Dopo avere ricordato un precedente articolo sulla materia https://www.personaedanno.it/articolo/diritto-europeo-sullintelligenza-artificiale-laccordo-del-9-dicembre-2023-sulla-proposta, sembra utile tornare nello specifico argomento della responsabilità civile per i danni cui potenzialmente l'intelligenza artificiale potrebbe dare luogo i quali a loro volta dovranno presumibilmente essere risarciti, con ciò pervenendo a tutte quelle argomentazioni, molto controverse in materia di nuove tecnologie, la responsabilità civile derivante dall’uso di strumenti basati sull’AI.
Una delle ipotesi che sono state fatte per regolare la materia è contenuta nella risoluzione del Parlamento Europeo del 20 ottobre 2020, con la quale è stata prospettata la possibilità di ricorrere alla responsabilità oggettiva del produttore regolata dalla Direttiva 85/374/CEE. In particolare, questa sussiste anche in assenza di colpa, qualora il danneggiato riesca a provare la difettosità del prodotto, il danno e il nesso di causalità tra quest’ultimo ed il difetto. A titolo di prova liberatoria, il produttore deve invece dimostrare, in base al c.d. rischio di sviluppo, l’imprevedibilità del difetto al momento della messa in circolazione o la sua sopravvenienza con una grande probabile difficoltà dal lato del consumatore a dimostrare il difetto, il danno subito e il nesso di causalità in relazione a dispositivi altamente tecnologici.
Anche per altre casistiche normate dal codice civile italiano possono sussistere problemi applicativi. Più precisamente, gli artt. 2050, 2051 e 2052 c.c., correlativamente dedicati alla responsabilità per l’esercizio di attività pericolose, alla responsabilità per danni causati da cose in custodia e a quella per danni causati da animali, sembrerebbe non propriamente adeguate alle fattispecie dei danni derivanti dai dispositivi basati sull’AI che non presentano pericolosità intrinseche particolari (art. 2050 c.c.) e hanno elementi di autonomia e prevedibilità che potrebbero impedire un riferimento agli artt. 2051 e 2052 c.c..
fermo restando ciò che rimane disegnato nella specifica regolamentazione europea e di cui si è accennato nel https://www.personaedanno.it/articolo/diritto-europeo-sullintelligenza-artificiale-laccordo-del-9-dicembre-2023-sulla-proposta, rimane tutta la partita di cui al titolo di questo articolo, l'aspetto connesso alla responsabilità civile (aquiliana o contrattuale che sia) affrontata nella proposta della Commissione europea presentata come proposta di direttiva europea su “Nuove regole di responsabilità sui prodotti e sull’IA per proteggere i consumatori e promuovere l’innovazione”, che si riporta di seguito.
Nello stesso documento normativo viene descritto come "Le norme nazionali vigenti in materia di responsabilità, in particolare per colpa, non sono adatte a gestire le azioni di responsabilità per danni causati da prodotti e servizi basati sull'IA. In base a tali norme, coloro che subiscono un danno sono tenuti a dimostrare un'azione o un'omissione illecita da parte della persona che ha causato il danno. Le caratteristiche specifiche dell'IA, tra cui la complessità, l'autonomia e l'opacità (il cosiddetto effetto "scatola nera"), possono rendere difficile o eccessivamente costoso, per quanti subiscono un danno, identificare la persona responsabile e dimostrare che sussistono i presupposti ai fini dell'esito positivo di un'azione di responsabilità. In particolare, quando chiedono un risarcimento, i danneggiati potrebbero dover sostenere costi iniziali molto elevati e affrontare procedimenti giudiziari notevolmente più lunghi rispetto a quanto accade nei casi che non riguardano l'IA, venendo pertanto del tutto dissuasi dal chiedere un risarcimento. Tali preoccupazioni sono state condivise anche dal Parlamento europeo (PE) nella sua risoluzione del 3 maggio 2022 sull'intelligenza artificiale in un'era digitale.".
Inoltre recita "la presente proposta si prefigge pertanto l'obiettivo di promuovere la diffusione di un'IA affidabile affinché sia possibile sfruttarne appieno i vantaggi per il mercato interno e si propone di conseguirlo garantendo a coloro che hanno subito danni causati dall'IA una protezione equivalente a quella di cui beneficiano quanti subiscono danni causati da prodotti di altro tipo. La proposta riduce inoltre l'incertezza giuridica per le imprese che sviluppano o utilizzano l'IA in relazione alla possibile esposizione alla responsabilità e previene la frammentazione derivante da adeguamenti specifici all'IA delle norme nazionali in materia di responsabilità civile.".
Dispone ancora la proposta di direttiva che nella proposta di legge sull'IA la Commissione ha elaborato norme volte a ridurre i rischi per la sicurezza e a tutelare i diritti fondamentali. Sicurezza e responsabilità sono due facce della stessa medaglia: si applicano in momenti diversi e si rafforzano a vicenda. Le norme volte a garantire la sicurezza e a tutelare i diritti fondamentali ridurranno i rischi, senza tuttavia eliminarli del tutto. Da tali rischi, qualora dovessero concretizzarsi, possono comunque scaturire dei danni. In tali casi si applicheranno le norme in materia di responsabilità previste dalla presente proposta.
Norme efficaci in materia di responsabilità costituiscono inoltre un incentivo economico a rispettare le norme di sicurezza, contribuendo pertanto a prevenire il verificarsi di danni. La presente proposta agevola altresì l'applicazione dei requisiti per i sistemi di IA ad alto rischio imposti dalla legge sull'IA, in quanto il mancato rispetto di tali requisiti costituisce un elemento importante che rende possibile un alleggerimento dell'onere della prova. È inoltre coerente con le norme generalie settoriali proposte in materia di sicurezza dei prodotti applicabili ai prodotti macchinae alle apparecchiature radiobasati sull'IA.
Nelle sue politiche in materia di IA la Commissione adotta un approccio olistico alla responsabilità proponendo adeguamenti alla responsabilità del produttore per danno da prodotti difettosi a norma della direttiva sulla responsabilità per danno da prodotti difettosi, nonché l'armonizzazione mirata prevista dalla presente proposta. Le due suddette iniziative politiche sono strettamente collegate e danno vita a un pacchetto, in quanto le azioni che rientrano nel loro ambito di applicazione riguardano tipologie diverse di responsabilità. La direttiva sulla responsabilità per danno da prodotti difettosi riguarda la responsabilità oggettiva del produttore per prodotti difettosi, che determina un risarcimento per alcuni tipi di danni subiti principalmente da persone fisiche. La presente proposta contempla le azioni di responsabilità a livello nazionale, principalmente per colpa di una persona, nell'ottica di risarcire qualsiasi tipo di danno e qualsiasi tipo di danneggiato. I due atti sono complementari e formano un sistema generale di responsabilità civile efficace.
Sempre tra le premesse della proposta della direttiva scrive che una direttiva è lo strumento più adatto per la presente proposta, in quanto garantisce l'effetto di armonizzazione e la certezza del diritto auspicati, prevedendo nel contempo la flessibilità per consentire agli Stati membri di integrare le misure armonizzate senza attriti nei rispettivi regimi nazionali di responsabilità.
Uno strumento obbligatorio eviterebbe lacune in termini di protezione derivanti da un recepimento parziale o inesistente. È improbabile che uno strumento non vincolante, per quanto meno intrusivo, possa affrontare in modo efficace i problemi individuati. Il tasso di attuazione degli strumenti non vincolanti è difficile da prevedere e non vi sono indicazioni sufficienti per ritenere che l'effetto persuasivo di una raccomandazione sarebbe sufficientemente elevato da produrre un adeguamento coerente delle normative nazionali.
Tale effetto è ancora meno probabile per le misure relative al diritto privato, di cui fanno parte le norme in materia di responsabilità extracontrattuale. Si tratta di un settore caratterizzato da tradizioni giuridiche di lunga data, il che rende gli Stati membri riluttanti a perseguire riforme coordinate, a meno che non siano stimolati dalla prospettiva chiara di vantaggi per il mercato interno nel quadro di uno strumento vincolante dell'UE o dalla necessità di adattarsi a nuove tecnologie nell'economia digitale.
Le notevoli divergenze esistenti tra i quadri in materia di responsabilità degli Stati membri sono un altro motivo per cui è improbabile che una raccomandazione sia attuata in modo coerente.
Dopo le domande iniziali sulla responsabilità che facevano parte della consultazione pubblica sul Libro bianco sull'IA e della relazione della Commissione sulla sicurezza e la responsabilità, dal 18 ottobre 2021 al 10 gennaio 2022 è stata aperta un'apposita consultazione pubblica online per raccogliere i pareri di un'ampia gamma di portatori di interessi, tra cui i consumatori, le organizzazioni della società civile, le associazioni industriali, le imprese, comprese le PMI, e le autorità pubbliche. Dopo aver analizzato tutte le risposte pervenute, la Commissione ha pubblicato sul proprio sito web una sintesi dei risultati e le singole risposte.
In totale sono state ricevute 233 risposte provenienti da 21 Stati membri e da paesi terzi. Nel complesso, la maggior parte dei portatori di interessi ha confermato i problemi relativi all'onere della prova, all'incertezza giuridica e alla frammentazione e si è espressa a favore di un'azione a livello di UE.
I cittadini dell'UE, le organizzazioni dei consumatori e le istituzioni accademiche hanno confermato ad ampia maggioranza la necessità di un'azione dell'UE per alleviare i problemi riscontrati dai danneggiati in relazione all'onere della prova. Pur riconoscendo gli effetti negativi dell'incertezza in merito all'applicazione delle norme in materia di responsabilità, le imprese si sono mostrate più caute e hanno chiesto misure mirate per non limitare l'innovazione.
Un quadro analogo è emerso per quanto riguarda le opzioni strategiche. I cittadini dell'UE, le organizzazioni dei consumatori e le istituzioni accademiche hanno espresso un forte sostegno per le misure sull'onere della prova e sull'armonizzazione della responsabilità senza colpa (denominata "responsabilità oggettiva") abbinata alla copertura assicurativa obbligatoria. Le imprese si sono rivelate più discordanti sulle opzioni strategiche, con differenze dovute in parte alle rispettive dimensioni. La responsabilità oggettiva è stata ritenuta sproporzionata dalla maggior parte delle imprese rispondenti. L'armonizzazione dell'alleggerimento dell'onere della prova ha ottenuto maggiore sostegno, in particolare tra le PMI. Le imprese hanno tuttavia messo in guardia contro un completo trasferimento dell'onere della prova.
L'opzione strategica prescelta è stata pertanto sviluppata e perfezionata alla luce dei riscontri ricevuti dai portatori di interessi durante l'intero processo di valutazione d'impatto, al fine di trovare un equilibrio tra le esigenze espresse e le preoccupazioni sollevate da tutti i gruppi di portatori di interessi pertinenti.
La Commissione europea scrive che l’obiettivo della direttiva sulla responsabilità per l’IA è quello di stabilire regole uniformi per l’accesso alle informazioni e l’alleggerimento dell’onere della prova in relazione ai danni causati dai sistemi di IA, stabilendo una protezione più ampia per le vittime (siano esse persone fisiche o imprese) e promuovendo il settore dell’IA attraverso l’aumento delle garanzie.
La direttiva armonizzerà alcune norme per le richieste di risarcimento al di fuori dell’ambito di applicazione della direttiva sulla responsabilità per danno da prodotto, nei casi in cui il danno è causato da un comportamento illecito. Ciò riguarda, ad esempio, le violazioni della privacy o i danni causati da problemi di sicurezza.
Le nuove norme, ad esempio, renderanno più facile ottenere un risarcimento se qualcuno è stato discriminato in un processo di assunzione che coinvolge la tecnologia AI. La direttiva semplifica l’iter legale per le vittime quando si tratta di dimostrare che la colpa di qualcuno ha causato un danno, introducendo due caratteristiche principali: in primo luogo, nelle circostanze in cui è stata stabilita una colpa rilevante e sembra ragionevolmente probabile un nesso causale con le prestazioni dell’IA, la cosiddetta “presunzione di causalità” affronterà le difficoltà incontrate dalle vittime nel dover spiegare in dettaglio come il danno sia stato causato da una colpa o da un’omissione specifica, cosa che può essere particolarmente difficile quando si cerca di comprendere e navigare in sistemi complessi di IA.
In secondo luogo, le vittime avranno più strumenti per ottenere un risarcimento legale, introducendo un diritto di accesso alle prove da parte di aziende e fornitori, nei casi in cui sia coinvolta l’IA ad alto rischio.
Si legge infatti nella proposta di direttiva che le opzioni strategiche sono state confrontate per mezzo di un'analisi basata su più criteri, tenendo conto della loro efficacia, efficienza, coerenza e proporzionalità. I risultati dell'analisi multicriterio e di sensibilità indicano che l'opzione strategica 3, che alleggerisce l'onere della prova per le azioni connesse all'IA e prevede la revisione mirata in materia di responsabilità oggettiva, eventualmente abbinata alla copertura assicurativa obbligatoria, è la preferita ed è pertanto l'opzione strategica prescelta per la presente proposta.
L'opzione strategica prescelta garantirebbe che coloro che subiscono danni da prodotti e servizi basati sull'IA (persone fisiche, imprese e altri soggetti pubblici o privati) non siano meno protetti di coloro che subiscono un danno da tecnologie tradizionali. Essa comporterebbe la crescita del livello di fiducia nell'IA e ne promuoverebbe l'adozione.
L'opzione prescelta ridurrebbe inoltre l'incertezza giuridica e preverrebbe la frammentazione, aiutando in tal modo le imprese (soprattutto le PMI) che intendono realizzare appieno il potenziale del mercato unico dell'UE attraverso la diffusione transfrontaliera di prodotti e servizi basati sull'IA. Sarebbero inoltre create condizioni migliori affinché gli assicuratori possano offrire una copertura delle attività connesse all'IA, il che è fondamentale per consentire alle imprese, in particolare alle PMI, di gestire i rispettivi rischi. Si stima in particolare che l'opzione strategica prescelta genererebbe un aumento del valore di mercato dell'IA nell'UE-27 compreso tra 500 milioni di EUR circa e 1,1 miliardi di EUR circa nel 2025.
Per un soggetto danneggiato dall’uso di un sistema o di una tecnologia di intelligenza artificiale può essere piuttosto difficoltoso stabilire un nesso eziologico tra l’inosservanza di un dovere di diligenza e l’output prodotto dal sistema di IA o, anche, la mancata produzione di un output da parte del sistema di IA da cui sia dipeso un pregiudizio.
Pertanto, l’Articolo 4 sancisce una presunzione relativa di causalità che, per la Commissione, costituirebbe la misura “meno onerosa” per soddisfare il diritto della vittima ad un equo risarcimento.
Importante evidenziare infatti la presunzione di colpa nell'art. 4:
Articolo 4
Presunzione relativa del nesso di causalità in caso di colpa
1.Fatti salvi i requisiti di cui al presente articolo, ai fini dell'applicazione delle norme in materia di responsabilità alle domande di risarcimento del danno gli organi giurisdizionali nazionali presumono l'esistenza del nesso di causalità tra la colpa del convenuto e l'output prodotto da un sistema di IA o la mancata produzione di un output da parte di tale sistema se sono soddisfatte tutte le condizioni seguenti:
(a)l'attore ha dimostrato o l'organo giurisdizionale ha presunto, a norma dell'articolo 3, paragrafo 5, la colpa del convenuto o di una persona della cui condotta il convenuto è responsabile, consistente nella non conformità a un obbligo di diligenza previsto dal diritto dell'Unione o nazionale e direttamente inteso a proteggere dal danno verificatosi;
(b)si può ritenere ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema;
(c)l'attore ha dimostrato che il danno è stato causato dall'output prodotto dal sistema di IA o dalla mancata produzione di un output da parte di tale sistema.
2.In caso di domanda di risarcimento del danno presentata contro un fornitore di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA] o una persona soggetta agli obblighi del fornitore a norma [dell'articolo 24 o dell'articolo 28, paragrafo 1, della legge sull'IA], le condizioni di cui al paragrafo 1, lettera a), sono soddisfatte unicamente se l'attore ha dimostrato che il fornitore o, se del caso, la persona soggetta agli obblighi del fornitore non ha rispettato uno dei requisiti stabiliti da tali capi e indicati di seguito, tenendo conto delle misure adottate nel quadro del sistema di gestione dei rischi e dei relativi risultati a norma [dell'articolo 9 e dell'articolo 16, lettera a), della legge sull'IA]:
(a) il sistema di IA è un sistema che utilizza tecniche che prevedono l'uso di dati per l'addestramento di modelli e che non è stato sviluppato sulla base di set di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui [all'articolo 10, paragrafi da 2 a 4, della legge sull'IA];
(b)il sistema di IA non è stato progettato e sviluppato in modo da soddisfare gli obblighi di trasparenza di cui [all'articolo 13 della legge sull'IA];
(c)il sistema di IA non è stato progettato e sviluppato in modo da consentire una supervisione efficace da parte di persone fisiche durante il periodo in cui il sistema di IA è in uso a norma [dell'articolo 14 della legge sull'IA];
(d)il sistema di IA non è stato progettato e sviluppato in modo da conseguire, alla luce della sua finalità prevista, un adeguato livello di accuratezza, robustezza e cibersicurezza a norma [dell'articolo 15 e dell'articolo 16, lettera a), della legge sull'IA]; oppure
(e)non sono state immediatamente adottate le azioni correttive necessarie per rendere il sistema di IA conforme ai requisiti stabiliti [dal titolo III, capo 2, della legge sull'IA] o per ritirarlo o richiamarlo, a seconda dei casi, a norma [dell'articolo 16, lettera g), e dell'articolo 21 della legge sull'IA].
3.In caso di domanda di risarcimento del danno presentata contro un utente di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA], la condizione di cui al paragrafo 1, lettera a), è soddisfatta se l'attore dimostra che l'utente:
(a)non ha rispettato l'obbligo di utilizzare il sistema di IA o di monitorarne il funzionamento conformemente alle istruzioni per l'uso che accompagnano il sistema o, se del caso, l'obbligo di sospenderne o interromperne l'uso a norma [dell'articolo 29 della legge sull'IA]; oppure
(b)ha esposto il sistema di IA a dati di input sotto il suo controllo che non sono pertinenti alla luce della finalità prevista del sistema a norma [dell'articolo 29, paragrafo 3, della legge sull'IA].
4.In caso di domanda di risarcimento del danno riguardante un sistema di IA ad alto rischio, l'organo giurisdizionale nazionale non applica la presunzione di cui al paragrafo 1 se il convenuto dimostra che l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.
5.In caso di domanda di risarcimento del danno riguardante un sistema di IA che non è ad alto rischio, la presunzione di cui al paragrafo 1 si applica solo se l'organo giurisdizionale nazionale ritiene eccessivamente difficile per l'attore dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.
6.In caso di domanda di risarcimento del danno presentata contro un convenuto che ha utilizzato il sistema di IA nel corso di un'attività personale non professionale, la presunzione di cui al paragrafo 1 si applica solo se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l'obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l'ha fatto.
7.Il convenuto ha il diritto di confutare la presunzione di cui al paragrafo 1.
***********************************************************************
COMMISSIONE EUROPEA
Bruxelles, 28.9.2022
COM(2022) 496 final
2022/0303(COD)
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale
(direttiva sulla responsabilità da intelligenza artificiale)
(Testo rilevante ai fini del SEE)
{SEC(2022) 344 final} - {SWD(2022) 318 final} - {SWD(2022) 319 final} - {SWD(2022) 320 final}
RELAZIONE
1.CONTESTO DELLA PROPOSTA
·Motivi e obiettivi della proposta
La presente relazione accompagna la proposta di direttiva relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale (IA). In un'indagine rappresentativa realizzata nel 2020, la responsabilità è emersa quale uno dei tre ostacoli principali all'uso dell'IA da parte delle imprese europee, venendo citata come l'ostacolo esterno più rilevante (43 %) per le imprese che intendono adottare l'IA, ma che non lo hanno ancora fatto.
Nei suoi orientamenti politici, la presidente della Commissione Ursula von der Leyen ha definito un approccio europeo coordinato all'IA. Nel suo Libro bianco sull'IA del 19 febbraio 2020la Commissione si è impegnata a promuovere l'adozione dell'IA e ad affrontare i rischi associati a determinati utilizzi di tale tecnologia promuovendo l'eccellenza e la fiducia. Nella relazione sulle implicazioni dell'IA in materia di responsabilitàche accompagna il Libro bianco, la Commissione ha individuato le sfide specifiche poste dall'IA alle norme vigenti in materia di responsabilità. Nelle sue conclusioni del 9 giugno 2020 sul tema "Plasmare il futuro digitale dell'Europa", il Consiglio ha espresso il proprio compiacimento in merito alla consultazione relativa alle proposte strategiche contenute nel Libro bianco sull'IA e ha invitato la Commissione a presentare proposte concrete. Il 20 ottobre 2020 il Parlamento europeo ha adottato una risoluzione di iniziativa legislativa a norma dell'articolo 225 TFUE in cui chiede alla Commissione di adottare una proposta relativa a un regime di responsabilità civile per l'IA, basata sull'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE).
Le norme nazionali vigenti in materia di responsabilità, in particolare per colpa, non sono adatte a gestire le azioni di responsabilità per danni causati da prodotti e servizi basati sull'IA. In base a tali norme, coloro che subiscono un danno sono tenuti a dimostrare un'azione o un'omissione illecita da parte della persona che ha causato il danno. Le caratteristiche specifiche dell'IA, tra cui la complessità, l'autonomia e l'opacità (il cosiddetto effetto "scatola nera"), possono rendere difficile o eccessivamente costoso, per quanti subiscono un danno, identificare la persona responsabile e dimostrare che sussistono i presupposti ai fini dell'esito positivo di un'azione di responsabilità. In particolare, quando chiedono un risarcimento, i danneggiati potrebbero dover sostenere costi iniziali molto elevati e affrontare procedimenti giudiziari notevolmente più lunghi rispetto a quanto accade nei casi che non riguardano l'IA, venendo pertanto del tutto dissuasi dal chiedere un risarcimento. Tali preoccupazioni sono state condivise anche dal Parlamento europeo (PE) nella sua risoluzione del 3 maggio 2022 sull'intelligenza artificiale in un'era digitale.
Se un danneggiato presenta una domanda di risarcimento, gli organi giurisdizionali nazionali, confrontati alle caratteristiche specifiche dell'IA, possono adeguare le modalità di applicazione delle norme vigenti in base ai singoli casi per giungere a un risultato equo per il danneggiato. Ciò provocherà incertezza giuridica. Le imprese avranno difficoltà a prevedere le modalità di applicazione delle norme vigenti in materia di responsabilità e, di conseguenza, a valutare la loro esposizione alla responsabilità e a stipulare la relativa copertura assicurativa. Tale effetto sarà amplificato per le imprese che operano a livello transfrontaliero, in quanto l'incertezza riguarderà diverse giurisdizioni, e interesserà in particolare le piccole e medie imprese (PMI), che non possono avvalersi di competenze giuridiche al loro interno o di riserve di capitale.
Le strategie nazionali in materia di IA mostrano che numerosi Stati membri stanno valutando un'azione legislativa in materia di responsabilità civile per l'IA, o la stanno addirittura pianificando concretamente. Si prevede pertanto che, in caso di mancato intervento dell'UE, gli Stati membri adegueranno le loro norme nazionali in materia di responsabilità alle sfide poste dall'IA. Ciò comporterà un'ulteriore frammentazione e un aumento dei costi per le imprese attive in tutta l'UE.
La consultazione pubblica aperta alla base della valutazione d'impatto della presente proposta ha confermato i problemi illustrati sopra. Secondo quanto espresso dai cittadini in sede di consultazione, l'effetto "scatola nera" può rendere difficile, per il danneggiato, dimostrare la colpa e il nesso di causalità, e potrebbe esservi incertezza sul modo in cui le giurisdizioni interpreteranno e applicheranno le norme nazionali vigenti in materia di responsabilità nei casi riguardanti l'IA. Dalla consultazione è inoltre emersa una preoccupazione generale per quanto riguarda il modo in cui le azioni legislative avviate dai singoli Stati membri per adeguare le norme in materia di responsabilità e la conseguente frammentazione inciderebbero sui costi per le imprese, in particolare le PMI, impedendo l'adozione dell'IA in tutta l'Unione.
La presente proposta si prefigge pertanto l'obiettivo di promuovere la diffusione di un'IA affidabile affinché sia possibile sfruttarne appieno i vantaggi per il mercato interno e si propone di conseguirlo garantendo a coloro che hanno subito danni causati dall'IA una protezione equivalente a quella di cui beneficiano quanti subiscono danni causati da prodotti di altro tipo. La proposta riduce inoltre l'incertezza giuridica per le imprese che sviluppano o utilizzano l'IA in relazione alla possibile esposizione alla responsabilità e previene la frammentazione derivante da adeguamenti specifici all'IA delle norme nazionali in materia di responsabilità civile.
·Coerenza con le disposizioni vigenti nel settore normativo interessato
La presente proposta è parte di un pacchetto di misure volte a sostenere la diffusione dell'IA in Europa promuovendo l'eccellenza e la fiducia. Tale pacchetto comprende tre filoni di lavoro complementari:
–una proposta legislativa che stabilisce norme orizzontali sui sistemi di intelligenza artificiale (legge sull'IA);
–una revisione delle norme settoriali e orizzontali in materia di sicurezza dei prodotti;
–norme dell'UE per affrontare le questioni in materia di responsabilità relative ai sistemi di IA.
Nella proposta di legge sull'IA la Commissione ha elaborato norme volte a ridurre i rischi per la sicurezza e a tutelare i diritti fondamentali. Sicurezza e responsabilità sono due facce della stessa medaglia: si applicano in momenti diversi e si rafforzano a vicenda. Le norme volte a garantire la sicurezza e a tutelare i diritti fondamentali ridurranno i rischi, senza tuttavia eliminarli del tutto. Da tali rischi, qualora dovessero concretizzarsi, possono comunque scaturire dei danni. In tali casi si applicheranno le norme in materia di responsabilità previste dalla presente proposta.
Norme efficaci in materia di responsabilità costituiscono inoltre un incentivo economico a rispettare le norme di sicurezza, contribuendo pertanto a prevenire il verificarsi di danni. La presente proposta agevola altresì l'applicazione dei requisiti per i sistemi di IA ad alto rischio imposti dalla legge sull'IA, in quanto il mancato rispetto di tali requisiti costituisce un elemento importante che rende possibile un alleggerimento dell'onere della prova. È inoltre coerente con le norme generalie settoriali proposte in materia di sicurezza dei prodotti applicabili ai prodotti macchinae alle apparecchiature radiobasati sull'IA.
Nelle sue politiche in materia di IA la Commissione adotta un approccio olistico alla responsabilità proponendo adeguamenti alla responsabilità del produttore per danno da prodotti difettosi a norma della direttiva sulla responsabilità per danno da prodotti difettosi, nonché l'armonizzazione mirata prevista dalla presente proposta. Le due suddette iniziative politiche sono strettamente collegate e danno vita a un pacchetto, in quanto le azioni che rientrano nel loro ambito di applicazione riguardano tipologie diverse di responsabilità. La direttiva sulla responsabilità per danno da prodotti difettosi riguarda la responsabilità oggettiva del produttore per prodotti difettosi, che determina un risarcimento per alcuni tipi di danni subiti principalmente da persone fisiche. La presente proposta contempla le azioni di responsabilità a livello nazionale, principalmente per colpa di una persona, nell'ottica di risarcire qualsiasi tipo di danno e qualsiasi tipo di danneggiato. I due atti sono complementari e formano un sistema generale di responsabilità civile efficace.
L'insieme di tali norme promuoverà la fiducia nell'IA (e in altre tecnologie digitali) garantendo l'effettivo risarcimento dei danneggiati in caso di danni malgrado i requisiti preventivi della legge sull'IA e altre norme di sicurezza.
·Coerenza con le altre normative dell'Unione
La proposta è coerente con la strategia digitale globale dell'Unione poiché contribuisce alla promozione della tecnologia al servizio delle persone, uno dei tre pilastri principali dell'orientamento politico e degli obiettivi annunciati nella comunicazione "Plasmare il futuro digitale dell'Europa".
In tale contesto, la presente proposta si prefigge l'obiettivo di rafforzare la fiducia nell'IA e di promuoverne l'adozione. Ciò consentirà di integrare e realizzare sinergie con la [legge sulla ciberresilienza], che mira anche a rafforzare la fiducia nei prodotti dotati di elementi digitali riducendo le vulnerabilità informatiche e a migliorare la protezione delle imprese e dei consumatori che li utilizzano.
La presente proposta lascia impregiudicate le norme stabilite dalla [legge sui servizi digitali], che prevede un quadro esaustivo e pienamente armonizzato degli obblighi in materia di dovere di diligenza per il processo decisionale algoritmico da parte delle piattaforme online, compresa la relativa esenzione dalla responsabilità dei prestatori di servizi intermediari.
In aggiunta a ciò, promuovendo la diffusione dell'IA, la presente proposta è collegata alle iniziative nell'ambito della strategia dell'UE per i datie rafforza inoltre il ruolo dell'Unione nel contribuire a definire norme e standard globali e promuovere un'IA affidabile che sia coerente con i valori e gli interessi dell'Unione.
La proposta presenta anche legami indiretti con il Green Deal europeo. Le tecnologie digitali, compresa l'IA, sono in particolare un fattore determinante per conseguire gli obiettivi di sostenibilità del Green Deal in molti settori diversi (tra cui l'assistenza sanitaria, i trasporti, l'ambiente e l'agricoltura).
·Principali ripercussioni a livello economico, sociale e ambientale
La direttiva contribuirà alla diffusione dell'IA. Le condizioni per la diffusione e lo sviluppo delle tecnologie di IA nel mercato interno possono essere notevolmente migliorate prevenendo la frammentazione e aumentando la certezza del diritto attraverso misure armonizzate a livello di UE, rispetto a quanto accadrebbe a seguito di eventuali adeguamenti delle norme in materia di responsabilità a livello nazionale. Lo studio economicosu cui è basata la valutazione d'impatto della presente proposta ha concluso che misure di armonizzazione mirate in materia di responsabilità civile per l'IA avrebbero un impatto positivo compreso, secondo una stima prudente, tra il 5 e il 7 % sul valore di produzione dei pertinenti scambi transfrontalieri rispetto allo scenario di riferimento. Tale valore aggiunto sarebbe generato in particolare mediante una minore frammentazione e una maggiore certezza del diritto per quanto riguarda l'esposizione alla responsabilità civile dei portatori di interessi. Ciò ridurrebbe i costi sostenuti dai portatori di interessi per l'informazione giuridica/la rappresentanza legale, la gestione interna dei rischi e la conformità, agevolerebbe la pianificazione finanziaria e le stime dei rischi a fini di copertura assicurativa e consentirebbe alle imprese, in particolare alle PMI, di esplorare nuovi mercati transfrontalieri. Sulla base del valore complessivo del mercato dell'IA dell'UE interessato dai problemi legati alla responsabilità oggetto della presente direttiva, si stima che quest'ultima genererà un valore di mercato aggiuntivo compreso tra 500 milioni di EUR circa e 1,1 miliardi di EUR circa.
In termini di impatto sociale, la direttiva rafforzerà la fiducia della società nelle tecnologie di IA e l'accesso a un sistema giudiziario efficace, contribuendo inoltre a un regime di responsabilità civile efficiente, adattato alle specificità dell'IA, nel cui ambito saranno accolte le domande di risarcimento del danno giustificate. Anche tutte le imprese della catena del valore dell'IA trarrebbero vantaggio da un aumento della fiducia a livello sociale, in quanto rafforzare la fiducia dei cittadini contribuirà a una più rapida adozione dell'IA. Grazie all'effetto incentivante delle norme in materia di responsabilità, prevenire le lacune in materia di responsabilità andrebbe anche indirettamente a beneficio di tutti i cittadini attraverso un livello rafforzato di protezione della salute e della sicurezza (articolo 114, paragrafo 3, TFUE) e l'eliminazione delle fonti di pericolo per la salute (articolo 168, paragrafo 1, TFUE).
Per quanto riguarda l'impatto ambientale, si prevede che la direttiva contribuisca anche al conseguimento dei relativi traguardi e obiettivi di sviluppo sostenibile (OSS). L'adozione di applicazioni di IA è vantaggiosa per l'ambiente. I sistemi di IA utilizzati nell'ottimizzazione dei processi, ad esempio, riducono gli sprechi (limitando, tra l'altro, la quantità di fertilizzanti e pesticidi necessari, il consumo di acqua a parità di rendimento, ecc.). La direttiva avrebbe inoltre un impatto positivo sugli OSS, in quanto una legislazione efficace in materia di trasparenza, rendicontabilità e diritti fondamentali indirizzerà il potenziale dell'IA affinché vada a beneficio delle persone e della società verso il conseguimento degli OSS.
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
· Base giuridica
La base giuridica della proposta è l'articolo 114 TFUE, che prevede l'adozione di misure volte ad assicurare l'instaurazione e il funzionamento del mercato interno.
I problemi che la presente proposta intende affrontare, in particolare l'incertezza giuridica e la frammentazione giuridica, pregiudicano lo sviluppo del mercato interno e costituiscono pertanto ostacoli significativi agli scambi transfrontalieri di prodotti e servizi basati sull'IA.
La proposta affronta gli ostacoli risultanti dalla mancanza di certezze, per le imprese che intendono produrre, diffondere e gestire prodotti e servizi basati sull'IA a livello transfrontaliero, quanto all'eventualità che i regimi di responsabilità vigenti si applichino ai danni causati dall'IA e alle modalità di tale applicazione. Tale incertezza riguarda in particolare gli Stati membri nei quali le imprese esporteranno o gestiranno i loro prodotti e servizi. In un contesto transfrontaliero, la legge applicabile alla responsabilità extracontrattuale derivante da fatto illecito è quella predefinita del paese in cui si verifica il danno. È pertanto fondamentale, per le suddette imprese, conoscere i rischi di responsabilità rilevanti ed essere in grado di stipulare la relativa copertura assicurativa.
Vi sono perdipiù segnali concreti del fatto che diversi Stati membri stanno prendendo in considerazione misure legislative unilaterali volte ad affrontare le sfide specifiche poste dall'IA in materia di responsabilità. Ad esempio, le strategie per l'IA adottate in Cechia, in Italia, a Malta, in Poloniae in Portogalloprevedono iniziative atte a fornire chiarimenti in materia di responsabilità. Date le ampie divergenze tra le norme vigenti degli Stati membri in materia di responsabilità civile, è probabile che qualsiasi misura nazionale specifica in materia di responsabilità da IA segua approcci nazionali diversi e incrementi pertanto la frammentazione.
Gli adeguamenti delle norme in materia di responsabilità adottati su base puramente nazionale aumenterebbero quindi gli ostacoli alla diffusione di prodotti e servizi basati sull'IA in tutto il mercato interno e contribuirebbero ulteriormente alla frammentazione.
·Sussidiarietà
Gli obiettivi della presente proposta non possono essere conseguiti adeguatamente a livello nazionale poiché l'emergere di norme nazionali divergenti aumenterebbe l'incertezza giuridica e la frammentazione, creando ostacoli alla diffusione di prodotti e servizi basati sull'IA in tutto il mercato interno. L'incertezza giuridica danneggerebbe in particolare le imprese attive a livello transfrontaliero, imponendo necessità supplementari in termini di informazioni giuridiche/rappresentanza legale, costi di gestione dei rischi e comportando la perdita di entrate. Allo stesso tempo, le norme nazionali divergenti in materia di richieste di risarcimento di danni causati dall'IA comporterebbero un aumento dei costi di transazione per le imprese, in particolare per gli scambi transfrontalieri, creando ostacoli significativi nel mercato interno. Inoltre, l'incertezza giuridica e la frammentazione danneggiano in modo sproporzionato le start-up e le PMI, che rappresentano la maggior parte delle imprese e la quota principale degli investimenti nei mercati pertinenti.
In assenza di norme armonizzate a livello di UE in materia di risarcimento dei danni causati dai sistemi di IA, i fornitori, gli operatori e gli utenti dei sistemi di IA, da un lato, e i danneggiati, dall'altro, si troverebbero di fronte a 27 regimi di responsabilità differenti, che comporterebbero livelli di protezione disuguali e una distorsione della concorrenza tra le imprese di Stati membri diversi.
Misure armonizzate a livello di UE migliorerebbero notevolmente le condizioni per la diffusione e lo sviluppo delle tecnologie di IA nel mercato interno, prevenendo la frammentazione e aumentando la certezza del diritto. Tale valore aggiunto sarebbe generato in particolare mediante una minore frammentazione e una maggiore certezza del diritto per quanto riguarda l'esposizione alla responsabilità civile dei portatori di interessi. Inoltre, solo un'azione dell'UE può conseguire in modo coerente l'effetto desiderato di promuovere la fiducia dei consumatori nei prodotti e nei servizi basati sull'IA, prevenendo il formarsi di lacune in materia di responsabilità connesse alle caratteristiche specifiche dell'IA in tutto il mercato interno. Ciò garantirebbe un livello di protezione (minimo) coerente per tutti coloro che subiscono un danno (persone fisiche e imprese) e incentivi coerenti intesi a prevenire i danni e garantire la rendicontabilità.
·Proporzionalità
La proposta è basata su un approccio in più fasi. Nella prima fase, gli obiettivi sono conseguiti mediante un approccio poco invasivo; la seconda fase prevede il riesame della necessità di misure più rigorose o più ampie.
La prima fase, limitata alle misure relative all'onere della prova volte ad affrontare i problemi specifici all'IA individuati, è basata sui presupposti sostanziali della responsabilità attualmente esistenti nelle norme nazionali, come il nesso di causalità o la colpa, ma è incentrata su misure mirate relative alle prove e garantisce ai danneggiati un livello di protezione equivalente a quello previsto nei casi che non coinvolgono sistemi di IA. Inoltre, tra i vari strumenti disponibili nel diritto nazionale per alleggerire l'onere della prova, la presente proposta ha scelto di utilizzare quello meno intrusivo, ossia le presunzioni relative. Si tratta di presunzioni comunemente presenti nei sistemi nazionali di responsabilità, che bilanciano gli interessi degli attori e dei convenuti, essendo allo stesso tempo concepite per incentivare il rispetto dei vigenti obblighi di diligenza sanciti a livello nazionale o di Unione. La proposta non determina un'inversione dell'onere della prova per evitare di esporre i fornitori, gli operatori e gli utenti dei sistemi di IA a rischi di responsabilità più elevati, che potrebbero ostacolare l'innovazione e limitare l'adozione di prodotti e servizi basati sull'IA.
La seconda fase inclusa nella proposta garantisce che, nel valutare l'effetto della prima fase in termini di protezione dei danneggiati e diffusione dell'IA, si tenga conto dei futuri sviluppi tecnologici, normativi e giurisprudenziali in sede di riesame della necessità di armonizzare altri elementi delle domande di risarcimento o altri strumenti relativi alle azioni di responsabilità, anche per le situazioni in cui risulterebbe più appropriata la responsabilità oggettiva, come richiesto dal Parlamento europeo. Tale valutazione prenderebbe inoltre probabilmente in considerazione l'eventuale necessità di accompagnare tale armonizzazione con una copertura assicurativa obbligatoria, per garantire l'efficacia.
·Scelta dello strumento
Una direttiva è lo strumento più adatto per la presente proposta, in quanto garantisce l'effetto di armonizzazione e la certezza del diritto auspicati, prevedendo nel contempo la flessibilità per consentire agli Stati membri di integrare le misure armonizzate senza attriti nei rispettivi regimi nazionali di responsabilità.
Uno strumento obbligatorio eviterebbe lacune in termini di protezione derivanti da un recepimento parziale o inesistente. È improbabile che uno strumento non vincolante, per quanto meno intrusivo, possa affrontare in modo efficace i problemi individuati. Il tasso di attuazione degli strumenti non vincolanti è difficile da prevedere e non vi sono indicazioni sufficienti per ritenere che l'effetto persuasivo di una raccomandazione sarebbe sufficientemente elevato da produrre un adeguamento coerente delle normative nazionali.
Tale effetto è ancora meno probabile per le misure relative al diritto privato, di cui fanno parte le norme in materia di responsabilità extracontrattuale. Si tratta di un settore caratterizzato da tradizioni giuridiche di lunga data, il che rende gli Stati membri riluttanti a perseguire riforme coordinate, a meno che non siano stimolati dalla prospettiva chiara di vantaggi per il mercato interno nel quadro di uno strumento vincolante dell'UE o dalla necessità di adattarsi a nuove tecnologie nell'economia digitale.
Le notevoli divergenze esistenti tra i quadri in materia di responsabilità degli Stati membri sono un altro motivo per cui è improbabile che una raccomandazione sia attuata in modo coerente.
1.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO
·Consultazioni dei portatori di interessi
Per garantire un'ampia partecipazione dei portatori di interessi durante tutto il ciclo politico della presente proposta è stata attuata una strategia di consultazione su larga scala. La strategia di consultazione è stata basata sia su consultazioni pubbliche sia su diverse consultazioni mirate (webinar, discussioni bilaterali con imprese e con varie organizzazioni).
Dopo le domande iniziali sulla responsabilità che facevano parte della consultazione pubblica sul Libro bianco sull'IA e della relazione della Commissione sulla sicurezza e la responsabilità, dal 18 ottobre 2021 al 10 gennaio 2022 è stata aperta un'apposita consultazione pubblica online per raccogliere i pareri di un'ampia gamma di portatori di interessi, tra cui i consumatori, le organizzazioni della società civile, le associazioni industriali, le imprese, comprese le PMI, e le autorità pubbliche. Dopo aver analizzato tutte le risposte pervenute, la Commissione ha pubblicato sul proprio sito web una sintesi dei risultati e le singole risposte.
In totale sono state ricevute 233 risposte provenienti da 21 Stati membri e da paesi terzi. Nel complesso, la maggior parte dei portatori di interessi ha confermato i problemi relativi all'onere della prova, all'incertezza giuridica e alla frammentazione e si è espressa a favore di un'azione a livello di UE.
I cittadini dell'UE, le organizzazioni dei consumatori e le istituzioni accademiche hanno confermato ad ampia maggioranza la necessità di un'azione dell'UE per alleviare i problemi riscontrati dai danneggiati in relazione all'onere della prova. Pur riconoscendo gli effetti negativi dell'incertezza in merito all'applicazione delle norme in materia di responsabilità, le imprese si sono mostrate più caute e hanno chiesto misure mirate per non limitare l'innovazione.
Un quadro analogo è emerso per quanto riguarda le opzioni strategiche. I cittadini dell'UE, le organizzazioni dei consumatori e le istituzioni accademiche hanno espresso un forte sostegno per le misure sull'onere della prova e sull'armonizzazione della responsabilità senza colpa (denominata "responsabilità oggettiva") abbinata alla copertura assicurativa obbligatoria. Le imprese si sono rivelate più discordanti sulle opzioni strategiche, con differenze dovute in parte alle rispettive dimensioni. La responsabilità oggettiva è stata ritenuta sproporzionata dalla maggior parte delle imprese rispondenti. L'armonizzazione dell'alleggerimento dell'onere della prova ha ottenuto maggiore sostegno, in particolare tra le PMI. Le imprese hanno tuttavia messo in guardia contro un completo trasferimento dell'onere della prova.
L'opzione strategica prescelta è stata pertanto sviluppata e perfezionata alla luce dei riscontri ricevuti dai portatori di interessi durante l'intero processo di valutazione d'impatto, al fine di trovare un equilibrio tra le esigenze espresse e le preoccupazioni sollevate da tutti i gruppi di portatori di interessi pertinenti.
·Assunzione e uso di perizie
La proposta è basata su 4 anni di analisi e sul forte coinvolgimento dei portatori di interessi, tra cui il mondo accademico, le imprese, le associazioni dei consumatori, gli Stati membri e i cittadini. I lavori preparatori hanno avuto inizio nel 2018 con l'istituzione del gruppo di esperti sulla responsabilità e le nuove tecnologie (formazione sulle nuove tecnologie). Nel novembre 2019 il gruppo di esperti ha elaborato una relazionenella quale sono state valutate le sfide poste da alcune caratteristiche dell'IA alle norme nazionali in materia di responsabilità civile.
Il contributo della relazione del gruppo di esperti è stato integrato da tre ulteriori studi esterni:
–uno studio di diritto comparato basato su un'analisi giuridica comparativa delle normative europee in materia di illeciti civili incentrata sulle principali questioni connesse all'IA;
–uno studio di economia comportamentale sugli impatti di adeguamenti mirati del regime di responsabilità sul processo decisionale dei consumatori, in particolare sulla loro fiducia e disponibilità ad adottare prodotti e servizi basati sull'IA;
–uno studio economicodedicato a numerose questioni: le sfide cui devono far fronte coloro che subiscono un danno da applicazioni di IA rispetto a coloro che subiscono un danno da dispositivi non di IA quando chiedono un risarcimento per il danno subito; se e in quale misura le imprese non dispongono di certezze in merito all'applicazione delle norme vigenti in materia di responsabilità alle loro operazioni che prevedono l'utilizzo dell'IA e se l'impatto dell'incertezza giuridica può ostacolare gli investimenti nell'IA; se un'ulteriore frammentazione delle leggi nazionali in materia di responsabilità ridurrebbe l'efficacia del mercato interno delle applicazioni e dei servizi di IA e se e in quale misura l'armonizzazione di taluni aspetti della responsabilità civile a livello nazionale attraverso la normativa dell'UE ridurrebbe tali problemi e agevolerebbe nel complesso l'adozione della tecnologia di IA da parte delle imprese dell'UE.
·Valutazione d'impatto
In linea con la strategia "Legiferare meglio", la Commissione ha condotto una valutazione d'impatto in relazione alla presente proposta e l'ha sottoposta all'esame del comitato per il controllo normativo della Commissione. Dalla riunione del comitato per il controllo normativo del 6 aprile 2022 è emerso un parere positivo con osservazioni.
Sono state valutate tre opzioni strategiche:
Opzione strategica 1: tre misure atte ad alleggerire l'onere della prova per i danneggiati che cercano di dimostrare la fondatezza della loro azione di responsabilità.
Opzione strategica 2: le misure di cui all'opzione 1 + l'armonizzazione delle norme in materia di responsabilità oggettiva per i casi di utilizzo dell'IA che presentano un particolare profilo di rischio, unitamente a una copertura assicurativa obbligatoria.
Opzione strategica 3: un approccio in più fasi così costituito:
–una prima fase con le misure di cui all'opzione 1;
–una seconda fase che prevede un meccanismo di revisione per riesaminare, in particolare, la necessità di armonizzare la responsabilità oggettiva per i casi di utilizzo dell'IA che presentano un particolare profilo di rischio (eventualmente associato a una copertura assicurativa obbligatoria).
Le opzioni strategiche sono state confrontate per mezzo di un'analisi basata su più criteri, tenendo conto della loro efficacia, efficienza, coerenza e proporzionalità. I risultati dell'analisi multicriterio e di sensibilità indicano che l'opzione strategica 3, che alleggerisce l'onere della prova per le azioni connesse all'IA e prevede la revisione mirata in materia di responsabilità oggettiva, eventualmente abbinata alla copertura assicurativa obbligatoria, è la preferita ed è pertanto l'opzione strategica prescelta per la presente proposta.
L'opzione strategica prescelta garantirebbe che coloro che subiscono danni da prodotti e servizi basati sull'IA (persone fisiche, imprese e altri soggetti pubblici o privati) non siano meno protetti di coloro che subiscono un danno da tecnologie tradizionali. Essa comporterebbe la crescita del livello di fiducia nell'IA e ne promuoverebbe l'adozione.
L'opzione prescelta ridurrebbe inoltre l'incertezza giuridica e preverrebbe la frammentazione, aiutando in tal modo le imprese (soprattutto le PMI) che intendono realizzare appieno il potenziale del mercato unico dell'UE attraverso la diffusione transfrontaliera di prodotti e servizi basati sull'IA. Sarebbero inoltre create condizioni migliori affinché gli assicuratori possano offrire una copertura delle attività connesse all'IA, il che è fondamentale per consentire alle imprese, in particolare alle PMI, di gestire i rispettivi rischi. Si stima in particolare che l'opzione strategica prescelta genererebbe un aumento del valore di mercato dell'IA nell'UE-27 compreso tra 500 milioni di EUR circa e 1,1 miliardi di EUR circa nel 2025.
·Diritti fondamentali
Una delle funzioni più importanti delle norme in materia di responsabilità civile è garantire che i danneggiati possano chiedere un risarcimento. Garantendo un risarcimento effettivo, queste norme contribuiscono alla tutela del diritto a un ricorso effettivo e a un giudice imparziale (articolo 47 della Carta dei diritti fondamentali dell'Unione europea, di seguito "Carta"), offrendo nel contempo alle persone potenzialmente responsabili un incentivo a prevenire i danni al fine di evitare la responsabilità.
Con la presente proposta la Commissione mira a garantire che il livello di protezione di cui usufruiscono coloro che subiscono danni causati dall'IA sia equivalente, nell'ambito delle norme in materia di responsabilità civile, a quello di cui beneficiano coloro che subiscono danni cagionati senza il concorso dell'IA. La proposta consentirà un'applicazione efficace a livello privatistico dei diritti fondamentali e preserverà il diritto a un ricorso effettivo laddove si siano concretizzati rischi specifici dell'IA. In particolare, la proposta contribuirà a tutelare i diritti fondamentali, come il diritto alla vita (articolo 2 della Carta), il diritto all'integrità fisica e psichica (articolo 3) e il diritto di proprietà (articolo 17). A seconda del sistema di diritto civile e delle tradizioni di ciascuno Stato membro, i danneggiati potranno altresì chiedere il risarcimento del danno arrecato ad altri interessi giuridici, come le violazioni della dignità personale (articoli 1 e 4 della Carta), il rispetto della vita privata e della vita familiare (articolo 7), il diritto all'uguaglianza (articolo 20) e alla non discriminazione (articolo 21).
La presente proposta integra inoltre altre componenti nella politica della Commissione relativa all'IA sulla base di requisiti preventivi in materia di regolamentazione e vigilanza volti direttamente a evitare violazioni dei diritti fondamentali (come la discriminazione): si tratta della legge sull'IA, del regolamento generale sulla protezione dei dati, della legge sui servizi digitali e del diritto dell'UE in materia di non discriminazione e parità di trattamento. Allo stesso tempo, la presente proposta non crea né armonizza gli obblighi di diligenza o la responsabilità di vari soggetti la cui attività è disciplinata da tali atti giuridici e, pertanto, non crea nuove azioni di responsabilità né incide sulle esenzioni dalla responsabilità previste dai sopraindicati atti giuridici. La presente proposta si limita a introdurre alleggerimenti dell'onere della prova per coloro che subiscono danni causati dai sistemi di IA nelle azioni che possono essere basate sul diritto nazionale o sulle altre normative dell'UE sopraindicate. Integrando le suddette altre componenti, la presente proposta tutela il diritto dei danneggiati al risarcimento a norma del diritto privato, compreso il risarcimento per le violazioni dei diritti fondamentali.
4.INCIDENZA SUL BILANCIO
5.ALTRI ELEMENTI
·Piani attuativi e modalità di monitoraggio, valutazione, programma di monitoraggio e revisione mirata
La presente proposta propone un approccio in più fasi. Per garantire la disponibilità di evidenze sufficienti per la revisione mirata prevista nella seconda fase, la Commissione elaborerà un piano di monitoraggio che specificherà le modalità e la frequenza con cui i dati e le altre evidenze necessarie saranno raccolti.
Il meccanismo di monitoraggio potrebbe riguardare i seguenti tipi di dati ed evidenze:
–la comunicazione e la condivisione di informazioni da parte degli Stati membri in merito all'applicazione di misure volte ad alleggerire l'onere della prova nei procedimenti nazionali di risoluzione giudiziaria o extragiudiziale;
–le informazioni raccolte dalla Commissione o dalle autorità di vigilanza del mercato a norma della legge sull'IA (in particolare l'articolo 62) o di altri strumenti pertinenti;
–le informazioni e le analisi a sostegno della valutazione della legge sull'IA e delle relazioni che la Commissione deve redigere sull'attuazione di tale legge;
–le informazioni e le analisi a sostegno della valutazione delle future misure strategiche pertinenti nell'ambito della normativa in materia di sicurezza basata sul "vecchio approccio" per garantire che i prodotti immessi sul mercato dell'Unione soddisfino requisiti elevati in materia di salute, sicurezza e ambiente;
–le informazioni e le analisi a sostegno della relazione della Commissione sull'applicazione della direttiva sull'assicurazione degli autoveicoli con riguardo agli sviluppi tecnologici (in particolare veicoli autonomi e semi-autonomi), redatta a norma dell'articolo 28 quater, paragrafo 2, lettera a), di tale direttiva.
·Illustrazione dettagliata delle singole disposizioni della proposta
1.Oggetto e ambito di applicazione (articolo 1)
Scopo della direttiva è migliorare il funzionamento del mercato interno stabilendo requisiti uniformi per determinati aspetti della responsabilità civile extracontrattuale per danni causati con il coinvolgimento di sistemi di IA. La direttiva fa seguito alla risoluzione del Parlamento europeo 2020/2014 (INL) e adegua il diritto privato alle esigenze della transizione verso l'economia digitale.
La scelta di strumenti giuridici adeguati è limitata, date la natura della questione relativa all'onere della prova e le caratteristiche specifiche dell'IA che pongono problemi alle norme vigenti in materia di responsabilità. A tale riguardo, la direttiva alleggerisce l'onere della prova in modo molto mirato e proporzionato attraverso il ricorso alla divulgazione e a presunzioni relative. La direttiva prevede, per coloro che chiedono il risarcimento del danno, la possibilità di ottenere informazioni sui sistemi di IA ad alto rischio che devono essere registrate/documentate a norma della legge sull'IA. Oltre a quanto indicato, le presunzioni relative garantiranno a coloro che chiedono il risarcimento dei danni causati dai sistemi di IA un onere della prova più ragionevole e la possibilità che le azioni di responsabilità giustificate abbiano esito positivo.
Tali strumenti non sono nuovi e sono reperibili nei sistemi legislativi nazionali. Gli strumenti nazionali costituiscono pertanto utili punti di riferimento per quanto concerne le modalità atte ad affrontare le questioni poste dall'IA in relazione alle norme vigenti in materia di responsabilità in maniera tale da interferire il meno possibile con i diversi regimi giuridici nazionali.
Durante le consultazioni, inoltre, quando sono state poste domande su cambiamenti di più ampia portata, quali un'inversione dell'onere della prova o una presunzione assoluta, le imprese hanno fornito un riscontro negativo. Per alleggerire l'onere della prova sono state scelte misure mirate sotto forma di presunzioni relative, in quanto modalità pragmatiche e appropriate per aiutare i danneggiati a far fronte all'onere della prova nel modo più mirato e proporzionato possibile.
L'articolo 1 indica l'oggetto e l'ambito di applicazione della direttiva, che si applica alle domande di risarcimento del danno causato da un sistema di IA nel quadro di azioni civili di responsabilità extracontrattuale, qualora tali azioni siano intentate nell'ambito di regimi di responsabilità per colpa, ossia, in particolare, regimi che prevedono la responsabilità legale di risarcire i danni causati da un'azione o un'omissione intenzionalmente lesiva o colposa. Le misure previste dalla direttiva possono integrarsi senza attriti nei sistemi di responsabilità civile esistenti, in quanto riflettono un approccio che non incide sulla definizione di concetti fondamentali quali "colpa" o "danno", dato che il significato di tali concetti varia notevolmente da uno Stato membro all'altro. Pertanto, al di là delle presunzioni da essa stabilite, la direttiva lascia impregiudicate le norme dell'Unione o nazionali che stabiliscono, ad esempio, a quale parte incombe l'onere della prova e qual è il grado di certezza richiesto in relazione al livello della prova, o che definiscono il concetto di colpa.
La direttiva lascia inoltre impregiudicate le norme vigenti che disciplinano i criteri di responsabilità nel settore dei trasporti e quelle sancite dalla legge sui servizi digitali.
La direttiva, pur non applicandosi in materia di responsabilità penale, può applicarsi alla responsabilità dello Stato. Le autorità statali sono altresì oggetto delle disposizioni della legge sull'IA in quanto soggette agli obblighi ivi previsti.
La direttiva non si applica retroattivamente, ma solo alle domande di risarcimento danni presentate a decorrere dalla data del suo recepimento.
La presente proposta di direttiva è stata adottata insieme alla proposta di revisione della direttiva 85/374/CEE sulla responsabilità per danno da prodotti difettosi in un pacchetto il cui scopo è adeguare le norme in materia di responsabilità all'era digitale e all'intelligenza artificiale, garantendo il necessario allineamento tra questi due strumenti giuridici complementari.
2.Definizioni (articolo 2)
A fini di coerenza, le definizioni di cui all'articolo 2 riprendono le definizioni della legge sull'IA.
L'articolo 2, punto 6, lettera b), stabilisce che le domande di risarcimento del danno possono essere presentate non solo dalla persona danneggiata, ma anche da persone che sono subentrate o si sono surrogate nei diritti del danneggiato. La surrogazione è l'assunzione da parte di un terzo (come una compagnia di assicurazioni) del diritto giuridico di un'altra parte di riscuotere un debito o un risarcimento del danno. Una persona ha pertanto il diritto di far valere i diritti di un'altra a proprio vantaggio. La surrogazione riguarderebbe anche gli eredi di un danneggiato deceduto.
Inoltre, l'articolo 2, punto 6, lettera c), stabilisce che un'azione di risarcimento del danno può essere intentata anche da una persona che agisce per conto di uno o più danneggiati conformemente al diritto dell'Unione o nazionale. Scopo della disposizione è offrire maggiori possibilità alle persone danneggiate da un sistema di IA di far esaminare le loro domande da un organo giurisdizionale, anche nei casi in cui le azioni individuali possono sembrare troppo costose o troppo onerose da intentare, o in cui le azioni congiunte possono comportare un beneficio di scala. Per consentire a coloro che subiscono danni causati dai sistemi di IA di far valere i propri diritti in relazione a questa direttiva attraverso azioni rappresentative, l'articolo 6 modifica l'allegato I della direttiva (UE) 2020/1828.
3.Divulgazione degli elementi di prova (articolo 3)
La direttiva mira a fornire alle persone che chiedono il risarcimento di danni causati da sistemi di IA ad alto rischio mezzi efficaci per identificare le persone potenzialmente responsabili e le prove pertinenti per una domanda di risarcimento. Tali mezzi servono nel contempo a escludere convenuti potenziali identificati erroneamente, risparmiando tempo e costi per le parti coinvolte e riducendo il carico di lavoro per gli organi giurisdizionali.
A tale riguardo, l'articolo 3, paragrafo 1, della direttiva prevede che un organo giurisdizionale possa ordinare la divulgazione di elementi di prova rilevanti in relazione a specifici sistemi di IA ad alto rischio che si sospetta abbiano cagionato danni. Le richieste di elementi di prova sono rivolte al fornitore di un sistema di IA, a una persona soggetta agli obblighi del fornitore di cui all'articolo 24 o all'articolo 28, paragrafo 1, della legge sull'IA o a un utente a norma della legge sull'IA. Le richieste dovrebbero essere suffragate da fatti e prove sufficienti a dimostrare la plausibilità della domanda di risarcimento del danno in questione e gli elementi di prova richiesti dovrebbero essere a disposizione dei destinatari. Le richieste non possono essere rivolte a parti sulle quali non incombono obblighi a norma della legge sull'IA e le quali non hanno pertanto accesso agli elementi di prova.
Conformemente all'articolo 3, paragrafo 2, l'attore può chiedere la divulgazione di elementi di prova da parte di fornitori o utenti che non sono convenuti solo nel caso in cui sia stato compiuto senza successo ogni sforzo proporzionato per ottenere tali elementi di prova dal convenuto.
Affinché gli strumenti giudiziari risultino efficaci, l'articolo 3, paragrafo 3, della direttiva prevede che un organo giurisdizionale possa altresì ordinare la conservazione di tali elementi di prova.
Come previsto all'articolo 3, paragrafo 4, primo comma, il giudice può ordinare tale divulgazione solo nella misura necessaria a sostenere una domanda di risarcimento, dato che le informazioni potrebbero costituire elementi di prova fondamentali ai fini della domanda di risarcimento in caso di danni che coinvolgono sistemi di IA.
Limitando l'obbligo di divulgazione o conservazione agli elementi di prova necessari e proporzionati, l'articolo 3, paragrafo 4, primo comma, mira a garantire la proporzionalità nella divulgazione degli elementi di prova, ossia a limitare la divulgazione al minimo necessario e ad evitare richieste generalizzate.
L'articolo 3, paragrafo 4, secondo e terzo comma, mira inoltre a trovare un equilibrio tra i diritti dell'attore e la necessità di garantire che tale divulgazione sia soggetta a garanzie per tutelare i legittimi interessi di tutte le parti coinvolte, quali segreti commerciali o informazioni riservate.
Nello stesso contesto, l'articolo 3, paragrafo 4, quarto comma, si prefigge lo scopo di garantire che i mezzi di ricorso procedurali contro l'ordinanza di divulgazione o di conservazione siano a disposizione della persona che vi è soggetta.
L'articolo 3, paragrafo 5, introduce una presunzione di non conformità a un obbligo di diligenza. Si tratta di uno strumento procedurale, rilevante solo nei casi in cui sia il convenuto effettivo di una domanda di risarcimento del danno a sopportare le conseguenze della mancata conformità alla richiesta di divulgazione o di conservazione degli elementi di prova. Il convenuto ha il diritto di confutare tale presunzione. La misura prevista in questo paragrafo mira sia a promuovere la divulgazione sia ad accelerare i procedimenti giudiziari.
4.Presunzione del nesso di causalità in caso di colpa (articolo 4)
Per quanto riguarda i danni causati dai sistemi di IA, la direttiva mira a fornire una base efficace per le domande di risarcimento in relazione alla colpa consistente nella non conformità a un obbligo di diligenza a norma del diritto dell'Unione o nazionale.
Stabilire un nesso causale tra tale non conformità e l'output prodotto dal sistema di IA o la mancata produzione di un output da parte del sistema di IA che ha cagionato il danno in questione può risultare difficile per gli attori. È stata pertanto stabilita, all'articolo 4, paragrafo 1, una presunzione relativa mirata di causalità in relazione a tale nesso di causalità. Tale presunzione è la misura meno onerosa atta a rispondere alla necessità di un equo risarcimento del danneggiato.
La colpa del convenuto deve essere dimostrata dall'attore conformemente alle norme dell'Unione o nazionali applicabili e può essere accertata, ad esempio, per non conformità a un obbligo di diligenza a norma della legge sull'IA o di altre normative stabilite a livello di Unione, come quelle che disciplinano l'uso del monitoraggio e del processo decisionale automatizzati per il lavoro mediante piattaforme digitali o quelle che disciplinano il funzionamento di aeromobili senza equipaggio. Tale colpa può anche essere presunta dall'organo giurisdizionale sulla base del mancato rispetto di un'ordinanza giudiziaria di divulgazione o conservazione degli elementi di prova a norma dell'articolo 3, paragrafo 5. Tuttavia, è opportuno introdurre una presunzione di causalità solo quando si può ritenere probabile che la colpa in questione abbia influenzato l'output pertinente del sistema di IA o la sua mancata produzione, il che può essere valutato sulla base delle circostanze generali del caso. Allo stesso tempo, l'attore deve comunque dimostrare che il sistema di IA (ossia l'output di tale sistema o la sua mancata produzione) ha causato il danno.
I paragrafi 2 e 3 operano una distinzione tra le azioni intentate nei confronti del fornitore di un sistema di IA ad alto rischio o di una persona soggetta agli obblighi del fornitore a norma della legge sull'IA, da un lato, e le azioni intentate nei confronti dell'utente di tali sistemi, dall'altro. A tale riguardo, la direttiva segue le rispettive disposizioni e condizioni pertinenti della legge sull'IA. Nel caso di domande di risarcimento fondate sull'articolo 4, paragrafo 2, l'osservanza da parte dei convenuti degli obblighi di cui a tale paragrafo deve essere valutata anche alla luce del sistema di gestione dei rischi e dei suoi risultati, vale a dire le misure di gestione dei rischi, a norma della legge sull'IA.
In caso di sistemi di IA ad alto rischio, quali definiti dalla legge sull'IA, l'articolo 4, paragrafo 4, stabilisce un'eccezione alla presunzione di causalità qualora il convenuto dimostri che l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare il nesso causale. Una simile possibilità può incentivare i convenuti a rispettare i loro obblighi di divulgazione, mediante misure stabilite dalla legge sull'IA per garantire un elevato livello di trasparenza dell'IA o mediante requisiti di documentazione e registrazione.
Nel caso di sistemi di IA che non sono ad alto rischio, l'articolo 4, paragrafo 5, stabilisce una condizione per l'applicabilità della presunzione di causalità, in base alla quale quest'ultima è soggetta alla condizione che l'organo giurisdizionale stabilisca che è eccessivamente difficile per l'attore dimostrare l'esistenza del nesso causale. Tali difficoltà devono essere valutate alla luce delle caratteristiche di determinati sistemi di IA, come l'autonomia e l'opacità, che nella pratica rendono estremamente difficile la spiegazione del funzionamento interno del sistema di IA e pregiudicano la capacità dell'attore di dimostrare l'esistenza del nesso di causalità tra la colpa del convenuto e l'output del sistema di IA.
Nei casi in cui un convenuto utilizza il sistema di IA nel corso di un'attività personale non professionale, l'articolo 4, paragrafo 6, stabilisce che la presunzione di casualità dovrebbe applicarsi solo se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l'obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l'ha fatto. Tale condizione è giustificata dall'esigenza di bilanciare gli interessi delle persone danneggiate e degli utenti non professionali, esentando dall'applicazione della presunzione di causalità i casi in cui il comportamento degli utenti non professionali non determina un incremento dei rischi.
L'articolo 4, paragrafo 7, stabilisce infine che il convenuto ha il diritto di confutare la presunzione di causalità fondata sull'articolo 4, paragrafo 1.
Tali norme efficaci in materia di responsabilità civile presentano il vantaggio aggiuntivo di fornire a tutti coloro che sono coinvolti in attività relative ai sistemi di IA un ulteriore incentivo a rispettare gli obblighi relativi alla condotta che ci si aspetta da loro.
5.Valutazione e revisione mirata (articolo 5)
Vari ordinamenti giuridici nazionali prevedono regimi di responsabilità oggettiva diversi. Anche il Parlamento europeo, nella sua risoluzione d'iniziativa del 20 ottobre 2020, ha indicato elementi a favore di un regime di questo tipo a livello di UE: un regime di responsabilità oggettiva limitato per talune tecnologie basate sull'IA e un onere della prova agevolato ai sensi delle norme in materia di responsabilità per colpa. Le consultazioni pubbliche hanno, del pari, evidenziato una preferenza per tale regime tra i rispondenti (ad eccezione delle imprese diverse dalle PMI), abbinato o no a una copertura assicurativa obbligatoria.
La proposta tiene tuttavia conto delle differenze tra le tradizioni giuridiche nazionali e del fatto che il tipo di prodotti e servizi dotati di sistemi di IA che potrebbero incidere sul pubblico in generale e mettere a repentaglio importanti diritti giuridici, come il diritto alla vita, alla salute e alla proprietà, e che potrebbero pertanto essere soggetti a un regime di responsabilità oggettiva, non sono ancora ampiamente disponibili sul mercato.
Al fine di fornire alla Commissione informazioni sugli incidenti che coinvolgono i sistemi di IA, è istituito un programma di monitoraggio. La revisione mirata valuterà l'eventuale necessità di ulteriori misure, quali l'introduzione di un regime di responsabilità oggettiva e/o di una copertura assicurativa obbligatoria.
6.Recepimento (articolo 7)
Nel notificare alla Commissione le misure nazionali di recepimento volte a conformarsi alla direttiva, gli Stati membri dovrebbero anche fornire documenti esplicativi che forniscano informazioni sufficientemente chiare e precise e indichino, per ciascuna disposizione della presente direttiva, le disposizioni nazionali che ne garantiscono il recepimento. Ciò è necessario per consentire alla Commissione di individuare, per ciascuna disposizione della direttiva che richiede il recepimento, la parte pertinente delle misure nazionali di recepimento che crea l'obbligo giuridico corrispondente nell'ordinamento giuridico nazionale, indipendentemente dalla forma scelta dagli Stati membri.
2022/0303 (COD)
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale
(direttiva sulla responsabilità da intelligenza artificiale)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo,
visto il parere del Comitato delle regioni,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1)L'intelligenza artificiale ("IA") è un insieme di tecnologie abilitanti che possono contribuire al conseguimento di un'ampia gamma di benefici nell'intero spettro delle attività economiche e sociali. Offre un grande potenziale di progresso tecnologico e rende possibili nuovi modelli imprenditoriali in numerosi settori dell'economia digitale.
(2)Nel contempo, a seconda delle circostanze in cui viene concretamente applicata e usata, l'IA può comportare rischi e nuocere agli interessi e ai diritti tutelati dal diritto dell'Unione o nazionale. Ad esempio l'uso dell'IA può incidere negativamente su una serie di diritti fondamentali, tra cui la vita, l'integrità fisica, la non discriminazione e la parità di trattamento. Il regolamento (UE).../... del Parlamento europeo e del Consiglio [legge sull'IA]stabilisce requisiti intesi a ridurre i rischi per la sicurezza e i diritti fondamentali, mentre altri strumenti del diritto dell'Unione stabiliscono le norme generalie settoriali in materia di sicurezza dei prodotti applicabili anche ai prodotti macchinae alle apparecchiature radiobasati sull'IA. Tali requisiti volti a ridurre i rischi per la sicurezza e i diritti fondamentali, sebbene mirino a prevenire, monitorare e affrontare i rischi e quindi a dare risposta alle preoccupazioni della società, non prevedono rimedi a favore dei singoli che hanno subito danni causati dall'IA. I requisiti in vigore prevedono in particolare autorizzazioni, controlli, obblighi di monitoraggio e sanzioni amministrative in relazione ai sistemi di IA al fine di prevenire i danni. Non prevedono misure risarcitorie a favore di coloro che abbiano subito danni causati dall'output prodotto da un sistema di IA o dalla mancata produzione di un output da parte di tale sistema.
(3)Il danneggiato che intenda ottenere un risarcimento per il danno subito è di norma tenuto, in base alle norme generali in materia di responsabilità per colpa degli Stati membri, a dimostrare che la persona potenzialmente tenuta a rispondere del danno ha commesso un'azione o omissione intenzionalmente lesiva o colposa ("colpa") e che esiste un nesso di causalità tra colpa e danno. Tuttavia, quando l'IA si interpone tra l'azione o omissione di una persona e il danno, le specifiche caratteristiche di alcuni sistemi di IA, come l'opacità, il comportamento autonomo e la complessità, possono rendere eccessivamente difficile, se non impossibile, per il danneggiato soddisfare l'onere della prova. In particolare può essere eccessivamente difficile dimostrare che un determinato input, di cui è responsabile la persona potenzialmente tenuta a rispondere del danno, ha provocato un determinato output del sistema di IA, che a sua volta ha causato il danno in questione.
(4)In tali casi il livello di tutela risarcitoria previsto dalle norme nazionali in materia di responsabilità civile può essere inferiore a quello riconosciuto nei casi in cui il danno è causato con il concorso di tecnologie diverse dall'IA. Tali divario risarcitorio può contribuire a un minor livello di accettazione sociale dell'IA e di fiducia nei prodotti e servizi basati sull'IA.
(5)Per cogliere i vantaggi economici e sociali dell'IA e promuovere la transizione verso l'economia digitale, è necessario adattare in modo mirato alcune norme nazionali in materia di responsabilità civile a tali caratteristiche specifiche di determinati sistemi di IA. Tali adeguamenti dovrebbero contribuire a rafforzare la fiducia della società e dei consumatori, promuovendo in tal modo la diffusione dell'IA. Dovrebbero inoltre mantenere la fiducia nel sistema giudiziario, garantendo che coloro che subiscono un danno causato con il concorso dell'IA ricevano un risarcimento effettivo equivalente a quello riconosciuto ai danneggiati da altre tecnologie.
(6)I portatori di interessi, ossia i danneggiati, gli assicuratori o le persone potenzialmente tenute a rispondere del danno, si trovano ad affrontare una situazione di incertezza giuridica quanto al modo in cui gli organi giurisdizionali nazionali, di fronte alle sfide specifiche poste dall'IA, potrebbero applicare ai singoli casi le norme vigenti in materia di responsabilità per garantire risultati equi. In assenza di un intervento dell'Unione, è probabile che almeno alcuni Stati membri adeguino le rispettive norme in materia di responsabilità civile per colmare le lacune in materia risarcitoria e porre rimedio all'incertezza giuridica derivante dalle specifiche caratteristiche di alcuni sistemi di IA. Ciò porterebbe ad una situazione di frammentazione giuridica e creerebbe ostacoli nel mercato interno per le imprese che sviluppano prodotti o prestano servizi innovativi basati sull'IA. Le piccole e medie imprese ne risentirebbero in modo particolare.
(7)Scopo della presente direttiva è contribuire al corretto funzionamento del mercato interno armonizzando alcune norme nazionali in materia di responsabilità extracontrattuale per colpa, in modo da garantire che coloro che chiedono il risarcimento del danno causato da un sistema di IA godano di un livello di protezione equivalente a quello riconosciuto alle persone che chiedono il risarcimento del danno causato senza il concorso di un sistema di IA. Tale obiettivo non può essere conseguito in misura sufficiente dagli Stati membri perché gli ostacoli nel mercato interno derivano dal rischio di misure normative unilaterali e frammentate a livello nazionale. Data la natura digitale dei prodotti e dei servizi rientranti nell'ambito di applicazione della presente direttiva, quest'ultima è particolarmente rilevante in un contesto transfrontaliero.
(8)L'obiettivo di garantire la certezza del diritto e di prevenire le lacune in materia risarcitoria nei casi in cui sono coinvolti sistemi di IA può pertanto essere conseguito meglio a livello di Unione. L'Unione può dunque intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea (TUE). La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
(9)È pertanto necessario armonizzare in modo mirato alcuni aspetti specifici delle norme in materia di responsabilità per colpa a livello di Unione. Tale armonizzazione dovrebbe rafforzare la certezza del diritto e creare condizioni di parità per i sistemi di IA, migliorando così il funzionamento del mercato interno per quanto riguarda la produzione e la diffusione di prodotti e servizi basati sull'IA.
(10)Per rispettare il principio di proporzionalità, è opportuno armonizzare in modo mirato solo le norme in materia di responsabilità per colpa che disciplinano l'onere della prova a carico di coloro che chiedono il risarcimento del danno causato da sistemi di IA. La presente direttiva non dovrebbe armonizzare gli aspetti generali della responsabilità civile disciplinati in modi diversi dalle norme nazionali in materia di responsabilità civile, come la definizione di colpa o causalità, i diversi tipi di danno che giustificano le domande di risarcimento, la distribuzione della responsabilità tra più danneggianti, il concorso di colpa, il calcolo del danno o i termini di prescrizione.
(11)La direttiva 85/374/CEE del Consiglioha già armonizzato a livello di Unione le leggi degli Stati membri in materia di responsabilità dei produttori per danno da prodotti difettosi. Tali leggi non incidono tuttavia sulle norme degli Stati membri in materia di responsabilità contrattuale o extracontrattuale (come la responsabilità connessa alla warranty (garanzia), la responsabilità per colpa o la responsabilità oggettiva) basata su motivi diversi dal difetto di un prodotto. Al tempo stesso l'obiettivo della revisione della direttiva 85/374/CEE del Consiglio è chiarire e garantire la possibilità per il danneggiato di chiedere il risarcimento del danno causato da prodotti difettosi basati sull'IA; è pertanto opportuno chiarire che le disposizioni della presente direttiva non pregiudicano i diritti che le norme nazionali di attuazione della direttiva 85/374/CEE possono riconoscere al danneggiato. Per quanto concerne il settore dei trasporti, la presente direttiva dovrebbe inoltre lasciare impregiudicato il diritto dell'Unione che disciplina la responsabilità degli operatori di trasporto.
(12)[La legge sui servizi digitali] armonizza pienamente le norme applicabili ai prestatori di servizi intermediari nel mercato interno, coprendo i rischi per la società derivanti dai servizi offerti da tali prestatori, anche in relazione ai sistemi di IA da essi utilizzati. La presente direttiva lascia impregiudicate le disposizioni della [legge sui servizi digitali] che stabiliscono un quadro completo e pienamente armonizzato per gli obblighi in materia di dovere di diligenza a carico dei prestatori di servizi di hosting in relazione al processo decisionale algoritmico, compresa l'esenzione dalla responsabilità per la diffusione di contenuti illegali caricati dai destinatari dei loro servizi qualora siano soddisfatte le condizioni previste da tale regolamento.
(13)Tranne in relazione alle presunzioni che introduce, la presente direttiva non armonizza le norme nazionali che stabiliscono a quale parte incombe l'onere della prova o quale grado di certezza sia richiesto in relazione al livello della prova.
(14)La presente direttiva dovrebbe seguire un approccio di armonizzazione minima. Tale approccio consente all'attore di invocare norme nazionali più favorevoli nei casi in cui il danno sia stato causato da sistemi di IA. Le leggi nazionali possono quindi mantenere, ad esempio, l'inversione dell'onere della prova nel quadro della disciplina nazionale della responsabilità per colpa, oppure i regimi nazionali di responsabilità senza colpa (denominata "responsabilità oggettiva"), di cui esistono già numerose varianti nelle leggi nazionali, possibilmente applicabili ai danni causati da sistemi di IA.
(15)Dovrebbe inoltre essere garantita la coerenza con [la legge sull'IA]. È pertanto opportuno che la presente direttiva utilizzi le stesse definizioni in relazione ai sistemi di IA e ai relativi fornitori ed utenti. La presente direttiva dovrebbe inoltre riguardare unicamente le domande di risarcimento del danno causato dall'output prodotto da un sistema di IA o dalla mancata produzione di un output da parte di tale sistema per colpa di una persona, ad esempio il fornitore o l'utente ai sensi della [legge sull'IA]. Non è necessario che vi rientrino le azioni di responsabilità per danno causato da una valutazione umana seguita da un'azione o un'omissione umana nel caso in cui il sistema di IA abbia unicamente fornito informazioni o indicazioni di cui ha tenuto conto il soggetto umano. In quest'ultimo caso è possibile ricollegare il danno a un'azione o un'omissione umana, dato che l'output del sistema di IA non si è interposto tra l'azione o l'omissione umana e il danno, per cui l'accertamento del nesso di causalità non è più difficile che nelle situazioni in cui non intervengono sistemi di IA.
(16)L'accesso alle informazioni su specifici sistemi di IA ad alto rischio sospettati di aver causato danni è un fattore importante per decidere se chiedere un risarcimento e motivarne la richiesta. Inoltre, per i sistemi di IA ad alto rischio, [la legge sull'IA] stabilisce requisiti specifici in materia di documentazione, informazioni e registrazione, ma non riconosce al danneggiato il diritto di accesso a tali informazioni. È pertanto opportuno stabilire, ai fini dell'accertamento della responsabilità, norme sulla divulgazione degli elementi di prova pertinenti da parte di coloro che ne hanno la disponibilità. Ciò dovrebbe rappresentare anche un ulteriore incentivo a rispettare l'obbligo di documentare o registrare le pertinenti informazioni previsto dalla [legge sull'IA].
(17)L'elevato numero di persone normalmente coinvolte nella progettazione, nello sviluppo, nell'impiego e nel funzionamento di sistemi di IA ad alto rischio rende difficile per il danneggiato identificare la persona potenzialmente tenuta a rispondere del danno cagionato e dimostrare che ricorrono le condizioni per chiedere un risarcimento. Per consentire al danneggiato di stabilire se una domanda di risarcimento sia fondata, è opportuno riconoscere agli attori potenziali il diritto di chiedere a un organo giurisdizionale di ordinare la divulgazione degli elementi di prova pertinenti prima di presentare una domanda di risarcimento del danno. Tale divulgazione dovrebbe essere ordinata solo se l'attore potenziale presenta fatti e informazioni sufficienti a suffragare la plausibilità di una domanda di risarcimento del danno e se ha previamente chiesto al fornitore, alla persona soggetta agli obblighi del fornitore o all'utente di divulgare gli elementi di prova di cui dispone in merito a specifici sistemi di IA ad alto rischio sospettati di aver causato il danno e tale richiesta è stata rifiutata. Disporre la divulgazione degli elementi di prova dovrebbe permettere di ridurre i contenziosi inutili ed evitare ai potenziali contendenti i costi derivanti da domande ingiustificate o che rischiano di essere infruttuose. Il rifiuto opposto dal fornitore, dalla persona soggetta agli obblighi del fornitore o dall'utente prima che venga chiesto all'organo giurisdizionale di ordinare la divulgazione degli elementi di prova non dovrebbe far scattare la presunzione di non conformità ai pertinenti obblighi di diligenza da parte della persona che rifiuta di divulgare gli elementi di prova.
(18)Il fatto che la divulgazione degli elementi di prova sia limitata ai sistemi di IA ad alto rischio è coerente con la [legge sull'IA], che prevede determinati obblighi specifici di documentazione, informazione e conservazione delle registrazioni per gli operatori coinvolti nella progettazione, nello sviluppo e nell'impiego di sistemi di IA ad alto rischio. Tale coerenza garantisce inoltre la necessaria proporzionalità evitando che gli operatori di sistemi di IA con un livello di rischio basso o nullo siano soggetti a un obbligo di documentazione delle informazioni simile a quello imposto dalla [legge sull'IA] per i sistemi di IA ad alto rischio.
(19)Gli organi giurisdizionali nazionali dovrebbero poter ordinare, nel corso di un procedimento civile, la divulgazione o la conservazione degli elementi di prova pertinenti relativi ai danni causati da sistemi di IA ad alto rischio a opera di persone già soggette all'obbligo di documentare o registrare informazioni a norma della [legge sull'IA], siano esse fornitori, persone soggette agli stessi obblighi dei fornitori o utenti di un sistema di IA, in qualità di convenuti o di terzi in relazione alla domanda. In determinate situazioni gli elementi di prova pertinenti per la causa sono detenuti da entità estranee all'azione di risarcimento del danno, ma che hanno l'obbligo di documentare o registrare tali prove a norma della [legge sull'IA]. È pertanto necessario stabilire le condizioni alle quali può essere ordinato a tali soggetti terzi di divulgare gli elementi di prova pertinenti.
(20)Per mantenere un equilibrio tra gli interessi delle parti coinvolte nella domanda di risarcimento del danno e quelli dei terzi interessati, gli organi giurisdizionali dovrebbero ordinare la divulgazione degli elementi di prova solo ove ciò sia necessario e proporzionato per sostenere la domanda o la potenziale domanda di risarcimento del danno. A tale proposito la divulgazione dovrebbe riguardare solo gli elementi di prova necessari per la decisione sulla domanda di risarcimento del danno, ad esempio solo le parti delle registrazioni o dei set di dati necessari per dimostrare la non conformità a un requisito stabilito dalla [legge sull'IA]. Per garantire la proporzionalità di tali misure di divulgazione o di conservazione, gli organi giurisdizionali nazionali dovrebbero disporre di mezzi efficaci per tutelare i legittimi interessi di tutte le parti coinvolte, ad esempio la protezione dei segreti commerciali ai sensi della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglioe delle informazioni riservate, come le informazioni relative alla sicurezza pubblica o nazionale. Per quanto riguarda i segreti commerciali o i presunti segreti commerciali indicati dalle autorità giudiziarie come riservati ai sensi della direttiva (UE) 2016/943, agli organi giurisdizionali nazionali dovrebbe essere conferito il potere di adottare misure specifiche per garantirne la riservatezza durante e dopo il procedimento, garantendo nel contempo un giusto e proporzionato equilibrio tra l'interesse del titolare del segreto commerciale a mantenere la segretezza e l'interesse del danneggiato. A tal fine dovrebbero essere previste misure per limitare a un numero ridotto di persone l'accesso ai documenti contenenti segreti commerciali e l'accesso alle udienze e ai relativi documenti e trascrizioni. Nel decidere in merito a tali misure, gli organi giurisdizionali nazionali dovrebbero tenere conto della necessità di garantire il diritto a un ricorso effettivo e a un giudice imparziale, dei legittimi interessi delle parti e, se del caso, di terzi, nonché di qualsiasi potenziale danno che la concessione o il rifiuto di tali misure possa causare a una delle parti o, se del caso, a terzi. Inoltre, per garantire che le misure di divulgazione nell'ambito delle domande di risarcimento del danno siano applicate in modo proporzionato nei confronti dei terzi, gli organi giurisdizionali nazionali dovrebbero ordinare ai terzi di divulgare gli elementi di prova solo se questi non possono essere ottenuti dal convenuto.
(21)Se da un lato gli organi giurisdizionali nazionali possono adottare diverse misure per far eseguire gli ordini di divulgazione degli elementi di prova, dall'altro tali misure potrebbero causare ritardi nelle azioni di risarcimento del danno, con il conseguente rischio di gravare le parti in causa di spese aggiuntive. Tali ritardi e spese aggiuntive rischiano di rendere ancora più difficile l'accesso del danneggiato a un ricorso giurisdizionale effettivo. Di conseguenza, qualora il convenuto in un'azione di risarcimento del danno non si conformi all'ordine dell'organo giurisdizionale di divulgare gli elementi di prova di cui dispone, è opportuno introdurre una presunzione di non conformità agli obblighi di diligenza che tali elementi di prova erano intesi a dimostrare. Una simile presunzione relativa ridurrà la durata del contenzioso e migliorerà l'efficienza dei procedimenti giudiziari. Il convenuto dovrebbe poter confutare tale presunzione presentando prove contrarie.
(22)Per porre rimedio alla difficoltà di dimostrare che un determinato input, di cui è responsabile la persona potenzialmente tenuta a rispondere del danno, ha provocato un determinato output del sistema di IA, che a sua volta ha causato il danno in questione, è opportuno prevedere, a determinate condizioni, una presunzione di causalità. Anche se in un'azione per colpa l'attore deve solitamente dimostrare il danno, l'azione o l'omissione umana che costituisce un comportamento colposo del convenuto e il nesso di causalità che li unisce, la presente direttiva non armonizza i criteri in base ai quali gli organi giurisdizionali nazionali accertano l'esistenza della colpa. Tali criteri rimangono disciplinati dal diritto nazionale e, ove siano armonizzati, dal diritto dell'Unione applicabile. Allo stesso modo, la presente direttiva non armonizza i criteri relativi al danno, ad esempio i tipi di danno risarcibile, che rimangono anch'essi disciplinati dal diritto nazionale e dell'Unione applicabile. Affinché si possa applicare la presunzione di causalità prevista dalla presente direttiva, è opportuno che la colpa del convenuto accertata consista in un comportamento umano attivo od omissivo non conforme a un obbligo di diligenza, stabilito dal diritto dell'Unione o nazionale, direttamente inteso a proteggere dal danno verificatosi. Tale presunzione può pertanto trovare applicazione, ad esempio, nelle domande di risarcimento del danno per lesioni fisiche se l'organo giurisdizionale accerta che la colpa del convenuto consiste nell'inosservanza delle istruzioni per l'uso intese a prevenire danni alle persone fisiche. Il mancato rispetto di obblighi di diligenza non direttamente intesi a proteggere dal danno verificatosi, ad esempio la mancata presentazione della documentazione richiesta alle autorità competenti da parte del fornitore, non comporta l'applicazione della presunzione nelle domande di risarcimento del danno per lesioni fisiche. Dovrebbe inoltre essere previsto che si possa ritenere ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema. Infine l'attore dovrebbe essere comunque tenuto a dimostrare che l'output o la mancata produzione di un output ha causato il danno.
(23)La colpa può essere accertata in relazione al mancato rispetto delle norme dell'Unione che disciplinano specificamente i sistemi di IA ad alto rischio, come i requisiti introdotti per determinati sistemi di IA ad alto rischio dalla [legge sull'IA], i requisiti che possono essere introdotti dalla futura legislazione settoriale per altri sistemi di IA ad alto rischio a norma [dell'articolo 2, paragrafo 2, della legge sull'IA], o gli obblighi di diligenza connessi a determinate attività e applicabili a prescindere dal fatto che l'IA sia utilizzata per tali attività. Al tempo stesso, la presente direttiva non crea né armonizza i requisiti o la responsabilità delle entità la cui attività è disciplinata da tali atti normativi, per cui non introduce nuove azioni di responsabilità. Per stabilire che una violazione di tali requisiti integra un comportamento colposo occorrerà basarsi sulle disposizioni delle suddette norme applicabili del diritto dell'Unione, dato che la presente direttiva non introduce nuovi requisiti né incide su quelli in vigore. Ad esempio la presente direttiva non incide sull'esenzione dalla responsabilità per i prestatori di servizi intermediari né sugli obblighi in materia di dovere di diligenza cui tali prestatori sono soggetti a norma della [legge sui servizi digitali]. Analogamente, per stabilire se le piattaforme online abbiano rispettato l'obbligo di evitare la comunicazione non autorizzata al pubblico di opere protette dal diritto d'autore sarà necessario basarsi sulla direttiva (UE) 2019/790 sul diritto d'autore e sui diritti connessi nel mercato unico digitale e su altri atti normativi dell'Unione in materia di diritto d'autore.
(24)Nei settori non armonizzati dal diritto dell'Unione continua ad applicarsi il diritto nazionale e la colpa deve essere accertata in base al diritto nazionale applicabile. Tutti i regimi nazionali di responsabilità prevedono obblighi di diligenza e prendono come riferimento diverse espressioni del principio della condotta di una persona ragionevole, che garantisce anche il funzionamento sicuro dei sistemi di IA per evitare che siano danneggiati interessi giuridici meritevoli di tutela. Tali doveri di diligenza potrebbero ad esempio consistere nell'obbligo per gli utenti di sistemi di IA di scegliere per talune attività un determinato sistema di IA dotato di caratteristiche specifiche, o di escludere alcuni segmenti di una popolazione dall'esposizione a un determinato sistema di IA. Il diritto nazionale può inoltre introdurre obblighi specifici volti a prevenire i rischi per determinate attività, applicabili indipendentemente dal fatto che l'IA sia utilizzata per tale attività, ad esempio norme sulla circolazione stradale o obblighi specificamente concepiti per i sistemi di IA, ad esempio obblighi nazionali aggiuntivi per gli utenti di sistemi di IA ad alto rischio a norma dell'articolo 29, paragrafo 2, della [legge sull'IA]. La presente direttiva non introduce tali obblighi né incide sui criteri per l'accertamento della colpa in caso di violazione degli stessi.
(25)Anche qualora sia accertato un comportamento colposo consistente nella non conformità a un obbligo di diligenza direttamente inteso a proteggere dal danno verificatosi, non tutte le fattispecie di colpa dovrebbero comportare l'applicazione della presunzione relativa che stabilisce il nesso tra la colpa e l'output del sistema di IA. Tale presunzione dovrebbe applicarsi solo se si può ritenere ragionevolmente probabile, in base alle circostanze in cui si è verificato il danno, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema, che a sua volta ha causato il danno. Si può ad esempio ritenere ragionevolmente probabile che il comportamento colposo abbia influito sull'output o sulla mancata produzione di un output se la colpa risiede nella violazione di un obbligo di diligenza consistente nel definire l'ambito di funzionamento del sistema di IA e il danno si è verificato al di fuori di tale ambito di funzionamento. Al contrario una violazione dell'obbligo di presentare determinati documenti o di registrarsi presso un'autorità, anche se tale obbligo è previsto per una data attività o addirittura specificamente applicabile al funzionamento di un sistema di IA, non può essere ritenuta ragionevolmente idonea a influire sull'output di un sistema di IA o sulla mancata produzione di un output da parte di tale sistema.
(26)La presente direttiva riguarda la colpa consistente nella non conformità a determinati requisiti stabiliti ai capi 2 e 3 della [legge sull'IA] per i fornitori e gli utenti di sistemi di IA ad alto rischio, non conformità che può comportare, a determinate condizioni, l'applicazione di una presunzione di causalità. La legge sull'IA prevede la piena armonizzazione dei requisiti riguardanti i sistemi di IA, salvo diversa previsione esplicita ivi contenuta. Armonizza i requisiti specifici per i sistemi di IA ad alto rischio. Di conseguenza, ai fini delle azioni di risarcimento del danno in cui si applica una presunzione di causalità a norma della presente direttiva, la colpa potenziale dei fornitori o delle persone soggette agli obblighi dei fornitori a norma della [legge sull'IA] viene stabilita unicamente attraverso l'accertamento della non conformità a tali requisiti. Dato che nella pratica l'attore può avere difficoltà a dimostrare detta non conformità quando il convenuto è il fornitore del sistema di IA, in piena coerenza con la logica della [legge sull'IA] la presente direttiva dovrebbe altresì prevedere che, nel determinare se il fornitore abbia rispettato i pertinenti requisiti previsti dalla legge sull'IA di cui alla presente direttiva, si debba tenere conto delle misure adottate dal fornitore nel quadro del sistema di gestione dei rischi e dei risultati di tale sistema, ossia della decisione di adottare o non adottare determinate misure di gestione dei rischi. Il sistema di gestione dei rischi predisposto dal fornitore a norma della [legge sull'IA] è un processo iterativo continuo eseguito nel corso dell'intero ciclo di vita di un sistema di IA ad alto rischio, per mezzo del quale il fornitore garantisce la conformità ai requisiti obbligatori intesi ad attenuare i rischi e che può pertanto rappresentare un elemento utile per valutare detta conformità. La presente direttiva riguarda anche i casi di colpa degli utenti consistente nella non conformità a determinati requisiti specifici stabiliti dalla [legge sull'IA]. La colpa degli utenti di sistemi di IA ad alto rischio può inoltre essere accertata in termini di non conformità ad altri obblighi di diligenza previsti dal diritto dell'Unione o nazionale, alla luce dell'articolo 29, paragrafo 2, della [legge sull'IA].
(27)Se da un lato le caratteristiche specifiche di alcuni sistemi di IA, come l'autonomia e l'opacità, possono rendere eccessivamente difficile per l'attore soddisfare l'onere della prova, dall'altro in alcune situazioni l'attore potrebbe non trovarsi di fronte a tali difficoltà in quanto potrebbe disporre di prove e competenze sufficienti per dimostrare l'esistenza del nesso di causalità. Potrebbe essere il caso, ad esempio, dei sistemi di IA ad alto rischio in relazione ai quali l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti in forza dei requisiti di documentazione e registrazione previsti dalla [legge sull'IA]. In tali situazioni l'organo giurisdizionale non dovrebbe applicare la presunzione.
(28)La presunzione di causalità potrebbe applicarsi anche ai sistemi di IA che non sono ad alto rischio qualora l'attore incontri eccessive difficoltà probatorie. Tali difficoltà potrebbero essere valutate, per esempio, alla luce delle caratteristiche di determinati sistemi di IA, come l'autonomia e l'opacità, che nella pratica rendono estremamente difficile la spiegazione del funzionamento interno del sistema di IA e pregiudicano la capacità dell'attore di dimostrare l'esistenza del nesso di causalità tra la colpa del convenuto e l'output del sistema di IA. L'organo giurisdizionale nazionale dovrebbe applicare la presunzione nel caso in cui l'attore incontri eccessive difficoltà nel dimostrare l'esistenza del nesso di causalità in quanto si trova a dover spiegare in che modo l'azione o l'omissione umana in cui si manifesta la colpa abbia indotto il sistema di IA a produrre o non produrre un output, evento che a sua volta ha cagionato il danno. L'attore non dovrebbe tuttavia essere tenuto a spiegare né le caratteristiche del sistema di IA in questione né il modo in cui tali caratteristiche complicano l'accertamento del nesso di causalità.
(29)L'applicazione della presunzione di causalità è intesa a garantire al danneggiato un livello di protezione simile a quello riconosciuto nei casi in cui non intervengono sistemi di IA e può essere quindi più facile dimostrare l'esistenza del nesso di causalità. Non è tuttavia sempre opportuno alleggerire l'onere della prova del nesso di causalità a norma della presente direttiva nei casi in cui il convenuto non è un utente professionale, bensì un utente di sistemi di IA a fini privati. In tali circostanze, al fine di garantire un equilibrio tra gli interessi del danneggiato e quelli dell'utente non professionale, è necessario valutare se quest'ultimo possa aver contribuito, attraverso il proprio comportamento, ad aumentare il rischio che il sistema di IA abbia causato il danno. Se il fornitore del sistema di IA ha rispettato tutti gli obblighi che gli incombono e di conseguenza tale sistema è stato ritenuto sufficientemente sicuro ai fini dell'immissione sul mercato per un determinato uso da parte di utenti non professionali ed è poi stato destinato a tale uso, la semplice messa in funzionamento di tale sistema da parte di un utente non professionale non dovrebbe giustificare l'applicazione della presunzione di causalità. Nel caso di un utente non professionale che acquista un sistema di IA e si limita a metterlo in funzionamento per gli usi cui è destinato senza interferire materialmente con le condizioni di funzionamento dello stesso non dovrebbe applicarsi la presunzione di causalità stabilità dalla presente direttiva. Invece, se l'organo giurisdizionale nazionale accerta che un utente non professionale ha interferito materialmente con le condizioni di funzionamento di un sistema di IA, oppure aveva l'obbligo ed era in grado di stabilire le condizioni di funzionamento di un sistema di IA e non l'ha fatto, in tali casi dovrebbe applicarsi la presunzione di causalità, purché siano soddisfatte tutte le altre condizioni. Ciò potrebbe verificarsi, ad esempio, quando l'utente non professionale non rispetta le istruzioni per l'uso o altri obblighi di diligenza applicabili nella scelta dell'ambito di funzionamento o nella determinazione delle condizioni di funzionamento del sistema di IA. Ciò non pregiudica il fatto che il fornitore dovrebbe determinare la finalità prevista di un sistema di IA, compresi il contesto e le condizioni d'uso specifiche, ed eliminare o ridurre al minimo i rischi di tale sistema a seconda dei casi al momento della progettazione o dello sviluppo dello stesso, tenendo conto delle conoscenze e delle competenze dell'utente previsto.
(30)Poiché la presente direttiva introduce una presunzione relativa, il convenuto dovrebbe poter confutarla, in particolare dimostrando che il danno non può essere conseguenza di una sua colpa.
(31)È necessario prevedere un riesame della presente direttiva [cinque anni] dopo la fine del periodo di recepimento. Con tale riesame si dovrebbe valutare in particolare se vi sia la necessità di introdurre norme in materia di responsabilità oggettiva per le azioni avviate contro l'operatore di un sistema di IA, purché non siano già disciplinate da altre norme dell'Unione in materia di responsabilità, in particolare dalla direttiva 85/374/CEE, in combinazione con un'assicurazione obbligatoria per il funzionamento di determinati sistemi di IA, come suggerito dal Parlamento europeo. Conformemente al principio di proporzionalità, è opportuno valutare tale necessità alla luce dei pertinenti sviluppi tecnologici e normativi nei prossimi anni, considerandone l'effetto e l'impatto sulla diffusione e sull'adozione dei sistemi di IA, in particolare per le PMI. Tale riesame dovrebbe tenere conto, tra l'altro, del rischio che il funzionamento di prodotti o servizi basati sull'IA arrechi un pregiudizio a importanti interessi giuridici come la vita, la salute e la proprietà di soggetti terzi inconsapevoli. Con tale riesame si dovrebbe analizzare anche l'efficacia delle misure previste dalla presente direttiva nel far fronte a tali rischi, così come lo sviluppo di adeguate soluzioni da parte del mercato assicurativo. Per garantire la disponibilità delle informazioni richieste per svolgere tale riesame, è necessario raccogliere dati e altre evidenze pertinenti in merito alle materie in questione.
(32)Tenuto conto della necessità di apportare adeguamenti alle norme nazionali in materia di responsabilità civile e di procedura civile per agevolare la diffusione di prodotti e servizi basati sull'IA in condizioni favorevoli sul mercato interno e per promuovere l'accettazione sociale e la fiducia dei consumatori nelle tecnologie dell'IA e nel sistema giudiziario, è opportuno fissare un termine non superiore a [due anni dall'entrata in vigore] della presente direttiva per l'adozione delle necessarie misure di recepimento da parte degli Stati membri.
(33)Conformemente alla dichiarazione politica comune del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi, gli Stati membri si sono impegnati ad accompagnare, in casi giustificati, la notifica delle loro misure di recepimento con uno o più documenti che chiariscano il rapporto tra gli elementi costitutivi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata,
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Articolo 1
Oggetto e ambito di applicazione
1.La presente direttiva stabilisce norme comuni per quanto riguarda:
(a)la divulgazione di elementi di prova relativi a sistemi di intelligenza artificiale (IA) ad alto rischio per consentire all'attore in un'azione civile di responsabilità extracontrattuale per colpa di motivare adeguatamente la domanda di risarcimento del danno;
(b)l'onere della prova nel quadro delle azioni civili di responsabilità extracontrattuale per colpa avviate dinanzi agli organi giurisdizionali nazionali per ottenere il risarcimento del danno causato da un sistema di IA.
2.La presente direttiva si applica alle azioni civili di responsabilità extracontrattuale per colpa volte a ottenere il risarcimento del danno causato da un sistema di IA dopo [la fine del periodo di recepimento].
La presente direttiva non si applica alla responsabilità penale.
3.La presente direttiva non pregiudica:
(a)le norme del diritto dell'Unione che disciplinano i criteri di responsabilità nel settore dei trasporti;
(b)i diritti che le norme nazionali di attuazione della direttiva 85/374/CEE possono riconoscere al danneggiato;
(c)le esenzioni dalla responsabilità e gli obblighi in materia di dovere di diligenza stabiliti dalla [legge sui servizi digitali] e
(d)le norme nazionali che stabiliscono a quale parte incombe l'onere della prova e qual è il grado di certezza richiesto in relazione al livello della prova o che definiscono il concetto di colpa, tranne in relazione a quanto previsto agli articoli 3 e 4.
4.Gli Stati membri possono adottare o mantenere in vigore norme nazionali più favorevoli all'attore in relazione all'esigenza di motivare una domanda presentata nel quadro di un'azione civile di responsabilità extracontrattuale per ottenere il risarcimento del danno causato da un sistema di IA, a condizione che tali norme siano compatibili con il diritto dell'Unione.
Articolo 2
Definizioni
Ai fini della presente direttiva si applicano le definizioni seguenti:
(1)"sistema di IA": un sistema di IA quale definito [all'articolo 3, punto 1, della legge sull'IA];
(2)"sistema di IA ad alto rischio": un sistema di IA di cui [all'articolo 6 della legge sull'IA];
(3)"fornitore": un fornitore quale definito [all'articolo 3, punto 2, della legge sull'IA];
(4)"utente": un utente quale definito [all'articolo 3, punto 4, della legge sull'IA];
(5)"domanda di risarcimento del danno": una domanda nel quadro di un'azione civile di responsabilità extracontrattuale per colpa volta a ottenere il risarcimento del danno causato dall'output di un sistema di IA o dalla mancata produzione di un output che avrebbe invece dovuto essere prodotto da tale sistema;
(6)"attore": la persona che presenta una domanda di risarcimento del danno e che:
(a)è stata danneggiata dall'output di un sistema di IA o dalla mancata produzione di un output che avrebbe invece dovuto essere prodotto da tale sistema;
(b)è subentrata o si è surrogata nei diritti del danneggiato per legge o disposizione contrattuale; oppure
(c)agisce per conto di uno o più danneggiati conformemente al diritto dell'Unione o nazionale;
7) "attore potenziale": una persona fisica o giuridica che sta valutando la possibilità di presentare una domanda di risarcimento del danno, senza averla ancora presentata;
8) "convenuto": la persona contro la quale è stata presentata una domanda di risarcimento del danno;
9) "obbligo di diligenza": il livello di condotta richiesto, stabilito dal diritto nazionale o dell'Unione, al fine di evitare danni agli interessi giuridici riconosciuti dal diritto nazionale o dell'Unione, tra cui la vita, l'integrità fisica, la proprietà e la tutela dei diritti fondamentali.
Articolo 3
Divulgazione degli elementi di prova e presunzione relativa di non conformità
1.Gli Stati membri provvedono affinché, su richiesta di un attore potenziale che, dopo aver chiesto al fornitore, a una persona soggetta agli obblighi del fornitore a norma [dell'articolo 24 o dell'articolo 28, paragrafo 1, della legge sull'IA] o a un utente di divulgare gli elementi di prova pertinenti di cui dispone in relazione a un determinato sistema di IA ad alto rischio che si sospetta abbia cagionato il danno, si sia visto opporre un rifiuto, oppure su richiesta dell'attore, gli organi giurisdizionali nazionali abbiano il potere di ordinare la divulgazione di detti elementi di prova da parte di tali persone.
L'attore potenziale deve presentare a sostegno di tale richiesta fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento del danno.
2.Nel quadro di una domanda di risarcimento del danno, gli organi giurisdizionali nazionali ordinano a una delle persone elencate al paragrafo 1 di divulgare gli elementi di prova solo se l'attore ha previamente compiuto ogni sforzo proporzionato per ottenere tali elementi di prova dal convenuto.
3.Gli Stati membri provvedono affinché gli organi giurisdizionali nazionali, su richiesta dell'attore, abbiano il potere di ordinare misure specifiche di conservazione degli elementi di prova di cui al paragrafo 1.
4.Gli organi giurisdizionali nazionali limitano la divulgazione degli elementi di prova a quanto necessario e proporzionato per sostenere una domanda o potenziale domanda di risarcimento del danno e limitano la conservazione di tali elementi di prova a quanto necessario e proporzionato per sostenere tale domanda di risarcimento del danno.
Nel valutare la proporzionalità di un ordine di divulgazione o di conservazione degli elementi di prova, gli organi giurisdizionali nazionali tengono conto dei legittimi interessi di tutte le parti, compresi i terzi interessati, specialmente in relazione alla protezione dei segreti commerciali ai sensi dell'articolo 2, punto 1, della direttiva (UE) 2016/943, e delle informazioni riservate, come le informazioni relative alla sicurezza pubblica o nazionale.
Gli Stati membri provvedono affinché, qualora sia ordinata la divulgazione di un segreto commerciale o presunto segreto commerciale che l'organo giurisdizionale ha indicato come riservato ai sensi dell'articolo 9, paragrafo 1, della direttiva (UE) 2016/943, gli organi giurisdizionali nazionali, d'ufficio o su richiesta debitamente motivata di una parte, abbiano il potere di adottare misure specifiche necessarie per tutelarne la riservatezza se tali elementi di prova vengono utilizzati o se ad essi è fatto riferimento nel procedimento giudiziario.
Gli Stati membri provvedono inoltre affinché la persona cui è stato ordinato di divulgare o conservare gli elementi di prova di cui al paragrafo 1 o 2 disponga di adeguati mezzi procedurali per impugnare tali ordinanze.
5.Se il convenuto non si conforma all'ordinanza con cui l'organo giurisdizionale nazionale, nel contesto di una domanda di risarcimento del danno, gli ingiunge di divulgare o conservare gli elementi di prova a sua disposizione a norma del paragrafo 1 o 2, l'organo giurisdizionale nazionale presume, in particolare nelle circostanze di cui all'articolo 4, paragrafo 2 o 3, la non conformità a un pertinente obbligo di diligenza da parte del convenuto, che gli elementi di prova richiesti erano intesi a dimostrare ai fini della domanda di risarcimento del danno.
Il convenuto ha il diritto di confutare tale presunzione.
Articolo 4
Presunzione relativa del nesso di causalità in caso di colpa
1.Fatti salvi i requisiti di cui al presente articolo, ai fini dell'applicazione delle norme in materia di responsabilità alle domande di risarcimento del danno gli organi giurisdizionali nazionali presumono l'esistenza del nesso di causalità tra la colpa del convenuto e l'output prodotto da un sistema di IA o la mancata produzione di un output da parte di tale sistema se sono soddisfatte tutte le condizioni seguenti:
(a)l'attore ha dimostrato o l'organo giurisdizionale ha presunto, a norma dell'articolo 3, paragrafo 5, la colpa del convenuto o di una persona della cui condotta il convenuto è responsabile, consistente nella non conformità a un obbligo di diligenza previsto dal diritto dell'Unione o nazionale e direttamente inteso a proteggere dal danno verificatosi;
(b)si può ritenere ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema;
(c)l'attore ha dimostrato che il danno è stato causato dall'output prodotto dal sistema di IA o dalla mancata produzione di un output da parte di tale sistema.
2.In caso di domanda di risarcimento del danno presentata contro un fornitore di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA] o una persona soggetta agli obblighi del fornitore a norma [dell'articolo 24 o dell'articolo 28, paragrafo 1, della legge sull'IA], le condizioni di cui al paragrafo 1, lettera a), sono soddisfatte unicamente se l'attore ha dimostrato che il fornitore o, se del caso, la persona soggetta agli obblighi del fornitore non ha rispettato uno dei requisiti stabiliti da tali capi e indicati di seguito, tenendo conto delle misure adottate nel quadro del sistema di gestione dei rischi e dei relativi risultati a norma [dell'articolo 9 e dell'articolo 16, lettera a), della legge sull'IA]:
(a) il sistema di IA è un sistema che utilizza tecniche che prevedono l'uso di dati per l'addestramento di modelli e che non è stato sviluppato sulla base di set di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui [all'articolo 10, paragrafi da 2 a 4, della legge sull'IA];
(b)il sistema di IA non è stato progettato e sviluppato in modo da soddisfare gli obblighi di trasparenza di cui [all'articolo 13 della legge sull'IA];
(c)il sistema di IA non è stato progettato e sviluppato in modo da consentire una supervisione efficace da parte di persone fisiche durante il periodo in cui il sistema di IA è in uso a norma [dell'articolo 14 della legge sull'IA];
(d)il sistema di IA non è stato progettato e sviluppato in modo da conseguire, alla luce della sua finalità prevista, un adeguato livello di accuratezza, robustezza e cibersicurezza a norma [dell'articolo 15 e dell'articolo 16, lettera a), della legge sull'IA]; oppure
(e)non sono state immediatamente adottate le azioni correttive necessarie per rendere il sistema di IA conforme ai requisiti stabiliti [dal titolo III, capo 2, della legge sull'IA] o per ritirarlo o richiamarlo, a seconda dei casi, a norma [dell'articolo 16, lettera g), e dell'articolo 21 della legge sull'IA].
3.In caso di domanda di risarcimento del danno presentata contro un utente di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA], la condizione di cui al paragrafo 1, lettera a), è soddisfatta se l'attore dimostra che l'utente:
(a)non ha rispettato l'obbligo di utilizzare il sistema di IA o di monitorarne il funzionamento conformemente alle istruzioni per l'uso che accompagnano il sistema o, se del caso, l'obbligo di sospenderne o interromperne l'uso a norma [dell'articolo 29 della legge sull'IA]; oppure
(b)ha esposto il sistema di IA a dati di input sotto il suo controllo che non sono pertinenti alla luce della finalità prevista del sistema a norma [dell'articolo 29, paragrafo 3, della legge sull'IA].
4.In caso di domanda di risarcimento del danno riguardante un sistema di IA ad alto rischio, l'organo giurisdizionale nazionale non applica la presunzione di cui al paragrafo 1 se il convenuto dimostra che l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.
5.In caso di domanda di risarcimento del danno riguardante un sistema di IA che non è ad alto rischio, la presunzione di cui al paragrafo 1 si applica solo se l'organo giurisdizionale nazionale ritiene eccessivamente difficile per l'attore dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.
6.In caso di domanda di risarcimento del danno presentata contro un convenuto che ha utilizzato il sistema di IA nel corso di un'attività personale non professionale, la presunzione di cui al paragrafo 1 si applica solo se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l'obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l'ha fatto.
7.Il convenuto ha il diritto di confutare la presunzione di cui al paragrafo 1.
Articolo 5
Valutazione e revisione mirata
1.Entro il [DATA cinque anni dopo la fine del periodo di recepimento] la Commissione riesamina l'applicazione della presente direttiva e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione corredata, se del caso, di una proposta legislativa.
2.La relazione esamina gli effetti degli articoli 3 e 4 sul conseguimento degli obiettivi perseguiti dalla presente direttiva. Dovrebbe valutare in particolare l'adeguatezza delle norme in materia di responsabilità oggettiva per le domande di risarcimento presentate contro gli operatori di determinati sistemi di IA, purché non siano già disciplinate da altre norme dell'Unione in materia di responsabilità, ed esaminare la necessità di una copertura assicurativa, tenendo conto nel contempo dell'effetto e dell'impatto sulla diffusione e sull'adozione dei sistemi di IA, in particolare per le PMI.
3.La Commissione istituisce un programma di monitoraggio per la preparazione della relazione a norma dei paragrafi 1 e 2, stabilendo le modalità e la periodicità della raccolta dei dati e delle altre evidenze richieste. Il programma specifica le iniziative che la Commissione e gli Stati membri devono adottare ai fini della raccolta e dell'analisi dei dati e delle altre evidenze. Ai fini di tale programma, gli Stati membri comunicano alla Commissione i dati e le evidenze pertinenti entro il [31 dicembre del secondo anno completo successivo alla fine del periodo di recepimento] ed entro la fine di ogni anno successivo.
Articolo 6
Modifica della direttiva (UE) 2020/1828
All'allegato I della direttiva (UE) 2020/1828è aggiunto il seguente punto 67:
"(67) Direttiva (UE).../... del Parlamento europeo e del Consiglio, del ..., relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale) (GU L […] del […], pag. […]).".
Articolo 7
Recepimento
1.Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro [due anni dalla sua entrata in vigore]. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.
Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.
2.Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 8
Entrata in vigore
La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Articolo 9
Destinatari
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Bruxelles, il
Per il Parlamento europeo Per il Consiglio
La presidente Il presidente