La nuova fase di sviluppo tecnologico che stiamo vivendo pone all’attenzione di tutti nuovi problemi giuridici e riguardanti il riconoscimento delle responsabilità in caso di danni o reati. Urge applicare nuove regole a tutela degli utilizzatori, necessità che emerge anche nel settore produttivo, un esempio tra tanti è il riconoscimento delle responsabilità in caso di danni causati da macchine come approfondiamo nell’articolo Macchine 4.0 e responsabilità in caso di danni.
In particolare, decisioni ed azioni sempre più complesse verranno effettuate da sistemi completamente automatizzati, senza l’ausilio di un operatore umano. In tutti i settori verranno utilizzati sistemi di intelligenza artificiale che, tramite l’ausilio di dati ed algoritmi, sostituiranno le persone e le decisioni umane in compiti più o meno complessi.
AI: Normative attualmente in vigore
Sia in Europa che in USA, le normative sulla responsabilità civile sono state pensate per regolare i comportamenti umani e per sanzionare persone fisiche o persone giuridiche. Quest’ultime comunque facenti capo a persone che prendono delle decisioni e se ne assumono le conseguenti responsabilità.
Proprio nell’ottica di dotare gli Stati membri di una “legislazione uniforme, basata su principi e adeguata alle esigenze future”, con la Risoluzione del 20.10.2020 il Parlamento europeo ha rivolto alla Commissione “raccomandazioni dettagliate per l’elaborazione di un regolamento del Parlamento europeo e del Consiglio sulla responsabilità per il funzionamento dei sistemi di intelligenza artificiale”, al fine di armonizzare la disciplina interna degli Stati membri.
Da una parte, infatti, l’UE intende regolamentare l’intelligenza artificiale, attraverso un regolamento europeo, in fase di discussione, indicato come Artificial Intelligence Act, dall’altro modificare l’attuale quadro della responsabilità civile per danni da prodotti difettosi, sostituendo l’attuale direttiva con un regolamento e adattandola all’economia digitale.
Artificial Intelligence Act: nuova classificazione del rischio
Come accennato, L’Unione europea vuole regolamentare l’intelligenza artificiale, in maniera piena. Le nuove regole sull’AI proposte dalla Commissione Europea tengono conto del fattore rischio, distinto in 4 tipologie:
Rischio inaccettabile
I sistemi di AI considerati una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone saranno vietati. Sono compresi i sistemi o le applicazioni che manipolano il comportamento umano per aggirare il libero arbitrio degli utenti (ad esempio, giochi che utilizzano l’assistenza vocale per incoraggiare i comportamenti pericolosi dei minori) e i sistemi che consentono ai governi di attribuire un “punteggio sociale”.
Rischio alto
Sono ad alto rischio i sistemi in cui l’AI è utilizzata in infrastrutture critiche (ad esempio i trasporti), nell’istruzione o formazione professionale, in componenti di sicurezza dei prodotti (ad esempio l’AI utilizzata nella chirurgia robotica), nella gestione dei lavoratori e nell’accesso al lavoro autonomo (ad esempio, software di selezione dei curriculum per le procedure di assunzione); in servizi pubblici e privati essenziali (ad esempio, la valutazione del merito di credito che può impedire ai cittadini l’accesso ad un finanziamento); in attività di contrasto della criminalità che possono interferire con i diritti fondamentali delle persone ; nella gestione della migrazione, dell’asilo e del controllo delle frontiere (ad esempio, nella verifica dei passaporti); nell’amministrazione della giustizia e nei processi democratici (ad esempio, algoritmi giudiziari utilizzati al fine di addivenire ad una decisione).
Rischio limitato
Sistemi di AI con specifici obblighi di trasparenza: ad esempio, nell’utilizzo di chatbot, gli utenti devono essere avvisati del fatto che stanno interagendo con una macchina.
Rischio minimo
Il regolamento consente il libero utilizzo di applicazioni quali filtri spam o videogiochi basati sull’AI. Il progetto di regolamento non detta regole per questi sistemi di AI, che sono la grande maggioranza, in quanto presentano solo un rischio minimo o nullo per i diritti o la sicurezza dei cittadini.
Proposta di Regolamento sull’AI sulle Responsabilità Civili
Nella proposta di Regolamento si prevede che una specifica persona fisica o giuridica, definita come il fornitore, si assuma la responsabilità dell’immissione sul mercato o della messa in servizio di un sistema di AI ad alto rischio, a prescindere dal fatto che tale persona fisica o giuridica sia la persona che ha progettato o sviluppato il sistema. Con ciò attribuendo a detto fornitore un ruolo fondamentale nella catena di responsabilità tra vari soggetti (progettista, sviluppatore, utilizzatore, produttore, ecc.).
Anche gli utenti che usano sistemi di AI ad alto rischio sono responsabilizzati: essi devono farlo conformemente alle istruzioni per l’uso. Inoltre, sono previsti alcuni altri obblighi a carico dei fornitori in materia di monitoraggio del funzionamento dei sistemi e conservazione delle registrazioni.
Tutti i sistemi di AI dovranno poi essere dotati di una dichiarazione scritta di conformità UE che il fornitore deve tenere a disposizione delle autorità nazionali competenti per dieci anni dalla data di immissione sul mercato.
La proposta di regolamento non delinea tuttavia un nuovo e diverso sistema di responsabilità civile per i sistemi di AI, ritenuta dalla Commisione Europea, allo stato tecnologico attuale, non necessaria.
Tuttavia, come anche richiesto dal Parlamento europeo, occorre evitare che i cittadini dell’UE risultino meno tutelati quando interagiscono o usano l’AI rispetto ad altri prodotti. La complessità, interconnessione, opacità, vulnerabilità, possibilità di modifica mediante aggiornamenti successivi, l’autoapprendimento e la potenziale autonomia dei sistemi di AI, come pure la molteplicità degli attori coinvolti nella filiera, non possono giustificare un minor grado di tutela dei cittadini. Spesso la mancanza di consapevolezza di star interagendo con un sistema di IA o la maggiore difficoltà di dare la prova del pregiudizio subito, sono fattori dei quali si deve tener conto per adeguare gli attuali regimi di responsabilità civile. Ciò è essenziale anche per garantire ai consumatori di potersi fidare della nuova tecnologia.
Direttiva 85/374/CEE: responsabilità da prodotto difettoso
La normativa che attualmente regola le responsabilità per danno causato dai sistemi AI è la stessa che delinea le responsabilità in caso di prodotto difettoso. Si tratta della Direttiva 85/374/CEE, deve dunque essere rivista dopo oltre 25 anni dalla sua adozione.
La responsabilità del produttore per danno da prodotto difettoso era stata pensata per tutelare i consumatori per i danni alla salute o a cose subiti a seguito dell’utilizzo di prodotti tangibili, le cui caratteristiche ed il cui profilo di rischio non mutavano una volta collocati sul mercato, e sui quali il produttore, dopo tale momento, non esercitava alcun controllo diretto. La rivoluzione digitale ha profondamento mutato questo quadro.
I limiti della Direttiva 85/374/CEE
Tra i limiti della direttiva vi è proprio una definizione di prodotto ormai datata che non include software, dati e algoritmi, in particolare se questi elementi non sono forniti all’interno di un supporto materiale. Parimenti esclusi dal campo di applicazione della normativa sono tutti i servizi. Il che è causa di incertezza, data la sempre più labile distinzione tra prodotti e servizi: ad esempio, i danni provocati da aggiornamenti automatici difettosi ad un prodotto acquistato, se considerati servizi, sarebbero espressamente esclusi dall’applicazione di questa normativa.
Un altro limite è costituito dalla nozione di produttore. Infatti, la direttiva si applica al fabbricante e al distributore di prodotti, ma non si estende al fornitore di servizi, anche se collegati alla vendita del prodotto. Il che non corrisponde alla realtà attuale in cui non c’è più una vera distinzione tra prodotti e servizi: si pensi al fenomeno delle APP e allo sviluppo dei servizi collegati a prodotti IOT, negli ambiti più disparati, come ad esempio la domotica e la telemedicina.
Altri importanti limiti sono il termine di prescrizione di soli tre anni e la necessità per il consumatore di dimostrare il collegamento tra il difetto ed il danno. Ciò si rivela piuttosto difficile, soprattutto in presenza di prodotti complessi, quali i prodotti farmaceutici e digitali – dove il consumatore si trova in una situazione di completa asimmetria informativa rispetto al produttore.
Infine, la direttiva 85/374/CEE ha realizzato un’armonizzazione legislativa solo parziale tra i vari stati membri, in quanto detta solo i principi guida che ciascuno stato membro ha attuato con proprie leggi.
Anche se in sede europea si intende sostituire la direttiva con un regolamento europeo direttamente applicabile in tutti gli Stati dell’Unione europea, la revisione non è al momento semplice. Infatti, la Commissione Europea è ben consapevole del rischio che l’attuale mancanza di una casistica sulle nuove tecnologie, in particolare, quelle basate sull’intelligenza artificiale, porti alla formulazione di regole non adeguate all’esigenza di tutela dei consumatori o, al contrario, troppo restrittive e limitanti per gli operatori e lo sviluppo del mercato.
Al momento, la proposta della Commissione è ancora in fase di elaborazione, essendo terminata da poco la fase di consultazione pubblica.
Lettera del Comitato Europeo dei Dati Personali
Il Comitato Europeo per la Protezione dei Dati Personali (EDPB), composto dai garanti europei, ha inviato una lettera alla Commissione Europea in data 22.02.2022. La lettera contiene una serie di raccomandazioni riguardo alla modifica dell’attuale direttiva sulla responsabilità da prodotto difettoso che tenga conto sia dell’intelligenza artificiale sia del quadro normativo sviluppatosi in materia di protezione dei dati personali.
In primo luogo, i garanti europei hanno evidenziato la necessità di responsabilizzare i produttori di sistemi di intelligenza artificiale, in materia di sicurezza informatica, affinché i titolari ed i controllori di dati personali che usino tali sistemi, possano farvi affidamento e non subiscano a loro volta una violazione ai dati personali.
Inoltre, pur accogliendo con favore la proposta di regolamento sull’intelligenza artificiale che per la prima volta definisce gli obblighi dei produttori e fornitori di detti sistemi, hanno sottolineato la necessità di chiarirne meglio i ruoli.
In proposito, i garanti europei dei dati personali ribadiscono l’importanza di adottare alcune regole imperative per i fornitori di sistemi di IA, tra cui:
- La spiegabilità by design del sistema di IA;
- La supervisione umana
- La trasparenza per gli utilizzatori finali
- La protezione da attacchi informatici e l’applicazione dei principi della sicurezza by design
- La messa a disposizione di documentazione accompagnatoria accessibile per i titolari dei trattamenti dei dati personali in modo che comprendano le cause di un’eventuale violazione dei dati personali e possano adempiere ai loro obblighi ai sensi del regolamento privacy.
Infine, i garanti chiedono che, quando vengono prese decisioni sulla base di algoritmi, per tutelare l’affidamento del pubblico ed evitare decisioni errate, le nuove regole prevedano la misurabilità del grado di equità e causalità di detti algoritmi.
Cerchi un approfondimento sulle normative relative all’intelligenza artificiale? Leggi l’articolo Macchine 4.0 e Responsabilità Civile per danni causati da robot industriali
Contents