e, di riflesso, estendibile alla proposta di Direttiva sull’IA): il quale è definito come il soggetto che – nel corso di un’attività professionale – utilizza un sistema di IA sotto la sua «autorità», termine che, evidentemente, rinvia al potere giuridico che un soggetto vanta nei confronti di un altro e non al potere di controllo materiale che un soggetto esercita su una cosa ^[82].

Sul piano strutturale, invece, la regola di responsabilità contenuta all’art. 2049 c.c. appare la figura meglio equipaggiata, quanto a tecniche di imputazione e logiche sottostanti, per affrontare le specificità che, sul piano materiale, connotano il modo di svilupparsi dei fatti dannosi scaturenti da sistemi di IA e, quindi, per assorbire le criticità che ostacolano la messa a punto di un rimedio fondato su una solida base giustificatrice, ma al tempo stesso attivabile agevolmente dal potenziale attore. L’utilizzo di tale modello condurrebbe, invero, a individuare il fatto generatore del danno direttamente nella decisione/azione del sistema di IA, recidendo dalla fattispecie quell’ulteriore segmento causale che, nelle soluzioni di fonte eurounitaria, dovrebbe collegare la decisione del sistema di IA ora alla colpa di un soggetto, ora all’azione dell’operatore-deployer che influisce (materialmente) sul suo funzionamento ^[83]. Di conseguenza, la regola di imputazione della responsabilità sarebbe organizzata sulla scorta di un giudizio più autenticamente tipologico, non incentrato sulla ricerca (caso per caso) del soggetto che di quel sistema governava o avrebbe potuto governare il rischio “causale”, bensì sull’appartenenza del fatto alla serie di quelli per cui si è scelto a monte di ascrivere il danno occorso al soggetto nella cui sfera di “valutazione organizzativa” è da ricondurre l’attività espletata dal sistema di IA.

Lo scarto rispetto alle proposte elaborate dall’Unione europea è radicale. Il rapporto di causalità cesserebbe di svolgere la funzione di struttura portante della fattispecie di responsabilità per divenire – nella sua versione ridotta: dall’evento lesivo alla decisione algoritmica – mero presupposto dell’operare del criterio di collegamento oggettivo individuato dalla fattispecie di responsabilità ^[84]; la vittima, dal canto suo, sarebbe sgravata dall’onere di ricostruire le molteplici trame causali che quella decisione hanno originato, potendo concentrare la costruzione della propria tesi “accusatoria” sulla prova che il danno è derivato dalla decisione del sistema di IA (il c.d. output) e che questo operava per volontà e su direttive del suo deployer-preponente.

Vi è poi, al fondo di queste preliminari considerazioni, un’ulteriore ragione, per nulla trascurabile, che può dare ulteriormente fondamento a una tesi che guardi alla responsabilità “vicaria” come modello su cui erigere un processo di armonizzazione della regola risarcitoria nei confronti del deployer. Come segnalano gli studi comparatistici condotti sul tema, la responsabilità vicaria si connota per una singolare convergenza evolutiva tra i diversi ordinamenti europei (quelli di tradizione romanistica, ma anche quelli di common law) ^[85]. Nonostante sotto il profilo testuale le disposizioni che configurano la responsabilità a carico del préposé (art. 1384 del Codice civile francese), dell’ondergeschikte (art. 6:170 del Burgerlijk Wetboek (BW)) del Geschäftsherr (§ 831 del BGB) o del nostro “committente” possano presentare profili di divergenza, si attesta invero, presso la più moderna giurisprudenza europea, la comune propensione a tralasciare l’indagine circa la violazione o meno di un dovere di diligenza da parte del committente, segnando un progressivo ravvicinamento delle diverse legislazioni nel senso di attribuire alla regola una comune valenza oggettiva ^[86].

8. Il fatto illecito dell’ausiliario nello spettro decisionale del sistema di IA.

Rilevati i presupposti giuridici, oltre che storico-culturali, che suggeriscono di affrontare i problemi emersi nell’ambito che ci occupa lavorando a una regola di responsabilità dell’operatore-deployer (come definito dal legislatore europeo), ricalcata sul modello di quella “vicaria”, conviene ora aumentare il grado di analiticità dello studio, per focalizzare l’attenzione su alcuni degli elementi costitutivi della fattispecie, la cui riproduzione nel contesto della responsabilità da intelligenza artificiale potrebbe apparire problematica. Lo si farà, per ragioni di spazio, con più specifico riferimento all’ipotesi descritta dall’art. 2049 c.c., sebbene uno studio comparatistico consentirebbe di riprodurre argomenti simili anche rispetto alle regole vigenti in altri ordinamenti dell’Europa continentale, stante le già rilevate convergenti linee evolutive.

Il primo e principale elemento di frizione nell’applicare, ai casi qui in esame, lo schema della responsabilità vicaria riguarda il requisito dell’illiceità del “fatto” del preposto ^[87]. Secondo l’opinione più comune, la qualifica del fatto in termini di illiceità è subordinata alla prova (quantomeno) della colpa in capo all’autore materiale del fatto. È appena il caso di rilevare che un tale criterio, per la sua tradizionale riferibilità all’essere umano ^[88], appare prima facie difficilmente riproducibile quando a compiere il fatto sia un sistema di IA. L’argomento assume però dimensioni meno ingombranti non appena si pongano a mente alcune preliminari considerazioni relative, da un canto, al ruolo giocato dalla colpa all’interno del modello dell’art. 2049 c.c. e, da un altro canto, all’accezione che la colpa assume nell’attuale sistema della responsabilità civile.

Procediamo con ordine, muovendo dal primo profilo. È noto che, nell’economia della fattispecie delineata dall’art. 2049 c.c., l’illiceità del fatto assume un ruolo del tutto eccentrico, ben distinto da quello che essa riveste nella clausola di responsabilità contenuta nell’art. 2043 c.c.: nella prima ipotesi, a differenza della seconda, la natura colposa della condotta dell’autore materiale del fatto non costituisce fondamento giuridico, né tantomeno morale, dell’addebito di responsabilità, ma ne fissa più semplicemente il limite, circoscrivendo l’area del danno da allocare – in termini oggettivi – al preponente. Né potrebbe essere diversamente, posto che il fulcro delle fattispecie di responsabilità oggettiva non è un agire illecito, ma un evento dannoso scaturente da un’attività lecita ^[89].

L’osservazione circa la natura ancillare e non qualificante della colpa del preposto ha assunto una rilevanza strategica – sia in sede accademica, sia in quella giudiziaria – consentendo di promuovere soluzioni interpretative e applicative secondo cui dell’accertamento della colpa dell’autore materiale (quantomeno nella sua versione più moralizzante di rimproverabilità) si debba o, quantomeno, si possa fare a meno.

Sul versante teorico, vale la pena di ricordare che, nel tempo che ha preceduto la formulazione della Direttiva del 1985 sui prodotti difettosi, diversi autori nella dottrina italiana avevano proposto di estendere in via interpretativa lo spettro applicativo dell’art. 2049 c.c., individuata quale regola strutturalmente più adatta a dare copertura a tali danni ^[90]. Per garantirne la piena operatività, tuttavia, si era suggerito di rieditare analogicamente la fattispecie in una chiave “secolarizzata”, tale per cui il produttore-preponente avrebbe dovuto rispondere a prescindere dalla prova della natura colposa della condotta del preposto ^[91]. D’altra parte – si osservava in quel torno di tempo – l’imprescindibile interazione tra uomo e macchina, così come la collaborazione tra i vari operatori in cui si concretizza il lavoro all’interno dell’industria, rende privo di senso chiedere la prova che il fatto dannoso sia dovuto a un comportamento negligente del lavoratore-individuo che operi all’interno dell’impresa (e, a fortiori, esigere la colpa del titolare dell’impresa stessa) ^[92].

Quanto, invece, alla law in action, è possibile registrare nella giurisprudenza di legittimità diverse decisioni in cui la norma è stata applicata prescindendo dall’accertamento di una specifica responsabilità del commesso: ne è esempio la condanna di una società a riparare le conseguenze pregiudizievoli della condotta, commissiva od omissiva, dei propri dipendenti, anche quando non sia stato possibile identificare quale tra questi sia stato l’autore materiale del fatto ^[93]. Vero è, che di questa, come di altre simili decisioni, potrebbe anche propugnarsi una spiegazione tutta interna alla logica della colpa, ravvisando in essa un’ipotesi di res ipsa loquitur, per cui il fatto che un certo danno si sia prodotto, e che si sia prodotto secondo determinate circostanze fattuali, è già prova della presenza di una colpa. Ma è chiaro che, sul piano applicativo, anche una siffatta interpretazione depotenzia – e di molto – la capacità della colpa di operare quale effettivo argine al flusso di pregiudizi imputabili al preponente-datore di lavoro.

La serie di rilievi svolti sul versante della colpa potrebbe allora essere organizzata nel senso di predicare la coerenza dogmatica di un’ipotesi ricostruttiva che modelli la responsabilità per i danni cagionati da sistemi di IA sull’art. 2049 c.c., ma espungendo da esso, per esigenze di adeguamento, qualsivoglia riferimento alla natura illecita o (meno ambiguamente) “colposa” del fatto del sistema di IA; ricalcando, dunque, le orme di quella dottrina che un’analoga operazione aveva imbastito per dare tutela ai consumatori minacciati dalle potenzialità lesive di prodotti difettosi.

Per quanto forse più agevole, non è questo il percorso teorico che si intende qui promuovere. Una simile operazione ermeneutica rischierebbe di portare troppo in avanti l’area del danno allocabile al preponente (ossia, al deployer dell’IA). Le ragioni possono meglio cogliersi guardando, retrospettivamente, al già richiamato dibattito che ha interessato l’estensione della norma in esame al danno da prodotto difettoso. In quel­l’occasione, la tesi dell’eliminazione della colpa poteva contare sul fatto che il concetto di “prodotto difettoso”, assunto quale fatto generatore del danno, funge(va) già da filtro utile a selezionare quali pregiudizi, tra quelli scaturenti dalla cosa fabbricata, avrebbero dovuto essere riparati dal produttore-preponente. La nozione di prodotto difettoso, infatti, assorbe, per così dire, già a monte tutti quei fattori disfunzionali dell’or­ganizzazione cui si potrebbe far risalire la genesi materiale dell’evento lesivo, tra i quali, a titolo esemplificativo, l’errore o la negligenza di un dipendente o il malfunzionamento di un macchinario usato per la produzione. Di tali disfunzioni, che evocano la violazione di un qualche standard di sicurezza da parte del produttore, la norma si sarebbe potuta disinteressare, perché già sussunti o quantomeno presunti nel concetto stesso di difetto ^[94]. Considerata invece l’assenza di un simile filtro in relazione al danno prodotto dall’output di un sistema di IA, l’eliminazione dell’argine rappresentato dalla colpa condurrebbe a una regola di allocazione del danno più vicina a quella della cosa in custodia, tale per cui al deployer-preponente sarebbero addossati i costi di qualunque decisione del sistema di IA dal quale derivino danni, per il solo fatto di essersene servito per un determinato compito, così riproponendo le stesse criticità in precedenza evidenziate.

Le superiori considerazioni suggeriscono di mutare il verso della proposta teorica: anziché provare a lavorare sulla tenuta dogmatica di una regola di responsabilità “vicaria” che faccia a meno dell’elemento della colpa (qui, nell’ottica di rimuovere un ostacolo che impedirebbe di farla girare quando il fatto non sia riconducibile a una condotta umana), si potrebbe tentare di impostare l’ipotesi ricostruttiva sulla valorizzazione dell’originaria funzione di limite che ad essa compete, preservandone le potenzialità quale dispositivo di mediazione tra l’interesse ad ottenere una più agevole e sicura riparazione dei danni subiti dai terzi e quello opposto a non inibire eccessivamente i propositi di chi voglia servirsi dei vantaggi apportati dalla nuova tecnologia per svolgere i propri affari.

Spostato in questa diversa direzione il fuoco della proposta, i problemi teorici vengono subito ad annodarsi attorno alla necessità di far reagire il meccanismo della colpa su una decisione o azione avente natura esclusivamente artificiale. Da questa angolatura, viene in rilievo il secondo dei profili sopra menzionati, relativo all’accezione che la colpa assume nell’attuale sistema della responsabilità civile (e non solo). Com’è noto, la figura della colpa è stata plasmata da un processo di “oggettivizzazione”, che ha portato a spostare l’asse dell’indagine che essa sottende dalla ricerca del singolo comportamento in sé riprovevole, alla valutazione circa la sua conformità all’ordinamento, sulla scorta di criteri e modelli astratti di condotta previamente definiti ed applicabili alla generalità dei consociati ^[95]. Sul piano operativo, ne è emerso un criterio – quello della c.d. “colpa oggettiva” – tutto incentrato sul dato terminale relativo alla difformità o meno tra il comportamento concretamente tenuto e il canone di condotta in astratto definito (o la regola di cautela specifica) ^[96] e, dunque, disinteressato a ciò che attiene alla sfera psicologica del soggetto agente ^[97], incluso il dato relativo alla consapevolezza che questi avesse delle conseguenze antigiuridiche delle proprie azioni (se non per graduare il risarcimento in relazione ad ipotesi dolose). Quest’ultima, semmai, è destinata a rilevare sul diverso piano dell’imputabilità, dove riacquista pieno vigore l’idea più strettamente soggettivistica che soggiace alla colpevolezza di matrice penale ^[98].

La scissione concettuale tra colpevolezza e colpa, ricondotte entro ambiti applicativi tra loro non necessariamente comunicanti, presiede a una tesi che sostenga l’applicabilità del congegno della colpa anche a condotte o decisioni che siano esito di processi decisionali basati su criteri differenti rispetto a quelli propriamente umani. L’ipotesi non è nuova, trovando spazio, in ambito amministrativo, in relazione alla responsabilità da reato degli enti (d.lgs. n. 231/2001). Qui, la colpa dell’ente, posta alla base della fattispecie, viene ricostruita non già andando «alla ricerca del coefficiente psicologico della condotta [umana]», bensì – tenendo conto delle peculiarità di una fattispecie in cui il rimprovero è rivolto all’ente – come «colpa di organizzazione, considerando[..] il connotato squisitamente normativo [della difformità del modello di organizzazione adottato rispetto a quello ideale]» ^[99]. Similmente, la “colpa” del sistema di IA potrebbe essere fondata sul­l’indagine circa lo scarto tra la decisione/azione in concreto assunta dall’algoritmo e la norma di condotta che funge da modello, trascendendo a tal fine il dato relativo al retrostante procedimento di determinazione dei contenuti “decisi” e “comunicati” ^[100].

Con un caveat. Nel campo specifico della responsabilità “vicaria”, la tesi favorevole ad estendere il campo semantico e operativo della colpa a fatti “non-umani” trova una puntuale sponda nella circostanza – sopra già rilevata – per cui la colpa dell’ausiliario è un presupposto della fattispecie di responsabilità, ma non ne costituisce il fondamento: sicché la colpa (oggettiva) viene in rilievo anche qualora slegata dall’imputabilità. Prova ne sia che l’art. 2049 c.c. è stata ritenuto attivabile dalla nostra giurisprudenza di legittimità anche in ipotesi in cui il preposto, autore materiale del fatto, era al momento del suo compimento in uno stato di incapacità di intendere e volere ^[101]. E lo si è potuto fare – evidenzia autorevole dottrina – precisamente facendo affidamento su una nozione oggettivata di colpa ^[102].

9. Dalla «non conformità» dell’azione umana alla «non conformità» della decisione algoritmica.

Nel seguire una traiettoria ermeneutica come quella qui tracciata, lo studioso non può esimersi dall’aprire un ulteriore file all’interno della più ampia ricerca, incentrato sulla definizione dello standard oggettivo di azione/decisione algoritmica da assumere come parametro per valutarne l’eventuale difformità rispetto all’ordinamento. Si tratta, in estrema sintesi, di individuare ciò che è possibile e ragionevole “pretendere” da un sistema di IA in termini di misure di cautela volte a prevenire gli incidenti ai terzi.

La dottrina straniera, in realtà, dibatte il problema già da alcuni anni ^[103]. Sebbene diverse siano le posizioni di partenza e le finalità ultime che fanno da sfondo alle ricerche sul tema, si registra una certa convergenza tra gli studiosi nel prefigurare, come opzioni teoriche polarizzanti, quella volta a caldeggiare l’applicazione degli stessi canoni pensati per valutare il comportamento umano; e quella propensa a configurare uno standard di condotta specifico in ragioni delle peculiarità che connotano i modelli di azione (e quindi le capacità di “ragionamento”) dei sistemi di IA ^[104].

La prima tesi, più legata allo stato attuale della tecnologia, spinge per uno standard di diligenza in ogni caso mai inferiore a quello degli esseri umani, nell’ottica di assicurare un incentivo alla produzione e messa in circolazione di sistemi di IA, la cui capacità lesiva non sia più elevata di quella della generalità dei consociati. La seconda tesi muove dal presupposto implicito per cui i sistemi di IA possiedono capacità di performance di regola superiori a – o quantomeno diverse da – quelle proprie degli esseri umani in analoghe situazioni e, su queste basi, sostengono l’esigenza di elaborare standard di diligenza specifici basati sulle caratteristiche del sistema di IA (melius, del modello decisionale adottato) sulla cui base valutare la difformità dell’output prodotto nella specifica situazione di incidente ^[105]. La soluzione, a parere di chi scrive, non può essere così netta e richiede una maggiore articolazione. Lo stato attuale dell’evoluzione tecnologica non contempla ancora sistemi di “intelligenza artificiale generale” ^[106], in grado di svolgere tutte, o quantomeno un rilevante numero, delle funzioni e azioni che competono all’essere umano. Essi, per quanto autonomi e sofisticati, sono di regola progettati per svolgere una serie di compiti specifici, in ambiti sufficientemente circoscritti e per il raggiungimento di finalità e obiettivi altrettanto specifici.

Conseguentemente, il modello di riferimento ideale dovrà tenere conto, anzitutto, dell’ambito in cui il sistema di IA svolge la propria attività, per determinare se l’ausiliario digitale, così come quello umano, sia soggetto a un canone di diligenza più elevato di quello ordinario e in ogni caso ritagliato sul settore di pertinenza operativa. Su questo dato si dovrebbe poi innestare una seconda valutazione che attiene invece alle funzionalità intrinseche del sistema di IA e al grado di complessità delle incombenze ad essi affidate, per determinare se il loro utilizzo sia funzionale a sostituire, riproducendone le condotte, un ausiliario umano ovvero se ad esso siano assegnati compiti che, in ragione della capacità computazionale o della mole di dati richiesti, non potrebbero essere svolti da un essere umano. Nel primo caso, il modello di condotta cautelare potrà allinearsi a quello utilizzato per misurare il comportamento umano che operi nella stessa situazione fattuale; nel secondo caso, per contro, sarà decisivo, ai fini della verifica della conformità dell’output all’ordi­namento, il confronto tra il sistema che ha causato l’incidente e altri sistemi comparabili sulla base delle loro specifiche tecniche. Intrecciando tali criteri potranno dunque costruirsi i modelli di riferimento attraverso cui parametrare le “condotte” dei sistemi autonomi di IA e valutarne la loro «conformità» all’ordinamento ^[107].

Così puntellato, il dispositivo della colpa potrebbe essere reinserito nella trama della fattispecie, al fine di pervenire a un più equilibrato assetto degli interessi plurali che entrano in gioco nella disciplina della responsabilità da intelligenza artificiale. Il limite della colpa consentirebbe, invero, di ristrutturare l’enunciato normativo in modo da allineare il dispiegarsi dell’effetto giuridico associato alla fattispecie con la ratio giustificatrice che ad essa soggiace. Se si riconosce che il criterio di imputazione è volto ad allocare il danno al soggetto in grado di meglio gestire il rischio decisionale (od operativo) che discende dalla messa in azione del sistema di IA, ne consegue allora che tra i costi inseriti nella valutazione non vi sarà spazio per i danni causalmente riconducibili a una decisione del sistema che risulti conforme ai canoni di condotta applicabili ai consociati (o alle specifiche regole di cautela che dovessero rilevare in relazione al sistema di IA preso in considerazione) e, pertanto, all’ordinamento. Il preponente-deployer non potrà dunque essere chiamato a rispondere del danno cagionato dal sistema di IA, se la decisione/azione assunta, per quanto inaspettata all’esterno, sia frutto della corretta elaborazione delle norme di cautele imposte dall’ordinamento nello specifico settore in cui si svolge l’attività (è il caso, per esemplificare, di un veicolo dotato di autonomia che provochi un danno perché fermatosi completamente a un segnale di stop) ^[108]; così come non dovrà rispondere nell’ipotesi in cui danno sia stato provocato nonostante il rispetto delle linee guida al riguardo esistenti nello specifico settore di riferimento (è il caso dell’utilizzo di sistemi di IA in campo medico); o, ancora, nel­l’ipotesi in cui la decisione, per quanto implicante conseguenze negative per il soggetto che la subisce, costituisce l’esito di un corretto funzionamento ed applicazione del modello algoritmico di riferimento, il cui utilizzo è ammesso dall’ordinamento (si pensi al caso di esclusione di candidati valutati e assunti per mezzo di sistemi di IA; all’uso di sistemi votati alla valutazione dell’affidabilità e del merito creditizi): ipotesi, queste, che potrebbero rientrare nella sfera di rischio del deployer, qualora si adottasse una regola di responsabilità oggettiva, quale quella proposta dal Parlamento europeo ^[109].

Peraltro, è opportuno osservare che l’attribuzione di una responsabilità per il danno derivante da una «mancata produzione di output» dell’algoritmo, come prospettato nella Proposta di Direttiva sulla responsabilità da IA, appare astrattamente configurabile solo all’interno di una fattispecie che contempli un criterio mediano quale quello della colpa (o della decisione non conforme, che dir si voglia) del sistema di IA, posto che il tipo di indagine causale che presiede all’ipotesi omissiva mal si attaglia allo schema della responsabilità oggettiva per il danno causato da una cosa in custodia, da un’automobile o da un’animale ^[110].

10. Lo statuto giuridico dei sistemi di IA nella prospettiva della responsabilità "vicaria".

La ricostruzione teorica è ora sufficientemente matura per tornare al tema, accennato in apertura, dello statuto giuridico del sistema di IA. Lo si farà, però, solo di sbieco: è lo stesso iter logico del discorso che si è sin qui condotto a suggerire di depotenziare il carico polarizzante e “oppressivo” che un tale interrogativo esercita nel processo di regolazione delle vicende giuridiche che concernono i sistemi di IA. Da un lato, si è evidenziato che l’accostamento – altrettanto arbitrario da un punto di vista dogmatico – tra i sistemi di IA e il dominio delle cose non risponde a una precisa funzione giuridica, ma può anzi risultare deleterio nella misura in cui finisce per cancellare le specificità del sistema di azioni dell’IA, che si innestano sul piano della natura autonoma e complessa della decisione all’origine del danno. Dall’altro lato, si è osservato che, nel campo specifico che occupa la presente ricerca, l’ipotesi della capacità del sistema di IA viene in rilievo non già nell’ottica di istituire un nuovo soggetto su cui far gravare l’obbligazione risarcitoria (il che, come più volte detto, implicherebbe la dotazione di un patrimonio), bensì in quella di assicurare – nel contesto del­l’enucleazione di un più tradizionale criterio di imputazione oggettiva – una più accorta distribuzione dei rischi e delle cautele tra le parti coinvolte, senza perciò diminuire il livello di tutela della potenziale vittima. L’ipotesi soggettiva – esattamente come quella oggettiva – non dovrà dunque influenzare a monte la serie di ipotesi ricostruttive selezionabili dall’interprete, ma – al più – imporsi a valle laddove necessario per mettere in funzione, completandola, una determinata regola di responsabilità. Così reimpaginato il discorso, si comprende come la questione dello statuto giuridico non possa essere risolta in termini generali, ma debba esser fatta transitare per la specifica opzione teorica prescelta: nel caso di specie, pertanto, ci si dovrà chiedere se l’utilizzo del modello di responsabilità vicaria, di cui si mantenga in piedi l’elemento della “colpa”, imponga l’attribuzione di una soggettività o anche solo di una capacità in capo al sistema di IA, quale autore materiale del fatto dannoso.

Secondo alcuni autori in dottrina ^[111], la personificazione di entità non umane sarebbe operazione necessaria per trattare gli agenti software come agenti vicari, ossia come soggetti giuridicamente capaci di agire cui imputare materialmente una decisione non conforme all’ordinamento. L’affermazione appare, almeno in parte, criticabile. Si potrebbe infatti sostenere – a ragione – che l’attribuzione di una capacità di agire veicola all’interno dei rapporti sociali e dei traffici giuridici l’idea che il potenziale dannoso che deriva dall’inte­razione con tali sistemi non è mera conseguenza dei difetti che essi incorporano o di un accadere accidentale ed episodico e, dunque, indipendente dagli impulsi che provengono dall’ambiente esterno. Le decisioni assunte dai sistemi autonomi di IA sono, almeno in parte, “funzione” di tali impulsi e, pertanto, il segnale sociale associato all’attribuzione di una capacità (e dunque alla contestuale non riducibilità a una mera res) potrebbe modificare, innalzandolo o quantomeno rimodulando, il grado di cautela di coloro che con essi si trovino a interagire (il che, tuttavia, rileverebbe maggiormente in ambito contrattuale).

Sotto un profilo più strettamente tecnico, tuttavia, l’addebito di responsabilità sulla scorta della fattispecie prevista dall’art. 2049 c.c. non implicherebbe necessariamente l’attribuzione di una capacità. Come in precedenza già osservato, la nozione di colpa oggettiva, in quello specifico ambito, può qualificare la condotta dannosa anche qualora il suo autore sia incapace di intendere e volere. Se così è, non vi sono allora ragioni di stretto diritto perché la fuoriuscita del sistema di IA dal dominio delle cose debba essere assistita o confermata dal contestuale loro ingresso nell’opposto polo che fa capo al soggetto, per il mezzo del riconoscimento di una loro formale capacità di agire.

L’assunto favorisce, anzi, l’apertura di un fronte d’indagine più marcatamente speculativo, che trascende i più ristretti confini della regola di responsabilità “vicaria”. La mancata formalizzazione di una previa capacità di diritto in capo al sistema di IA non solo evita l’impaccio di dover “sostanzializzare” l’autore materiale del danno in una persona in senso giuridico, ma sottrae altresì l’interprete dalla necessità di descrivere e rappresentare quest’ultimo nella forma univoca dell’individuale. In tal modo, il giudizio causale, che nelle ipotesi oggettive precede l’attivazione del relativo criterio di imputazione ^[112], potrà essere condotto senza i vincoli che inevitabilmente conseguono alla necessità di ricollegare l’evento dannoso a centri “unitari” di azione – siano essi cose o persone; così consentendo – ove la fattispecie concreta lo suggerisca – di riconnettere l’evento anche a più complessi e dinamici “contesti di azione”, “aree socio-tecniche” o ancora ad “assemblaggi” multiformi di azioni e di decisioni ^[113]. Sarà poi il prescelto criterio di collegamento oggettivo a stabilire quali soggetti – questi sì dotati di una propria capacità di agire e (almeno in astratto) di un una propria capacità patrimoniale – dovranno essere chiamati a sopportare il peso dell’obbligazione risarcitoria per i danni riconnessi a tali “nuclei di azione” ^[114].

11. La redistribuzione dei costi del danno: natura

Prima di completare l’ipotesi ricostruttiva, conviene ricapitolare brevemente. Si è sostenuto nelle precedenti pagine che, una volta bucato quello strato preconcettuale che puntualmente si forma allorché la lettura di un fenomeno giuridico sia preceduto dalla preventiva etichettatura categoriale delle entità che in esso vi prendono parte, sarà possibile constatare come vi siano serie e fondate ragioni per intessere, attorno al modello di responsabilità “vicaria”, la trama ricostruttiva di una regola risarcitoria nei confronti del deployer che, in ambito professionale, si avvalga di sistemi di IA ad alto contenuto tecnologico e, quindi, potenziale lesivo; regola, lo si ribadisce, da affiancare (quantomeno) a quella per danno da prodotto (algoritmico) difettoso. L’attivazione del congegno di imputazione che sovraintende la fattispecie, in questa sede studiata prevalentemente nella versione domestica dell’art. 2049 c.c., imporrebbe l’ascrizione del relativo addebito di responsabilità in capo al soggetto che si serve del sistema di IA, delegandogli determinati compiti da compiere nel suo interesse e a proprio beneficio. A un tale soggetto – di regola il più facile da individuare – sarebbe attribuita una responsabilità (oggettiva) da “rischio decisionale”, vale a dire, il rischio – molto diverso da quello “puramente causale” che assiste la regola di responsabilità per cosa in custodia – che le decisioni autonome dei sistemi di IA si rivelino sbagliate, nel senso di non conformi^[115] a un determinato modello di riferimento ideale di tollerabilità sociale e che da tali decisioni sbagliate derivino danni per i terzi. La vittima potrebbe così avvalersi di un rimedio più efficace e meno costoso, in ragione della riduzione dell’oggetto dell’onere probatorio a suo carico al solo segmento causale che lega il danno alla decisione “illecita” del­l’algoritmo, eventualmente ulteriormente attenuabile tramite una presunzione relativa di «non conformità». Dal canto suo, il deployer non sarebbe fatto responsabile per qualunque danno scaturisca dal sistema di IA – in una guisa che lo approssimerebbe a un mero “guardiano” dell’IA (seconda l’ipotesi della cosa in custodia) – ma solo per quei pregiudizi che, sulla base di un giudizio normativo, dovrebbero rientrare nella sua sfera di valutazione organizzativa, come delimitata dalla riconducibilità dell’attività del sistema IA alle “incombenze” assegnate.

L’analisi può così volgere alla sua piega finale. Vi è un ulteriore meccanismo, non espressamente menzionato dalla norma, ma potenzialmente ricavabile dai principi generali che presiedono alla materia della responsabilità, su cui conviene da ultimo soffermarsi. Ci si riferisce alla possibilità per il preponente, una volta risarcito il danno, di agire in rivalsa nei confronti dell’autore immediato del fatto dannoso, facendo applicazione del disposto di cui all’art. 2055, co. 2 e 3 c.c.

Per il vero, tale possibilità è messa in questione da una parte della dottrina. Si è osservato che, specie laddove la norma sia ricondotta entro le più moderne teorie della responsabilità per rischio, l’azione di rivalsa può finire per comprimere i propositi di prevenzione specifica ed assorbimento dei costi degli incidenti che ad essa sarebbero affidati ^[116]. Sembrerebbe, in altre parole, poco coerente approntare un meccanismo risarcitorio in virtù del quale, nel giudizio primario di responsabilità, si impedisce al committente di liberarsi dalla responsabilità (se non con la più estrema prova del caso fortuito); per poi concedergli, in un secondo tempo, la facoltà di liberarsi dai costi del danno imputandoli all’ausiliario. L’osservazione appare logica e risulta in parte condivisibile. Tuttavia, si potrebbe obiettare, un tale argomento spinge troppo sulla funzione preventiva della regola, mettendo da parte quella di garanzia della riparazione del pregiudizio subito dal terzo, che pure e, anzi, ancor prima, compete alla norma. È chiaro che, se guardata da questo altro lato, l’azione di rivalsa non inficia le aspettative delle potenziali vittime, ma si pone in linea con un meccanismo di responsabilità volto a rafforzarne la tutela.

Il dato giurisprudenziale domestico sembra dare conforto alla tesi della contraddittorietà, posto che solo di rado il “committente” ha tentato di rivalersi sul commesso. Diverse, tuttavia, sono le ragioni che, ben più prosaicamente, possono spiegare la tendenza giurisprudenziale: dalla minore capacità solutoria dell’autore materiale del danno (specie ove il datore di lavoro sia un’impresa), alla possibilità per il preponente-datore di lavoro di gestire contrattualmente l’illecito, eventualmente tramite l’attivazione del potere sanzionatorio che ad esso compete sotto il profilo disciplinare, sino alla possibilità per l’obbligato di assorbire il danno per il tramite del meccanismo assicurativo ^[117]. Ciò non toglie che, come si evince allargando il campo della ricerca oltre i confini nazionali ^[118], la questione circa l’ammissibilità o meno dell’azione di rivalsa conservi una rilevanza teorica di primo piano nel dibattito dottrinale che investe la responsabilità “vicaria”.

I problemi teorici appena richiamati risultano tuttavia meno stringenti nel contesto dell’ipotesi che ci si appresta ad avanzare. Ora, è chiaro che una piana riproduzione del meccanismo in parola alle ipotesi in esame sia da escludere in radice. Configurare un’azione di rivalsa nei confronti del “preposto artificiale” non avrebbe senso: non solo perché non vi sarebbe un patrimonio da aggredire, ma anche perché, nella sua veste tradizionale di fondamento del sindacato di illiceità (veste che si ripropone nel contesto del giudizio contro l’ausiliario), la colpa presuppone una capacità di intendere e volere dell’agente che, allo stato, non è dato rinvenire nei sistemi di IA. Epperò, il sistema della rivalsa può, nelle ipotesi qui in esame, esplicare un ruolo rilevante, forse ancor più di quanto avvenga di regola in relazione all’art. 2049 c.c.: solo che, a tal fine, la rielaborazione sul piano interpretativo deve seguire qualche ulteriore e conclusivo passaggio argomentativo.

Dietro la condotta umana, suscettibile di essere qualificata in termini di dolo o colpa, vi è sempre un processo unitario di formazione della volontà del soggetto agente, il quale, al più, potrà essere inficiato da condizionamenti esterni che ne perturbano i risultati, comprimendone la libertà di determinazione. Al contrario, la decisione del sistema di IA è l’esito di un processo puramente “artificiale”, in cui tanto i modelli di ragionamento, tanto le “regole” da rispettare nell’attivare detti modelli, tanto, ancora, i dati che vengono sussunti in quei modelli, provengono dall’esterno, essendo il frutto dell’attività, del lavoro o della partecipazione – autorizzata, ma anche non – di una determinata (sebbene non sempre in concreto determinabile) schiera di attori giuridici. Per sintetizzare, con un paradosso: se la decisione finale può essere intesa, sul piano effettuale, come autonoma, perché implicante una scelta in condizioni di incertezza, non riducibile a quella di chi se ne serve, il processo decisionale che sta dietro la scelta del sistema di IA è, e rimane pur sempre, un processo eteronomo.

Una regola di responsabilità ben congegnata dovrebbe essere in grado di catturare un tale dato, introducendo un meccanismo che consenta – sebbene in un secondo tempo – di dare rilievo ai fatti da cui la decisione difforme trae origine, evitando che essi si dissolvano definitivamente nel momento stesso in cui sia messo in moto il criterio di imputazione di ispirazione vicaria. Riprende qui vigore la spinta verso un’indagine più schiettamente causale volta a risalire all’origine della vicenda lesiva, in aderenza alla complessità che connota il sistema di azione facente capo all’agente artificiale; ma riconoscendo, al tempo stesso, come detta indagine possa e debba assumere natura “subordinata” e, insieme, eventuale, poiché l’interesse che essa intende soddisfare – quella alla esatta distribuzione dei costi tra eventuali altri soggetti che hanno partecipato al processo decisionale e che, in ipotesi, hanno contribuito alle ragioni del danno – si colloca in posizione subalterna rispetto al primario interesse alla riparazione del danno.

Volendo racchiudere in specifiche regole operazionali quanto appena rilevato sul piano teorico, il modello di responsabilità potrebbe essere utilmente completato attraverso la previsione di una azione di rivalsa a favore del soggetto obbligato, nei confronti di quegli altri soggetti che, sotto profili diversi, hanno influito sul processo decisionale dell’algoritmo, di modo da offrirgli l’opportunità di dimostrare che lo scarto tra la decisione algoritmica e il modello di riferimento sia a uno o più di essi addebitabile. Il preponente-deployer dell’IA, una volta riparato il danno alla vittima, potrebbe liberarsi di tutto il (o parte del) carico risarcitorio, dimostrando, ad esempio, che la decisione difforme cui l’algoritmo è pervenuto è dovuta a un difetto di uno dei suoi componenti hardware o software; a una errata analisi dei dati da parte del fornitore terzo dei servizi digitali; a una scarsa qualità dei dati utilizzati per l’addestramento del sistema da parte di soggetti terzi; a un disservizio delle infrastrutture per la trasmissione e/o analisi di dati (se non qualificabili come “componenti” del sistema di IA); all’interazione con altri “agenti artificiali” che – per ragioni diverse – hanno inficiato il processo decisionale dell’al­goritmo; ancora, all’azione di un terzo che, sfruttando una vulnerabilità in termini di cibersicurezza, abbia dolosamente modificato le funzionalità dell’algoritmo, e così via. In tal modo, il l’operatore-deployer sarebbe altresì incentivato a investire maggiori risorse nel monitoraggio della qualità e sicurezza dei componenti o dei servizi forniti dai soggetti partecipanti ai processi decisionali, negoziando eventualmente – laddove il potere di mercato lo consenta – accordi di redistribuzione dei costi derivanti dai fatti illeciti.

Così architettato, il sistema di responsabilità consentirebbe una più accorta distribuzione dei rischi, delle colpe e, quindi, delle corrispondenti cautele tra i partecipanti alla catena del valore; ma il peso processuale della loro esatta identificazione e gradazione non sarebbe posto a carico della vittima, bensì del soggetto economico che trae utilità e che si assume il “rischio decisionale” insito nell’utilizzo di sistemi di IA dal­l’elevato contenuto tecnologico e potenziale lesivo.

NOTE

^[1] Per citare solo alcuni dei lavori, sul più circoscritto tema della responsabilità da IA, pubblicati in Italia tra il 2019 e il 2023, si vedano Alpa, Quale modello normativo per l’intelligenza artificiale?, in Contratto e impr., 2021, 1003 ss.; Ar. Fusaro, Quale modello di responsabilità per la robotica avanzata? Riflessioni a margine del percorso europeo, in Nuova giur. civ. comm., 2020, 1344 ss.; Bertolini, Artificial intelligence does not exist! Defying the technology neutrality narrative in the regulation of civil liability for advanced technologies, in Europa dir. priv., 2022, 369 ss.; Bevivino, Situazioni giuridiche soggettive e forme di tutela delle intelligenze artificiali, in Nuova giur. civ. comm., 2022, 899 ss.; Calabresi-Al Mureden, Driverless cars. Intelligenza artificiale e futuro della mobilità, Bologna, 2021; Costanza, L’intelligenza artificiale e gli stilemi della responsabilità civile, in Giur. it., 2019, 1686 ss.; Finocchiaro, Intelligenza artificiale e responsabilità, in Contratto impr., 2020, 713 ss.; Finocchiaro, La proposta di regolamento sull’intelligenza artificiale: il modello europeo basato sulla gestione del rischio, in Dir. inf. inform., 2022, 303 ss.; Finocchiaro, La regolazione dell’intelligenza artificiale, in Riv. trim. dir. pubbl., 2022, 1085 ss.; Grondona, Responsabilità civile e IA: tra paure e mitizzazioni, meglio un anything goes in salsa popperiana, in Danno resp., 2022, 277 ss.; Infantino, La responsabilità per danni algoritmici: prospettive europeo-continentali, in Resp. civ. prev., 2019, 1762 ss.; Ratti, Riflessioni in materia di responsabilità civile e danno cagionato da dispositivo intelligente alla luce dell’attuale scenario normativo, in Contratto impr., 2020, 1174 ss.; Ruffolo (a cura di), XXVI lezioni di Diritto dell’Intelligenza Artificiale. Saggi a margine del ciclo seminariale “Intelligenza Artificiale e diritto” (2020), Torino, 2021; Ruffolo, Intelligenza Artificiale, machine learning e responsabilità da algoritmo, in Giur. it, 2019, 1689 ss.; Salanitro, Intelligenza artificiale e responsabilità: la strategia della Commissione europea, in Riv. dir. civ., 2020, 1246 ss.; Scognamiglio, Responsabilità civile ed intelligenza artificiale: quali soluzioni per quali problemi?, in Resp. civ. prev., 2023, 1073; Teubner, Soggetti giuridici digitali? Sullo status privatistico degli agenti software autonomi, a cura di Femia, Napoli, 2019 e più di recente Teubner, Responsabilità civile per i rischi della digitalità, in Salanitro (a cura di), Smart – La persona e l’infosfera, Pisa, 13 ss. Diversi altri contributi sul tema saranno citati nel corso del lavoro.

^[2] Gli studi dottrinali come i documenti istituzionali evidenziano le difficoltà sia nell’individuare una terminologia adeguata per denominare i dispositivi algoritmici che si avvalgono di metodologie e logiche provenienti dalla disciplina scientifica dell’Intelligenza artificiale, sia nel fornire una definizione sufficientemente precisa per rappresentare gli elementi caratterizzanti tali dispositivi, pur nella loro ampia varietà. Cfr. a livello dottrinale Italiano, Civitarese Matteucci, Perrucci, L’intelligenza artificiale: dalla ricerca scientifica alle sue applicazioni. Una introduzione di contesto, in Pajno, Donati, Perrucci (a cura di), Intelligenza artificiale e diritto: una rivoluzione? Diritti fondamentali, dati personali e regolazione. Vol. I, Bologna, 2022; Bertolini, Artificial intelligence does not exist!, cit., 369 ss. A livello istituzionale, v. il rapporto Samoili et al., AI WATCH. Defining Artificial Intelligence, Luxembourg, 2020. In questa sede, si adotterà la definizione formulata nel Regolamento che stabilisce regole armonizzate sull’intelligenza artificiale (c.d. Legge sull’IA). Il 9 dicembre 2023, dopo lunghe negoziazioni, il Consiglio e il Parlamento europeo hanno raggiunto un accordo provvisorio sul Regolamento, il cui testo è stato approvato dal Parlamento il 13 marzo 2024. Il testo, ove approvato dal Consiglio e adottato definitivamente, entrerà in vigore 20 giorni dopo la pubblicazione in Gazzetta Ufficiale e sarà applicabile entro due anni dalla pubblicazione, con alcune eccezioni. Non essendo stato ancora pubblicato il testo definitivo, nel contributo si farà riferimento al testo del Regolamento nella versione approvata dal Parlamento, reperibile al seguente indirizzo web: https://www.europarl.europa.eu/news/it/press-room/20240308IPR19015/il-parlamento-europeo-approva-la-legge-sull-intelligen
za-artificiale. La definizione di sistemi di IA originariamente formulata dalla Commissione nella relativa Proposta, pubblicata il 21 aprile 2021, è stata emendata dapprima dal Consiglio d’Europa (6 dicembre 2022), poi dal Parlamento europeo (14 giugno 2023) e ulteriormente precisata nella versione adottata dal Parlamento nel marzo 2024, il cui testo afferma che il sistema di intelligenza artificiale (sistema di IA) è «un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali» (art. 3, punto 1).

^[3] Si tratta dei sistemi i cui processi decisionali non sono fondati su regole e conoscenza predeterminate, ma su un metodo di apprendimento, maturato nella fase di addestramento e fondato sull’analisi automatizzata dei c.d. training data, che consente al sistema di sviluppare da sé la regola più corretta per svolgere il compito assegnatogli. L’utilizzo di questo metodo, specie ove supportato da tecniche di apprendimento profondo (c.d. deep learning), amplia lo spettro delle capacità di decisione dell’IA, al contempo diminuendo quelle di governo dell’essere umano in quanto: a) l’algoritmo presenta una maggiore dipendenza dalla serie di dati esterni utilizzati per sviluppare la propria regola decisionale, la cui qualità e correttezza sono difficili da verificare; b) risulta difficile ottenere una spiegazione chiara delle ragioni che hanno condotto a una certa decisione/output; c) aumenta il ventaglio di possibili output per svolgere il compito.

^[4] Entrambe le Proposte sono state pubblicate dalla Commissione in data 28 settembre 2022: sulla prima (COM(2022) 495 final) è stato raggiunto un accordo politico tra Consiglio e Parlamento in data 14 dicembre e in data 12 marzo il testo è stato adottato in via definitiva dal Parlamento europeo e attende l’approvazione del Consiglio: in attesa della conclusione della procedura e della pubblicazione in Gazzetta Ufficiale, nel contributo si farà riferimento a quest’ultima versione, reperibile al seguente indirizzo web: https://www.europarl.europa.eu/news/it/press-room/20240308IPR18990/prodotti-difettosi-proteggere-meglio-i-consumatori-dai-danni; quanto alla seconda (COM(2022) 496 final) occorrerà vedere se le istituzioni riusciranno a chiudere l’iter, nonostante la ravvicinata scadenza dei mandati.

^[5] In merito alla Legge sull’IA v. nota 2. Il quadro giuridico regolamentare contempla poi una serie di altre normative, molte delle quali oggetto di rinnovamento, tra cui ad esempio la direttiva macchine e la direttiva sulla sicurezza generale dei prodotti.

^[6] L’approccio è frutto della più ampia riflessione di ordine speculativo sulle implicazioni etiche dell’IA, condotta dal Gruppo di esperti ad alto livello sull’intelligenza artificiale, istituito dalla Commissione europea nel 2018, i cui risultati sono stati raccolti nel documento Orientamenti etici per un’IA affidabile, pubblicato l’8 aprile 2019. L’impostazione «antropocentrica» è stata ufficialmente accolta dalla Commissione, con la Comunicazione Creare fiducia nell’intelligenza artificiale antropocentrica (8 aprile 2019, COM 168 finale) ed è stata assunta quale cifra etica e ideologica sulla cui base costruire una Normativa europea sull’IA (al tempo in cui si scrive in via di definizione) da esportare come modello normativo. In tema cfr. Resta, Cosa c’è di “europeo” nella Proposta di Regolamento UE sull’intelligenza artificiale, in Camardi (a cura di), La via europea per l’intelligenza artificiale. Atti del Convegno del Progetto Dottorale di Alta Formazione in Scienze Giuridiche, Ca’ Foscari Venezia, 25-26 novembre 2021, Milano, 2022, 53 ss., nonché in Dir. Inform., 2, 2022, 323 ss. Per alcune riflessioni in chiave geopolitica si veda altresì Finocchiaro, La Proposta di regolamento sull’intelligenza artificiale. Il modello europeo basato sulla gestione del rischio, in Camardi (a cura di), La via europea per l’intelligenza artificiale, cit., 215 ss.

^[7] Negli Orientamenti etici si era evidenziata la necessità di assicurare il rispetto di una serie di requisiti etici che, nella versione emendata del testo della Legge sull’IA approvato dal Parlamento nel giugno 2023, avevano assunto la caratterizzazione giuridica di veri e propri “principi generali applicabili a tutti i sistemi di IA” (v. art. 4 bis): si tratta, più nello specifico, dei principi di: a) intervento e sorveglianza umani; b) robustezza tecnica e sicurezza; c) vita privata e governance dei dati; d) trasparenza; e) diversità, non discriminazione ed equità; f) benessere sociale e ambientale (l’unico requisito non riprodotto era quello dell’accountability, non del tutto coerente con l’approccio “deterministico” scelto dalla Commissione europea). Nella versione del Regolamento approvata dal Parlamento europeo nel marzo 2024, il riferimento ai principi nell’articolato non compare, trovando spazio nel considerando 27 e assumendo dunque un carattere non vincolante. Sui principi generali in materia di IA si veda cfr. Cosio, Il regolamento europeo sull’intelligenza artificiale. I principi generali, in UE e internazionale, settembre 2023. Sulla differenza tra l’approccio deterministico della Proposta di legge sull’IA e quello basato sull’accountability del Regolamento generale sulla protezione dei dati personali (2016/679) si veda Ottalia, Il governo dell’algoritmo, in AIDA, 2022, 301 ss., spec. 308 ss.

^[8] In questo senso, la già citata Comunicazione della Commissione Creare fiducia nell’intelligenza artificiale antropocentrica. Il riferimento allo status morale unico e inalienabile dell’essere umano si rinviene negli Orientamenti etici del Gruppo di esperti ad alto livello sull’intelligenza artificiale.

^[9] Si pensi ai problemi legati alla produzione di decisioni discriminatorie perché fondate su set di dati caratterizzati da biases, le quali sono difficilmente individuabili da un singolo soggetto. In tema si veda Ottalia, Il governo dell’algoritmo, cit., 306, Infantino, La responsabilità per danni algoritmici: prospettive europeo-continentali, cit., 1762 ss.

^[10] Si sofferma sul punto Orlando, Regole di immissione sul mercato e pratiche di intelligenza artificiale vietate, in Camardi (a cura di), La via europea dell’intelligenza artificiale, cit., 267 ss., spec. 277 ss.

^[11] La proposta di Regolamento formulata nel 2021 si riferiva alla figura dell’utilizzatore del sistema di IA; il Parlamento europeo, nella versione approvata con emendamenti nel giugno 2023, si riferiva alla figura dell’operatore; da ultimo, nella versione approvata dal Parlamento europeo nel marzo 2024, ci si riferisce alla figura del deployer (così anche nella versione in italiano), a cui, pertanto, si farà riferimento in questo contributo, non essendo ancora stato pubblicato il testo nella versione definitiva. La definizione è rimasta tuttavia identica: «qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la sua autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale». Il termine «operatore», in quest’ultima versione, si riferisce a una categoria più ampia di soggetti, comprensiva del «fornitore, fabbricante del prodotto, deployer, rappresentante autorizzato, importatore o distributore».

^[12] Esemplificando, rientrano nella categoria dei sistemi di IA vietati quelli che «utilizza[no] tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l’effetto di materialmente il comportamento di una persona o di un gruppo di persone […] in un modo che provochi o possa provocare a tale persona, a un’altra persona o a un gruppo di persone un danno significativo»; nei sistemi di IA ad alto rischio sono invece compresi quelli «destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati»; nei sistemi non qualificati ad alto rischio rientrano i sistemi di IA usati per il «riconoscimento delle emozioni» o sistemi di «categorizzazione biometrica» o, ancora sistema di IA «che genera[no] o manipola[no] immagini o contenuti audio o video che costituiscono un “deep fake”». Un sistema è qualificato ad alto rischio se soddisfa le condizioni previste dall’art. 6 del Regolamento, il quale, all’All. III, contiene una elencazione specifica (ma modificabile dalla Commissione) di sistemi qualificabili (salva prova contraria del fornitore ai sensi dell’art. 6, par. 4) come ad alto rischio.

^[13] Così, espressamente, nella Relazione illustrativa della Proposta di direttiva sulla responsabilità da IA, cit., p. 2.

^[14] Si vedano in particolare: Commissione europea, Staff Working Document, Liability for Emerging Digital Technologies, che accompagna la Comunicazione Artificial intelligence for Europe (SWD(2018) 137 final; il Report della Commissione on the approximation of the laws, regulations, and administrative provisions of the Member States concerning liability for defective products (85/374/EEC), (COM(2018) 246 final) e il Report dell’Expert Group on Liability and New Technologies, Liability for Artificial Intelligence and other Emerging Digital Technologies, 2019.

^[15] Quest’ultimo può invero dipendere da criticità connesse alla fase di ideazione, progettazione o di sviluppo dell’architettura algoritmica; all’interazione del dispositivo algoritmico con l’ambiente fisico o tecnologico da cui vengono tratte le informazioni, in forma di dati input, necessarie per l’apprendimento e per la generazione degli output in vista del raggiungimento degli obiettivi, impliciti o espliciti, perseguiti dal suo operatore (problemi di connettività; biases nei dati; intrusioni di terzi sfruttando vulnerabilità di cibersicurezza); e, ancora, alla capacità dell’output di influenzare a sua volta l’ambiente esterno in cui il dispositivo è chiamato a operare, introducendo nuove informazioni che verranno utilizzate come dati input per future decisioni algoritmiche (biases contenuti in output poi a loro volta utilizzati come informazioni per “educare” altri modelli e/o che vengono interiorizzati nei modelli stessi). Cfr. in tema Ottalia, Il governo dell’algoritmo, cit., 303; per una approfondita analisi delle problematiche poste dai sistemi di IA in ragione delle principali caratteristiche tecniche si veda: Peruzzi, Intelligenza artificiale e lavoro. Uno studio su poteri datoriali e tecniche di tutela, Torino, 2023.

^[16] Il problema dell’autonomia ha avuto grande risalto negli studi sulla responsabilità da intelligenza artificiale, suscitando un’ampia riflessione specie in ordine al soggetto a cui, in una prospettiva di politica del diritto, avrebbe dovuto essere addebitato il costo dei danni ad essa connessa. Nella normativa sull’UE il problema risulta affrontato solo in via indiretta, attraverso la predisposizione di una serie di requisiti tecnici e misure di gestione del rischio volte a ridurre il grado di indeterminatezza della scelta autonoma sì da potere ricondurre quella “errata” sempre a un’azione (o omissione) umana o un difetto del prodotto. In tal modo, tuttavia, il costo di individuare le ragioni della scelta autonoma sbagliata viene scaricato sulla vittima, la quale – per ottenere il risarcimento – dovrà provare causalmente a chi quella scelta sia addebitabile. Il punto sarà ripreso nel corso del contributo.

^[17] L’opacità può dipendere sia da scelte strategiche di “secretazione” delle formule algoritmiche necessarie per decodificare il processo decisionale all’origine dell’output, sia da una progettazione dell’architettura algoritmica tale da non rendere conoscibile o spiegabile, mediante un percorso a ritroso ex post, le ragioni e i patterns che hanno condotto alla generazione di uno specifico output. Cfr. sul punto Ottalia, Il governo dell’algoritmo, cit., 303. Si segnala, al riguardo, che il Regolamento sull’IA contempla, nell’at­tuale versione, un «diritto alla spiegazione dei processi decisionali» in cui siano coinvolti sistemi di IA ad alto rischio, volto a consentire alla persona interessata di comprendere in particolare il «ruolo del sistema di IA nella procedura decisionale e [i] principali elementi della decisione adottata» (art. 86). Da una prima e ancora provvisoria lettura della norma, non pare che il legislatore abbia con tale norma inteso estendere la spiegazione anche agli elementi relativi al funzionamento tecnico del sistema di IA.

^[18] Cfr. Gallone, Riserva di umanità e funzioni amministrative, Padova, 2023.

^[19] Così si legge nella Risoluzione del Parlamento europeo del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’intelligenza artificiale (2020/2014(INL)), che accompagna la Proposta di regolamento sulla responsabilità per il funzionamento dei sistemi di intelligenza artificiale (corsivo aggiunto), sul quale si tornerà infra, § 5.

^[20] La letteratura è molto vasta sul tema. Per alcuni riferimenti di particolare interesse si vedano: Teubner, Soggetti giuridici digitali? Sullo status privatistico degli agenti software autonomi, a cura di Femia, ESI, Napoli, 2019; Beckers, Teubner, Three Liability Regimes for Artificial Intelligence. Algorithmic Actants, Hybrids, Crowds, Oxford, 2021; Beck, Über Sinn und Unsinn von Statusfragen: Zu Vor– und Nachteilen der Einführung einer elektronischen Person, in Hilgendorf, Günther (a cura di), Robotik und Gesetzgebung, Baden-Baden, 2013, 239 ss., spec. 255 ss.; Cirillo, I soggetti giuridici digitali, in Contratto e impr., 2020, 2, 573 ss.; Di Rosa, Soggettività giuridica e responsabilità robotica, in Cuocci, Lops, Motti (a cura di), La responsabilità civile nell’era digitale. Atti della Summer school, 2021, Bari, 2022, 163 ss.

^[21] Nella risoluzione del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica (2015/2103(INL)), il Parlamento europeo aveva aperto all’ipotesi di istituire i robot autonomi più sofisticati – quelli che prendono decisioni autonome o che interagiscono in modo indipendente con terzi – come persone elettroniche, in modo da renderli «responsabili di risarcire qualsiasi danno da loro causato […]» (cfr. punto 59 (f).

^[22] Cfr. in questo senso Alpa, Quale modello normativo per l’intelligenza artificiale?, in Contratto e impr., 2021, 1003 ss.; Finocchiaro, Intelligenza artificiale e responsabilità, in Contratto e impr., 2020, 2, 713 ss.; Ruffolo, Il problema della “personalità elettronica”, cit., 76 ss. D’altra parte, rilevano diversi autori, la creazione di un patrimonio separato, riferibile direttamente al sistema di IA, richiederebbe l’istituzione di una nuova unità soggettiva. Cfr. in questo senso, ex multis, Ruffolo, Il problema della personalità elettronica, cit., 77 ss.

^[23] Su cui Wagner, Forschungsinstitut für Recht und digitale Transformation, Working Paper Series, 2019, www.rewi.hu-berlin.de/de/lf/oe/rdt/pub/working-paper-no-2, 22, secondo cui la creazione di un’autonoma entità giuridica può contribuire a limitare la responsabilità di produttori e degli utenti che contribuiscono all’azione lesiva e stimolarli ad assumere più rischi a costi inferiori, in modo simile a quanto avviene nel diritto societario.

^[24] Cfr. in questo senso la Risoluzione del Parlamento europeo in tema di responsabilità da IA (2020/2014(INL)) e, specialmente, il punto 7 della Risoluzione e il cons. 6 della connessa Proposta di regolamento.

^[25] Il tema del rapporto tra le due normative è approfondito da Bellisario, Il pacchetto europeo sulla responsabilità per danni da prodotti e da intelligenza artificiale. prime riflessioni sulle proposte della Commissione, in Danno e resp. , 2, 2023, 153 ss.

^[26] Da noi Trimarchi, Rischio e responsabilità oggettiva, Milano, 1961, testo ripreso nel più recente La responsabilità civile: atti illeciti, rischio, danno, Milano, 2017, che riconduce tale ipotesi all’area della responsabilità oggettiva (la Direttiva del 1985 si riferisce a una responsabilità «senza colpa», mentre nella Proposta del 2022 si discorre apertamente di responsabilità oggettiva), sebbene con alcune deviazioni rispetto alla logica del rischio legata alla necessità di distinguere i rischi da attribuire ai terzi-utenti che non sono in tali casi estranei alla vicenda lesiva. Non è possibile ripercorrere le numerose teorie che sono state avanzate sul fronte dell’inquadramento della responsabilità da noi oggi contenuta agli artt. 114 ss. del Cod. Cons. Ci si limiterà a evidenziare che l’esimente del rischio da sviluppo induce a ravvisare, ove operante, una forma responsabilità soggettiva aggravata, poiché il produttore può liberarsi dimostrando l’assenza di colpa, legata al fatto che, sulla base delle conoscenze tecnico-scientifico, quel prodotto, nel momento in cui è stato messo in commercio, non poteva essere considerato difettoso. Sulla Normativa del 1985 si veda, oltre ai lavori citati nel prosieguo, Alpa, Carnevali, Di Giovanni, Ghidini, Ruffolo, Verardi, La responsabilità per danno da prodotti difettosi, Milano, 1990. Sull’evoluzione della disciplina sul danno da prodotto difettoso, anche in chiave comparata: Alpa (a cura di), Responsabilità del produttore, Milano, 2019. Sui problemi sollevati dalle nuove tecnologie, prima della Proposta della Commissione, si veda Montinaro, Responsabilità da prodotto difettoso e tecnologie digitali tra soft law e hard law, in Pers. merc., 4, 2020, 365 ss. Per un’approfondita analisi delle norme inserite nella Proposta di direttiva del 2022 sul prodotto difettoso e di quella sulla responsabilità da IA si veda Hacker, The European AI liability directives – Critique of a half-hearted approach and lessons for the Future, in Comput. Law Secur. Rev, 51, 2023, 1 ss.

^[27] In ragione delle finalità di questo scritto, nel testo si farà riferimento solo ad alcune delle principali novità, quelle più rilevanti in tema di IA, che la nuova Direttiva intende introdurre rispetto alla normativa del 1985. Come segnalato, l’ambito applicativo è più ampio e importanti novità sono introdotte sia con riguardo alla nozione di danno rilevante ai fini della Direttiva, sia dei soggetti chiamati a rispondere qualora il fabbricante sia stabilito al di fuori dell’UE (su cui si vedano, rispettivamente, le note 31 e 32). La Normativa, inoltre, mira a modernizzare la disciplina anche con riguardo al nuovo contesto dell’economia circolare.

^[28] Cfr. su tali aspetti, rispettivamente, i cons. 13, 16 e 17, nonché l’art. 4 della nuova Direttiva. La nozione di «controllo del fabbricante» risulta particolarmente ampia, comprendendo sia l’ipotesi in cui il fabbricante esegue o autorizza o consente: «i) l’integrazione, l’interconnessione o la fornitura di un componente, compresi aggiornamenti e migliorie del software, o ii) la modifica di un prodotto, incluse modifiche sostanziali», sia l’ipotesi in cui il fabbricante «è in grado di fornire aggiornamenti o migliorie del software direttamente o tramite terzi» (v. art. 4, punto 5).

^[29] Si parla più precisamente di distruzione o corruzione di dati non usati a fini professionali (cfr. art. 6, lett. c). Non è invece stata accolta l’opzione legislativa che prevedeva la possibilità di attivare la normativa anche nel caso di danni derivanti da violazioni di diritti fondamentali, quali violazioni della vita privata o discriminazioni (ad esempio a causa di un software basato sull’IA per l’assunzione di personale), espressamente esclusi dall’ambito applicativo della Direttiva (cons. 24).

^[30] Seguendo una logica di facilitazione nell’individuazione del danneggiato già caratterizzante la Direttiva del 1985, nel caso in cui il fabbricante sia stabilito al di fuori dell’Unione, possono essere ritenuti responsabili l’importatore del prodotto o di un componente difettoso, il rappresentante autorizzato del fabbricante, nonché – ad ulteriore tutela – il fornitore dei servizi di logistica, nei casi tutti i predetti soggetti siano stabiliti fuori dell’Unione (art. 8). Si tratta di una novità rilevante, tanto da costituire, secondo alcuni autori, un fattore di regolazione destinato ad essere esportato anche fuori dai confini dell’Unione: cfr. Wagner, Liability Rules for the Digital Age – Aiming for the Brussels Effect, in Journal of European Tort Law, 2022, 191 ss., 242. Il contenuto delle regole proposte su questo fronte, con particolare riferimento alle piattaforme di commercio elettronico, è oggetto di approfondita analisi, anche in chiave comparata, in Petruso, Smorto, Responsabilità delle piattaforme digitali e trasformazione della filiera distributiva nella proposta di direttiva sui prodotti difettosi, in Danno e resp. , 2023, 8 ss.

^[31] Al riguardo, la Direttiva prevede, all’art. 11, par. 1, una esenzione del fabbricante dalla responsabilità qualora riesca a provare che «è probabile che il difetto che ha causato il danno non esistesse al momento in cui il prodotto è stato immesso sul mercato, messo in servizio o, nel caso di un distributore, messo a disposizione sul mercato, o che tale difetto è sopravvenuto dopo tale momento», esenzione che, tuttavia, non opera nelle ipotesi menzionate nel corpo del testo, a norma dell’art. 11, par. 2.

^[32] Sul punto si permetta di rinviare al mio Responsabilità civile e cibersicurezza nell’ecosistema dell’Internet delle cose, in Giustiziacivile.com, 2020, 1 ss., dove si era argomentato in favore dell’estensione del concetto di difetto del prodotto anche alle vulnerabilità in termini di cibersicurezza, nell’ottica di creare maggiori incentivi all’investimento in sicurezza informatica, considerato un obiettivo strategico per assicurare la fiducia dei consumatori e, di conseguenza, garantire il buon funzionamento del mercato.

^[33] Giova osservare che, in virtù di un nuovo paragrafo non previsto nell’originaria Proposta di direttiva, la regola può trovare applicazione anche in favore del convenuto che, alle stesse condizioni, può chiedere che l’attore sia tenuto a divulgare i pertinenti elementi di prova a sua disposizione (art. 9, par. 2).

^[34] Mette conto rilevare che, come affermato dalla giurisprudenza della Corte di Giustizia UE (21 giugno 2017, causa C-621/15), è già ammessa la prova del difetto per presunzioni semplici (nella nostra giurisprudenza, si veda in tal senso Cass. civ., Sez. III, 25 settembre 2018, n. 22571).

^[35] Così espressamente il cons. n. 14. Il principio trova espressione nel testo normativo all’art. 1 co. 4, nel quale si riferisce che gli Stati membri possono non solo mantenere, ma anche adottare norme nazionali più favorevoli all’attore, a condizioni che tali norme siano compatibili con il diritto dell’Unione. La disposizione pare così contraddire quanto affermato nella relazione illustrativa, laddove si afferma che la Direttiva è volta a evitare interventi normativi da parte dei singoli stati membri, nella tradizionale ottica di scongiurare la frammentazione giuridica. Ad ogni modo, quand’anche la norma fosse interpretata solo nel senso di consentire all’attore di invocare regole più favorevoli applicando norme già esistenti (come sembrerebbe lasciar intendere il cons. 14), questo tipo di approccio mal si concilia con l’esigenza di evitare l’incertezza giuridica che consegue all’applicazioni di regimi differenti per le imprese operanti all’intero del mercato unico.

^[36] «Utenti» nell’attuale formulazione della proposta di Direttiva sull’IA, in quanto coordinato con il testo della Legge sull’IA per come proposta dalla Commissione europea nell’aprile 2021. Come precisato sopra, nella versione adottata dal Parlamento nel marzo 2024, il termine utente è sostituito con deployer, dizione che, in attesa della pubblicazione in Gazzetta Ufficiale, è utilizzato anche nella versione italiana del testo.

^[37] Appare quindi impreciso il riferimento, nella relazione accompagnamento della Proposta (p. 4), al fatto che la normativa troverà applicazione con riguardo alle azioni nazionali per colpa intentate, oltre che per qualunque tipo di danno, anche contro qualsiasi danneggiato (onde rimarcare la differenza rispetto alla complementare Direttiva sul prodotto difettoso).

^[38] Cfr. il cons. 3 che, con linguaggio ancora più oscuro, sembra far ruotare la fattispecie sulla colpa nella produzione di «un determinato input, di cui è responsabile la persona potenzialmente tenuta a rispondere del danno, [che] ha provocato un determinato output del sistema di IA, che a sua volta ha causato il danno in questione», segnalando come la prova di tali elementi risulterebbe alquanto difficile.

^[39] Nella Proposta di direttiva sull’IA si faceva rinvio all’art. 24 o all’art. 28, par. 1, del testo della Proposta di Regolamento sull’IA. Nella versione approvata dal Parlamento nel marzo 2024, tali disposizioni sono sostanzialmente confluite nell’art. 25 del Regolamento (Responsabilità lungo la catena del valore dell’IA).

^[40] L’articolo precisa, al par. 4, che nel valutare la proporzionalità di un ordine di divulgazione o di conservazione degli elementi di prova, gli organi giurisdizionali nazionali devono tenere conto dei legittimi interessi di tutte le parti, compresi i terzi interessati, specialmente in relazione alla normativa sui segreti commerciali e alle informazioni riservate.

^[41] L’art. 3 par. 5 stabilisce che la presunzione si applica «in particolare» nelle circostanze di cui all’art. 4, par. 2 e 3, le quali fanno riferimento alle domande proposte contro il fornitore e le persone soggette agli obblighi del fornitore. La formula è ambigua ma sembrerebbe escludere l’applicabilità all’utente-deployer, che è l’unico altro soggetto a cui può applicarsi l’ordine di divulgazione ex art. 3.

^[42] Il fraseggio utilizzato dal legislatore – secondo cui occorre provare la colpa del convenuto «consistente nella non conformità a un obbligo di diligenza […] direttamente inteso a proteggere dal danno verificatosi» – appare ambiguo, posto che, per come strutturata la fattispecie, la colpa si ricollega causalmente solo all’output e non anche – almeno direttamente – all’evento dannoso.

^[43] Difficoltà che, si legge nella relazione illustrativa, «devono essere valutate alla luce delle caratteristiche di determinati sistemi di IA, come l’autonomia e l’opacità, che nella pratica rendono estremamente difficile la spiegazione del funzionamento interno del sistema di IA e pregiudicano la capacità dell’attore di dimostrare l’esistenza del nesso di causalità tra la colpa del convenuto e l’output del sistema di IA».

^[44] Rilevano Gianti, Monateri, Siliquini Cinelli, in Danno e risarcimento, che assegnare alla colpa il ruolo di criterio “normale” di imputazione non significa riconoscerne una prevalenza sul piano semantico, né – aggiungeremo – su quello sistematico. In tema, Calabresi, The Costs of Accidents. A Legal and Economic Analysis, Yale University Press, New Haven and London, 1970, tradotto nel 1975 con presentazione di Rodotà, e ristampato nel 2015, con presentazione di Al Mureden, Costo degli incidenti e responsabilità civile. Analisi economico-giuridica, Milano.

^[45] In questo senso cfr.: Cass. civ., 22 marzo 2011, n. 6528, nella quale si osserva che le regole di responsabilità previste dagli artt. 2049 a 2054 c.c., (a differenza di quelle di cui agli artt. 2047 e 2048 c.c.), sono tra loro strettamente collegato in quanto «sono tutte ipotesi in cui il danno è causato da un bene che si trova in particolare relazione col soggetto medesimo, oppure da un’attività direttamente svolta o esercitata a mezzo di un’entità strumentale inanimata (cosa), animale, umana (preposto)».

^[46] Cfr. per un richiamo complessivo a questi tradizionali orientamenti Bussani, Le funzioni delle funzioni della responsabilità civile, in Riv. dir. civ., 2022, 2, 264 ss. La soluzione proposta dall’Unione europea muove nella direzione opposta agli studi dottrinali condotti nel più specifico ambito della responsabilità da intelligenza artificiale, i quali sono stati perlopiù convergenti nel ritenere insufficiente ed eccessivamente incerta l’applicazione del regime colposo di fronte alle peculiarità tecniche e operative dei sistemi autonomi. Cfr. in tema Wagner, Liability for Artificial Intelligence: A Proposal of the European Parliament, 2021, 1 ss., disponibile sul sito SSRN: https://ssrn.com/abstract=3886294; Alpa, Quale modello normativo per l’intelligenza artificiale?, cit., e Finocchiaro, Intelligenza artificiale e responsabilità, cit., 713 ss.

^[47] Critica fortemente tale scelta, evidenziandone i paradossi rispetto alla complementare Direttiva della Product liability, il BEUC, nel Position paper on the Proposal for an AI Liability Directive, 2.5.2023, spec. 5 ss.

^[48] Cfr. Gianti, Monateri, Siliquini Cinelli, Danno e risarcimento, Torino, 2013, 156-157.

^[49] Così si esprimeva Stefano Rodotà, nella relazione di sintesi tenuta al convegno svoltosi a Pisa nel marzo del 1977 su “Il ruolo della colpa nell’attuale sistema della responsabilità civile”. La relazione è pubblicata nella rivista Responsabilità civile e previdenza, 1978, 1, 3 ss. mentre gli atti del convegno sono pubblicati nella stessa Rivista, 1977, n. 5-6, 667 ss.

^[50] La Proposta di direttiva sulla responsabilità da intelligenza artificiale stabilisce espressamente che, trascorsi 5 anni dalla sua introduzione, si valuterà “la necessità di introdurre norme in materia di responsabilità oggettiva per le azioni avviate contro l’operatore di un sistema di IA in combinazione con un’assicurazione obbligatoria per il funzionamento di determinati sistemi di IA, come suggerito dal Parlamento europeo” (cons. n. 31).

^[51] Il riferimento è alla Proposta di regolamento formulato dal Parlamento europeo ed allegato alla già citata Risoluzione del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’intelligenza artificiale (2020/2014(INL)).

^[52] La prima dicitura è riscontrabile nel cons. n. 10; la seconda direttamente nell’art. 3 (e) del Regolamento proposto. Sebbene le definizioni utilizzino parametri diversi, quella di deployer accolta nella Legge sull’IA appare più vicina a quella dell’operatore front-end.

^[53] Riproponendo un approccio simile a quello già sperimentato in materia di responsabilità ambientale: cfr. sul tema Salanitro, Intelligenza artificiale e responsabilità, cit., 1246 ss.

^[54] Definiti in quel documento come i sistemi che operano in modo autonomo e che hanno un potenziale significativo di causare danni o pregiudizi a una o più persone in modo casuale e che va oltre quanto ci si possa ragionevolmente aspettare. Cfr. Art. 3, lett. c) della Proposta che enucleava altresì una serie di criteri per definire l’importanza del potenziale, il quale dipende «dall’interazione tra la gravità dei possibili danni o pregiudizi, dal grado di autonomia decisionale, dalla probabilità che il rischio si concretizzi e dalla modalità e dal contesto di utilizzo del sistema di IA».

^[55] In questo senso, cfr. cons. n. 8 della Proposta di regolamento del Parlamento.

^[56] Si veda sul punto Salanitro, Intelligenza artificiale e responsabilità: la strategia della Commissione europea, cit., 1246 ss.

^[57] In questo senso cfr. Wagner, Liability Rules for the Digital Age, cit., 197 ss., il quale, a differenza di quanto si argomenterà nel prosieguo, avversa del tutto l’opportunità di introdurre una regola volta ad addossare la responsabilità all’operatore-deployer: muovendo dalla premessa per cui «coloro che non sono in grado di evitare la causazione del danno aumentando il livello di precauzioni non dovrebbero essere soggetti a una regola di responsabilità oggettiva», l’A. sostiene che l’opzione per un regime di responsabilità oggettiva dell’operatore è da scartare in quanto esso «non è nella posizione di determinare il suo comportamento» (trad. it. dell’Autore di questo scritto).

^[58] L’approccio desta perplessità perché finisce per rimettere la selezione dei modelli di responsabilità da IA a un argomento fondato sull’analogia ontologica (considerata la loro intrinseca diversità) tra i sistemi di IA e le cose, trascendendo – o comunque mettendo in subordine – una valutazione circa l’idoneità dei dispositivi in essi previsti ad assicurare una regola adeguata a sopperire alle specificità del modo di produzione dei danni della nuova fattispecie e ad assicurare un’effettiva tutela alle vittime.

^[59] Sull’inadeguatezza, in tema di responsabilità, della riconduzione dei sistemi di IA al mondo delle cose cfr. Costanza, L’intelligenza artificiale e gli stilemi della responsabilità civile, cit., 1686 ss., Scognamiglio, Responsabilità civile ed intelligenza artificiale, cit. spec. 1088. D’altra parte, la delega di funzioni umane ai sistemi di IA suggerisce, già sul piano sociologico, l’irridu­cibilità di tali decisioni al mero agire causale delle cose. In tema, si veda Latour, Politics of Nature, Cambridge, MA, USA, 1999 (trad. it. Gregorio, Politiche della natura. Per una democrazia delle scienze, Milano, 2000).

^[60] Mette conto rilevare che, ove si accetti una visione del sistema di responsabilità come composto da una pluralità di criteri di imputazione (spec. Rodotà, Il problema della responsabilità civile, Milano, 1964, opera ristampata, inalterata, con prefazione di Alpa, nel 2023), il meccanismo dell’analogia può operare, ricorrendone i presupposti, anche in relazione a regole di responsabilità diverse da quella “generale” per colpa.

^[61] Sul tema, nella dottrina italiana, si veda: Ruffolo, La responsabilità vicaria, Milano, 1976; Carusi, L’attuazione e tutela dei diritti, III. La responsabilità e il danno, Capitolo inserito nel Trattato di diritto civile diretto da Lipari, Rescigno e coordinato da Zoppini, vol. IV Milano, 2009, 484 ss.; Galoppini, La responsabilità dei padroni e dei committenti, in Cendon (a cura di), La responsabilità civile, XI, Torino, 1998, 107 ss.; De Menech, La responsabilità vicaria nel diritto vivente, in Nuova giur. civ. comm., 2017, 1604 ss.

^[62] Fu specialmente Pothier, Traité des obligations, Orléans, 1761 a ispirare la formulazione, all’interno del Code Napoléon, della regola sulla responsabilità di padroni e committenti, poi ripresa dal legislatore italiano del 1865.

^[63] Cfr. P. Trimarchi, La responsabilità civile, cit., 288.

^[64] Così recitava l’art. 1153 Codice civile del 1865: «I padroni ed i committenti [sono obbligati] pei i danni cagionati dai loro domestici e commessi nell’esercizio delle incombenze alle quali li hanno destinati». Nella versione del 1865 mancava unicamente il riferimento all’illiceità del fatto, la cui aggiunta nel codice oggi in vigore appare dettata da un’esigenza di coerenza con la dizione utilizzata nel Titolo IX del suo quarto libro.

^[65] In questo senso si veda: Monateri, La responsabilità civile, Torino, 1998; Alpa, La responsabilità civile, in Trattato di diritto civile, vol. IV, Milano, 1999; Franzoni, L’illecito, Milano, 2004; Ruffolo, La responsabilità vicaria, cit., 73 ss.

^[66] La ricorrenza del rapporto di preposizione non è invero subordinata all’esistenza di un rapporto di natura contrattuale, essendo sufficiente, secondo la nostra giurisprudenza di legittimità, che, per volontà di un soggetto (il preponente), un altro soggetto (il preposto) esplichi un’attività per conto del primo. Cfr. in questo senso: Cass. civ., Sez. II, ord. del 19 gennaio 2021, n. 28852.

^[67] V. infra, §§ 8 e 9.

^[68] Sull’evoluzione storico-sociale della regola cfr. Salvi, La responsabilità civile, in Trattato di diritto privato diretto da G. Iudica e P. Zatti, Milano, ed. II, 2005, 193 ss.

^[69] Cfr. Alpa, Responsabilità dell’impresa e tutela del consumatore, Milano, 1975, 385 in cui si afferma che «Nel sistema attuale di responsabilità […] i principi della responsabilità oggettiva si coagulano soprattutto intorno all’art. 2049 cod. civ.».

^[70] Monateri, Illecito e responsabilità civile, II, Trattato Bessone, X, Torino, 2002, 57 ss.

^[71] Per cui del danno risponde il soggetto nel cui interesse l’attività dell’autore della situazione-fonte del pericolo è preordinata. Cfr. Ruffolo, La responsabilità vicaria, cit., p. 73 ss.

^[72] Sulla scorta del quale del danno risponde il committente, quale soggetto che crea il rischio, in certa misura inevitabile, che dall’esercizio di un’attività, qualificata da un minimo di continuità e di organizzazione, derivino danni per i terzi. Cfr. Trimarchi, Rischio e responsabilità oggettiva, cit.

^[73] Così ritenendo che la regola sia espressione del principio per cui del danno risponde chi si trova nella posizione migliore per accertare la convenienza o meno di evitarlo, comparando i costi di prevenzione con quelli che conseguirebbero al danno. Castronovo, Problema e sistema nel danno da prodotti, Milano, 1979.

^[74] Calabresi, The Cost of Accidents, cit., e Id., Optimal deterrence and Accidents, in Yale L. J., vol. 84, 1975, 666 ss.

^[75] Fleming, The Law of Torts, ed. 9, Sydney, 1998, p. 410.

^[76] In questa prospettiva, si è fatto notare come lo scopo della responsabilità oggettiva (si aggiungerà qui, quella fondata sul rischio “decisionale”) sia quello di premere sul candidato responsabile affinché tenga conto del livello al quale conviene svolgere la propria attività economica. Cfr. Trimarchi, Rischio e responsabilità oggettiva, cit.

^[77] Tali elementi non penetrano direttamente nella fattispecie, andando a incidere sulla valutazione del singolo caso concreto. Tuttavia, essi possono contribuire a individuare le ragioni poste a fondamento del criterio di imputazione di cui si avvale la norma; e in questa seconda prospettiva, anche i rilievi circa la scelta e/o vigilanza degli ausiliari conservano una propria rilevanza

^[78] In questo senso si esprimeva una parte dei componenti del gruppo di esperti chiamato a occuparsi del tema su cui cfr. Report from the Expert Group on Liability and New Technologies, Liability for Artificial Intelligence, cit., 24.

^[79] Noto è altresì l’ampio dibattito in ordine all’impatto che il loro crescente utilizzo determinerà nel mondo del lavoro. Si veda in proposito il Future of Jobs Report 2023, del World Economic Forum, Maggio 2023.

^[80] Wagner, Verantwortlichkeit im Zeichen digitaler Techniken, in VersR, 12, 2020, 717 ss.

^[81] Cfr. Beckers, Teubner, Three Liability Regimes, cit., 37 ss.

^[82] È interessante rilevare come, in ambito giuslavoristico, si registrino casi (Trib. Padova, sez. lav., 16 luglio 2019, n. 550; Trib. Catania, sez. lav., sent. 4 novembre 2021, n. 4553), in cui l’utilizzo del sistema algoritmico di proprietà del committente, finalizzato all’assegnazione e alla gestione delle mansioni del personale dipendente dell’appaltatore, sia stato ritenuto elemento idoneo a fondare i poteri datoriali direttamente in capo al committente. In tema, con particolare riferimento alla prima sentenza, si veda Nannipieri, Eterodirezione “algoritmica” negli appalti della logistica. Verso un quadro giurisprudenziale in mutamento, in Rivista italiana di informatica e diritto, n. 1, 2023, 205 ss.; sulla seconda, cfr. Tagliabue, L’impatto delle nuove tecnologie sulla legittimità giuridica del contratto di appalto: note a margine di una sentenza del Tribunale di Catania, in Diritto delle relazioni industriali, 2022, n. 4, 1128 ss.

^[83] Come in precedenza osservato, la duplicazione dei segmenti causali è esplicita nell’ambito della Proposta di direttiva sulla responsabilità da intelligenza artificiale. Tuttavia, anche la soluzione prospettata dal Parlamento europeo imporrebbe una simile segmentazione causale, posto che, provato il nesso di causa tra output e danno, occorrerebbe provare chi, tra i possibili molteplici soggetti possibili, ha materialmente influito sull’azione del sistema di IA determinando la decisione dal quale è scaturito il danno.

^[84] In tema si veda Rizzo, La causalità civile, Torino 2022, 171 ss.

^[85] In particolare, sulla c.d. responsabilità “vicaria” cfr. Giliker, Vicarious Liability in Tort. A Comparative Perspective, Cambridge-New York, 2010. Sulla responsabilità oggettiva in chiave comparatistica cfr. Alpa, Bessone, La responsabilità civile, Milano, 2001; Ferrari, Atipicità dell’illecito civile. Una comparazione, Milano, 1992.

^[86] In alcuni ordinamenti ciò è favorito dal fatto che nulla o pochissimo in tema di prova esonerante è dalla disposizione previsto (cfr. art. 1384 (5) del Codice civile francese; art. 1384 (3) del Codice civile belga e lussemburghese; art. 922 del Codice civile greco; art. 500 del Código civil portoghese; art. 6:170 del BW; art. 2049 del nostro Codice civile); in altri casi, quelli in cui il legislatore, con scelta poco felice, ha espressamente sancito la facoltà di esonero mediante la prova della diligenza (cfr. art. 1903 (4) e (6) Código civil spagnolo; § 831 BGB e art. 55 Codice delle obbligazioni svizzero (RU)), è stata invece la giurisprudenza a forzare il dato normativo, elaborando le vie per eludere o aggirare, nella maggior misura possibile, la chance di attivare la clausola liberatoria.

^[87] In questo senso si esprimono, ad esempio, Ruffolo, Intelligenza Artificiale, machine learning e responsabilità da algoritmo, cit., spec. 1698 ss. e Scognamiglio, Responsabilità civile ed intelligenza artificiale: quali soluzioni per quali problemi?, cit., spec. 1086 ss.

^[88] Fatta eccezione per la c.d. colpa di organizzazione nel contesto dei reati dell’impresa sanzionati in via amministrativa dal D.lgs. 8 giugno 2001, n. 231, in cui la “colpa” dell’ente viene valutata sul piano dell’organizzazione aziendale, comparando il modello organizzativo adottato dall’ente con un modello ideale di riferimento che assurge a parametro di diligenza.

^[89] In questo senso, si esprimeva nella dottrina italiana, già alla fine dell’Ottocento, Coviello: La responsabilità senza colpa: prolusione al corso ordinario di diritto civile nella R. Università di Catania, 1897 ss. e, ancor prima, la necessità per la società di “rendere” lecite talune attività, quand’anche dannose si ritrova già in Merkel, Juristiche Encyclopädie, Berlin-Leipzig, 1885, § 666 ss. L’assunto diverrà centrale specie per le teorie in tema di responsabilità elaborate in chiave di analisi economica del diritto. Ma lo è altrettanto anche per le più recenti teorie sulla “tortificazione” del diritto civile che, invero, meglio si sposano con la struttura propria delle ipotesi oggettivate di responsabilità. In tema, si veda Spanò, Fare il molteplice. Il diritto privato alla prova del comune, Torino, 89 ss. e il dibattito statunitense intorno al New Doctrinalism, su cui cfr. Tilley, Tort Law Inside Out, in Yale L. J., vol. 126, 2017, 1320 ss.

^[90] Si vedano, in particolare, gli studi di Alpa, Responsabilità d’impresa e tutela del consumatore, Milano, 1975, spec. p. 390; Castronovo, Problema e sistema, cit., spec. 774 ss.; Carnevali, La responsabilità del produttore, Milano, 1974.

^[91] In questa direzione, muoveva la proposta ricostruttiva di Castronovo, Problema e sistema, cit., spec. 784 ss.

^[92] Cfr. ancora Castronovo, La nuova responsabilità civile, Milano, 1997, 34 ss.

^[93] Cass. civ., 21 novembre 1995, n. 12023.

^[94] Sul rapporto tra difettosità del prodotto e carenza di diligenza del produttore si veda Wagner, Verantwortlichkeit im Zeichen digitaler Techniken, cit., 726. L’Autore osserva che nella responsabilità del produttore il danneggiato deve dimostrare che il danno è stato causato da un difetto del prodotto, ossia dal mancato rispetto dello standard di sicurezza applicabile al prodotto. Facendo riferimento a uno standard di sicurezza oggettivamente determinato, tuttavia, il concetto di difetto del prodotto viene a corrispondere a quello di negligenza (anche qui intesa dall’Autore in senso oggettivo). La stessa Corte Suprema Federale tedesca (Der Bundesgerichtshof), in un caso relativo alla non corretta attivazione degli airbag di un’autovettura, ha rilevato l’aderenza tra il concetto di colpa nella responsabilità per fatto illecito e quello di difetto nella legge sulla responsabilità per danno da prodotto (cfr. BGH, sentenza del 16.6.2009 – VI ZR 107/08).

^[95] Su questa traiettoria, in common law e in civil law, si veda Smorto, Il criterio di imputazione della responsabilità civile: colpa e responsabilità oggettiva in Civil Law e Common Law, in Europa dir. priv., 2008, 423 ss.

^[96] Su cui si veda in particolare Monateri, Il dolo, la colpa e i risarcimenti aggravati dalla condotta, Torino, 2014, 143 ss.; Salvi, La responsabilità civile, cit., 160 ss.

^[97] Almeno secondo le ricostruzioni più accreditate, tra cui: Comporti, Esposizione al pericolo e responsabilità civile, Napoli, 1965, 9 ss.; Alpa, Bessone, I fatti illeciti, in Trattato di diritto privato diretto da P. Rescigno, Torino, 1982, 295 ss.; Rodotà, Il ruolo della colpa nell’attuale sistema, in Resp. civ. prev., 1978, 3 ss.

^[98] Monateri, Il dolo, la colpa e i risarcimenti aggravati dalla condotta, cit., 144, il quale A. sottolinea che la «nozione di colpa, come semplice deviazione da uno standard di comportamento, non è in contrasto, ma anzi convive, con una nozione di imputabilità come capacità di intendere e volere, tanto le conseguenze dannose dei propri atti, quanto la loro possibile antigiuridicità». Sebbene l’affermazione sia condivisibile in termini generali, va tuttavia rilevato che in taluni casi il giudizio di colpa prescinde o trascende da quello sull’imputabilità del danno al soggetto agente: è il caso dell’art. 2047 ss., della valutazione di cui all’art. 1227, co. 2 c.c. (sulle cui ipotesi cfr. Salvi, La responsabilità civile, cit., 156), nonché, in talune ipotesi, come si dirà oltre, dell’art. 2049 c.c., ove la colpa non costituisce il fondamento della responsabilità, quanto un mero presupposto dell’attivazione di una regola risarcitoria di tipo oggettivo.

^[99] Le parole sono riprese dalla sentenza resa a Sezioni unite dalla Cassazione penale nel caso Thyssenkrupp (Cassazione Penale, Sez. Unite, 18.09.2014, n. 38343), nella quale i giudici hanno reinterpretato i principi costituzionali posti alla base dell’illecito penale, evidenziando come la loro tenuta deve essere valutata sulla base delle peculiarità della fattispecie riguardante l’ente, «affatto diversa da quella che si configura quando oggetto dell’indagine sulla riprovevolezza è una condotta umana».

^[100] Non risulterebbe dunque a tal fine decisivo se la condotta sia frutto di pensiero cosciente o meno, frutto di logica “causale” o invece da “inferenza”, ma solo se sia difforme dal modello normativo di decisione costruito dall’ordinamento.

^[101] Cass. civ., 12 novembre 1979, n. 5851, sebbene la motivazione sia stata dai giudici costruita nei termini di un ossequioso tributo alla colpa, adducendo a fondamento della responsabilità ex art. 2049 c.c. per il danno cagionato dal preposto incapace la culpa in eligendo (per il preposto incapace sin dall’inizio) o in vigilando (per il preposto divenuto incapace in corso di rapporto) del preponente.

^[102] Trimarchi, La responsabilità civile: atti illeciti, rischio, ed. 1, 2017, 290.

^[103] Si vedano Geistfeld, A Roadmap for Autonomous Vehicles: State Tort Liability, Automobile Insurance, and Federal Safety Regulation, in Cal. L. Rev., vol. 105, 1611 ss.; Abbott, The Reasonable Computer: Disrupting the Paradigm of Tort Liability, in Geo. Wash. L. Rev., vol. 86, 2018, 1 ss.; Lemley, Casey, Remedies for Robots, in U. Chi. L. Rev., vol. 86, 2019, 1311 ss.; Wagner, Produkthaftung für autonome Systeme, in AcP, 217. Bd., H. 6, 2017, 707 ss.; Id., Verantwortlichkeit im Zeichen digitaler Techniken, cit., 717 ss., spec. 727 ss.; Zech, Entscheidungen digitaler autonomer Systeme: Empfehlen sich Regelungen zu Verantwortung und Haftung? Verhandlungen des 73. Deutschen Juristentags, vol. I, 2020, 69 ss.; Beckers, Teubner, Three Liability Regimes, cit., 84 ss.; Boghetti, Civil Liability for Artificial Intelligence: What Should its Basis Be?, in Rev. juristes Sci. Po., 2019, 94 ss. e ancor prima, dello stesso autore, How Can Artificial Intelligence Be Defective?, in Lohsse, Schulze, Staudenmayer (a cura di), Liability for Artificial Intelligence and the Internet of Things, Baden-Baden, 2018, 63 ss.

^[104] In questo senso si esprimeva anche l’Expert Group on Liability and New Technologies dell’Unione europea, nel Report Liability for Artificial Intelligence, cit., p. Sul punto si veda altresì Lemley, Casey, Remedies for Robots, cit., 1382 ss.

^[105] In questa prospettiva, cfr. in particolare Wagner, Verantwortlichkeit im Zeichen digitaler Techniken, cit., 728; Abbott, The Reasonable Computer, cit., 35 ss.

^[106] Sebbene il Reg. IA, a partire dalla versione emendata dal Parlamento nel 2023, abbia introdotto previsioni riguardanti i sistemi IA per finalità generali, definiti nell’ultima versione approvata dal Parlamento come «un sistema di IA basato su un modello di IA per finalità generali, che ha la capacità di perseguire varie finalità, sia per uso diretto che per integrazione in altri sistemi di IA» (art. 3 punto 66).

^[107] Fondamentale, a questi fini, è il rispetto dei requisiti e degli obblighi di trasparenza posti dalla legge sull’IA, su cui, d’altra parte, insistono le stesse istituzioni dell’Unione.

^[108] Cfr. Lemley, Casey, Remedies for Robots, cit., 1382 ss., sebbene in tal caso potranno valere regole più specifiche. Si veda in tema Calabresi-Al Mureden, Driverless cars. Intelligenza artificiale e futuro della mobilità, Bologna, 2021.

^[109] Cfr. Wendehorst, Strict Liability for AI and other Emerging Technologies, in Journal of European Tort Law, 2020, 150 ss., 159, 167, in relazione all’uso di sistemi di IA per l’assunzione o la selezione di lavoratori.

^[110] Perché l’omissione – intesa quale mancato impedimento di un evento che si ha l’obbligo giuridico di impedire – determina l’insorgere di una responsabilità extracontrattuale, essa deve essere imputabile al suo autore per colpa o dolo. Si veda Castronovo, La nuova responsabilità civile, cit., 318 ss.; Alpa, Relazione al convegno “Il ruolo della colpa nell’attuale sistema della responsabilità civile”, in Resp. civ. prev., n. 5-6, 1977, 677 ss.

^[111] Beckers, Teubner, Three Liability Regimes, cit., 68.

^[112] Su cui si veda di recente Rizzo, La causalità civile, cit., 177 ss.

^[113] Il riferimento è qui alle diverse tipologie di rischio prospettate in tema di intelligenza artificiale da Beckers, Teubner, Three Liability Regimes, cit., 14 ss. Gli autori segnalano come, oltre al il rischio di autonomia, che deriva dalle “decisioni” indipendenti degli agenti software, vi siano due ulteriori e più complessi rischi: il rischio di associazione, che deriva da azioni o decisione assunte in stretta collaborazione tra esseri umani e agenti software, tale per cui non è possibile distinguere il contributo di ciascuno (per cui si propone una responsabilità ricalcata su quella societaria); e il rischio di interconnessione, il quale ricorre allorché i sistemi algoritmici non agiscono in modo isolato, ma in stretta interdipendenza con altri sistemi dal quale sono reciprocamente influenzati (per cui si propone l’attribuzione della responsabilità direttamente alla catena di decisioni, istituendo dei pool risks, i cui partecipanti sono stabiliti dal diritto). Cfr. in tema il lavoro, ancor più di recente, degli stessi autori: Responsibility for Algorithmic Misconduct: Unity or Fragmentation of Liability Regimes?, in Yale J.L. & Tech, Special issue, vol. 25, 2023, 76 ss.

^[114] Un tale modo di procedere potrebbe favorire una maggiore diversificazione o complessificazione dei regimi di responsabilità (o anche una rimodulazione delle tecniche di imputazione), estendendo i confini operativi della responsabilità anche alle ipotesi dominate da una strutturale e fisiologica incertezza causale. Si è tentato di mettere a “nudo” la sequenza di “riduzione della complessità” che connota l’applicazione dei criteri di imputazione senza colpa in Monterossi, Liability for the Fact of Autonomous Artificial Intelligence Agents. Things, Agencies and Legal Actors, in Global Jurist, 2020, 1 ss. In questa sede, il rilievo è utile a preparare il terreno per l’ultima parte dell’analisi.

^[115] Cfr. in questo senso Teubner, Digital Personhood? The Status of Autonomous Software Agents in Private Law, in Ancilla Iuris, 2018, 35 ss.

^[116] Castronovo, Problema e sistema, cit., cap. II, nota 163.

^[117] Su cui cfr. Salvi, La responsabilità civile, cit., 185. I committenti, specie ove rivestano il ruolo di datori di lavoro, ridurranno il proprio rischio attraverso la stipula di polizze assicurative per i danni o le perdite cagionate dal fatto illecito dei loro dipendenti, così trasferendo i relativi costi ai loro clienti sotto forma di prezzi più alti. In tali ipotesi, sarà al più la compagnia assicuratrice, tramite surrogazione, ad agire contro l’autore materiale del danno.

^[118] Giliker, Vicarious Liability in Tort, cit., 30 ss.