Normative europee

L’Unione Europea (UE) continua il disegno di un quadro normativo della sfera digitale

Lo scorso 28 settembre, la Commissione europea ha rilasciato una revisione della Direttiva sulla responsabilità del prodotto (Product Liability Directive -PLD), unitamente alla sua proposta legislativa sulla responsabilità dell’AI AI Liability Directive- ALD. Esaminiamola in dettaglio

Pubblicato il 20 Ott 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant//BCI Cyber Resilience Committee Member/CLUSIT Scientific Committee Member/BeDisruptive Training Center Director/ENIA - Comitato Scientifico

Quantum Computing e blockchain

Nell’ultimo anno l’UE ha avviato un processo accelerato di regolamentazione della sfera digitale. Ne sono una prova diversi importanti atti legislativi, tra cui il Digital Services Act, il Digital Markets Act e il Data Governance Act, senza dimenticare l’AI Act, presentato nell’aprile 2021 e attualmente in discussione tra gli Stati membri e al Parlamento europeo. In quest’ottica, lo scorso 28 settembre, la Commissione europea ha rilasciato una revisione della Direttiva sulla responsabilità del prodotto (Product Liability Directive -PLD), unitamente alla sua proposta legislativa sulla responsabilità dell’AI  AI Liability Directive- ALD.

AI Liability Directive

Direttiva sulla responsabilità del prodotto (PLD) per danno da prodotti difettosi, adattamento alla transizione verde e digitale e alle catene globali del valore

La Commissione vuole abrogare la legislazione esistente e sostituirla con una direttiva completamente nuova in modo da adattare il quadro legislativo europeo alle tecnologie nuove ed emergenti come l’AI e da affrontare i nuovi modelli di business dell’economia circolare e le nuove catene di approvvigionamento globali.

Di fatto, la nuova direttiva consolida ulteriormente le attuali regole basate sulla responsabilità oggettiva dei produttori in termini di risarcimento per lesioni personali, danni alle cose o per perdita di dati o violazioni della privacy causate da prodotti non sicuri. Essa mira a garantire regole eque e chiare sia per le imprese sia per i consumatori, mediante:

  • l’aggiornamento delle norme in materia di responsabilità per i modelli di impresa dell’economia circolare, affinché risultino più chiare ed eque per le imprese che modificano in maniera sostanziale i prodotti;
  • l’aggiornamento delle norme in materia di responsabilità per i prodotti digitali, in termini di risarcimento dei danni nel caso in cui vari prodotti (i.e. robot, droni, sistemi smart home, ecc.) non risultino sicuri a causa di: aggiornamenti software, impiego di AI, servizi digitali necessari per il funzionamento del prodotto stesso, oppure quando i produttori non siano in grado di gestire le vulnerabilità in termini di cybersecurity;
  • la creazione di pari condizioni tra i consumatori e i produttori, richiedendo a quest’ultimi di divulgare gli elementi di prova e introducendo una maggiore flessibilità per la presentazione dei reclami, oltre ad alleggerire l’onere della prova in caso di danno quando si tratta di casi complessi come quelli riguardanti i prodotti farmaceutici o l’AI;
  • la creazione di condizioni più eque tra i produttori dell’area europea ed extra UE, permettendo ai consumatori danneggiati da prodotti non sicuri importati da paesi extra UE di rivolgersi all’importatore o al distributore per ottenere un risarcimento.

Inoltre, la direttiva prevede che la responsabilità continuerà anche dopo il lancio del prodotto sul mercato, ovvero gli sviluppatori continuerebbero a essere responsabili dei sistemi di AI che apprendono in modo indipendente e degli aggiornamenti o della mancanza di tali aggiornamenti, ovvero: il diritto del consumatore di citare in giudizio si estinguerà dopo 15 anni, anziché 10, nei casi che comportino lesioni personali o malattie latenti.

Ancora, i produttori di dispositivi connessi e di servizi correlati, in termini di patch di sicurezza, dovranno soddisfare i requisiti essenziali per affrontare le vulnerabilità degli hacker durante il ciclo di vita dei prodotti ai sensi del Cyber Resilience Act recentemente proposto.

Direttiva sulla responsabilità alla regolamentazione dell’AI (ALD)

È proposta per la prima volta un’armonizzazione mirata delle norme nazionali in materia di responsabilità dell’AI, nel tentativo di:

  • agevolare l’ottenimento di risarcimenti da parte di chi ha subito danni connessi a questa tecnologia;
  • armonizzare alcune norme che non rientrano nel campo di applicazione del PDL, nei casi in cui il danno è dovuto a comportamento illecito. Ciò include, ad esempio, violazioni della privacy o danni causati da problemi di sicurezza.

Di fatto, la nuova direttiva – conformemente agli obiettivi del Libro bianco sull’AI e del AI Act del 2021 – permetterà a chi ha subito danni causati da prodotti o servizi basati sull’AI di beneficiare dei medesimi livelli di protezione di cui godrebbe se i danni fossero riconducibili a qualsiasi altra circostanza.

L’AI Liability Directive- ALD), in termini di procedimento giudiziario, introduce una “presunzione di causalità” intesa a tutelare meglio chiunque abbia subito un danno causato dall’AI.

Inoltre, affinché si possa presumere il “nesso di causalità”, i ricorrenti dovranno dimostrare sia l’inosservanza dell’obbligo di diligenza da parte del fornitore sia dimostrare che sia “ragionevolmente probabile” che il difetto abbia influito sull’output dell’AI e abbia reso il sistema di AI pericoloso ed in grado di causare danni. I tribunali nazionali – grazie all’introduzione del “diritto di accesso alle prove” da parte delle aziende e dei fornitori di AI – potranno ordinare la divulgazione di informazioni pertinenti che, secondo la direttiva, dovrebbero essere proporzionate e limitate a quanto necessario per sostenere un reclamo.

È interessante osservare come la direttiva in termini di rischio di responsabilità – rispetto all’AI Act – non si limita a considerare il solo produttore di un sistema di AI, bensì anche gli altri attori dell’intera catena di approvvigionamento (i.e. sviluppatori o utenti).

AI Liability Directive: alcune considerazioni

La nuova direttiva AI Liability Directive- ALD è strettamente correlata all’AI Act dal momento che ne recepisce:

  • le definizioni e la distinzione tra AI ad alto rischio/non ad alto rischio;
  • i requisiti di documentazione e trasparenza, rendendoli operativi per la responsabilità attraverso il diritto alla divulgazione di informazioni e incentivando i fornitori/utenti di sistemi di AI a rispettare i loro obblighi ai sensi del AI Act.

La proposta dell’AI Act adotta un approccio tradizionale alla regolamentazione sulla sicurezza dei prodotti, includendo un elenco di requisiti essenziali che alcuni sistemi di AI ad alto rischio devono soddisfare per essere immessi nel mercato, quali: governance dei dati, supervisione umana, trasparenza, robustezza e resilienza del sistema rispetto al rischio di attacchi esterni e malfunzionamenti, oltre ad una serie di obblighi per i fornitori di AI e altri facenti parte della catena di approvvigionamento, incluso il distributore.

Di fatto, l’AI Act non include i diritti individuali dei cittadini e dei consumatori, tra cui il diritto di chiedere il risarcimento in caso di danno. Elemento questo che sarebbe soddisfatto dalla nuova ALD secondo cui la parte lesa ha l’onere di provare che l’imputato abbia violato i requisiti dell’AI Act basati sul rischio associato all’applicazione AI.

Pertanto, si può affermare che l’AI Liability Directive- ALD e l’AI Act sono complementari in quanto si applicherebbero in momenti diversi e, al contempo, si rafforzerebbero mutualmente dal momento che mentre l’AI Act mira a prevenire i danni, l’ALD stabilisce le condizioni per il risarcimento in caso di danno.

Interessante notare che il BEUC (Bureau Européen des Unions de Consommateurs – Organizzazione Europea delle Associazioni Consumatori) ha criticato l’ALD sostenendo che, contrariamente alle norme tradizionali sulla responsabilità del prodotto, nel caso in cui un consumatore viene danneggiato da un operatore di servizi di AI, dovrà dimostrare che la colpa è dell’operatore. Secondo il BEUC, tale procedimento risulta eccessivamente complesso – soprattutto considerando l’opacità e la complessità di molti sistemi di AI – a tal punto che renderà praticamente impossibile per il consumatore utilizzare le nuove direttive ed esercitare il proprio diritto al risarcimento dei danni. Pertanto, sarà interessante capire come si evolverà la direttiva prima della finale ratificazione.

Le due nuove direttive sono un’ulteriore conferma della volontà della Commissione europea di convertire l’Europa nell’hub globale per l’AI affidabile e per adattare il diritto privato alle nuove sfide poste da questa tecnologia, eliminando in questo modo ulteriori ostacoli per l’accesso al risarcimento da parte delle vittime e stabilendo, al contempo, garanzie per il settore dell’AI.

Conclusioni

Concludendo, si tratta di attuare un’innovazione tecnologica “armonica” indirizzata sia alla tutela e alla ricerca del bene comune sia al coinvolgimento di tutti gli attori nella complessità di un impegno non solo settoriale, ma che non perda di vista la persona nella sua interezza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Normative europee

    Artificial Intelligence Act: come garantire la trasparenza

    03 Ago 2023

    di Laura Liguori e Elena Mandarà

    Condividi

  • ANALISI

    AI ACT, cosa si muove attorno all’iter legislativo

    20 Set 2023

    di Chiara Ponti

    Condividi

Prossimo

Artificial Intelligence Act: come garantire la trasparenza

Articolo 1 di 3