Intelligenza artificiale e norme applicabili alla responsabilità civile: gli interventi necessari - Cyber Security 360

LA RIFLESSIONE

Intelligenza artificiale e norme applicabili alla responsabilità civile: gli interventi necessari

La bozza del Regolamento UE sull’intelligenza artificiale consente una riflessione sul tema giuridico della responsabilità civile derivante dall’uso di tali tecnologie, partendo dallo scenario attuale delle norme comunitarie esistenti che già ci tutelano e analizzando i necessari interventi normativi

26 Apr 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Alla luce della bozza di Regolamento sull’intelligenza artificiale che l’Unione Europea vuole destinare alla disciplina del fenomeno in questione (“Regulation on a european approach for artificial intelligence”), la prima al mondo, la riflessione dovrebbe partire dallo scenario attuale, cioè da quali norme comunitarie esistenti si viene già tutelati e quando e dove, invece, è necessario l’intervento normativo.

A tale scopo, è utile riprendere un importante studio della Commissione Europea – del 2019 ma ancora attuale, essendo una delle basi di proposta regolamentare – sul tema giuridico principale legato all’AI, ovvero quello della responsabilità civile derivante dall’uso di tali tecnologie.

Lo studio è intitolato “Liability for Artifical Intelligence and other emerging digital technologies”, opera dell’Expert Group on Liability and New Technologies New Technologies Formation della Commissione Europea. In tale studio si formalizzano trentaquattro punti chiave della materia, di cui andremo brevemente a esaminare quelli fondamentali.

Segnaliamo da subito che lo studio è indirizzato non solo all’AI ma in generale a tecnologie dette “emergenti” e disruptive come l’IoT e i distributed ledgers (come la blockchain). Il consumatore può infatti acquistare o utilizzare un prodotto afferente a tali tecnologie e incorrere in problemi – danni alle cose o alle persone – senza sapere con chiarezza quale regime di responsabilità sia invocabile ed entro quali limiti. Oltre al dubbio che sovra tutti gli altri: la tutela possibile è anche adeguata?

La tutela minima comunitaria esistente per i prodotti “difettosi”

Lo studio prende in esame anzitutto la disciplina attuale, a livello comunitario, sulla sicurezza dei prodotti, una normativa che dovrebbe coprire la generalità di problematiche derivanti dall’uso degli stessi, impostata sulla base della neutralità tecnologica.

Norme che non possono escludere il verificarsi di un danno ma che almeno forniscono gli strumenti giuridici per rivalersi sui produttori nel caso di prodotti difettosi (Direttiva 85/374/CEE, recepita localmente nel Codice del Consumo – D.lgs. 206/2005).

Il “prodotto” disciplinato è “ogni bene, anche se incorporato in altro bene mobile o immobile” (vi è ricompreso il software, sebbene alcuni lo pongano in dubbio in determinati casi, quando ad es. sia incorporato o meno in un prodotto tecnico); quello “difettoso” non offre la sicurezza che sia normale attendersi in relazione alle sue caratteristiche, al suo normale utilizzo e all’epoca in cui è stato prodotto.

Le circostanze da valutare comprendono l’informazione, la progettazione, la fabbricazione, prestando il fianco alla valutazione di una possibile interconnessione di prodotti e sistemi complessi.

La normativa imputa al produttore la responsabilità civile per danni da difetto, senza che il consumatore debba provare la colpa del produttore, limitandosi invece a comprovare: a) l’esistenza del danno e b) il nesso causale difetto-danno. La colpa viene presunta come responsabilità extra-contrattuale aggravata, simile a quella oggettiva.

La normativa prevede anche eccezioni, ipotesi che consentono al produttore – se comprovate – di evitare la chiamata in causa. Tra queste troviamo ad es. il caso in cui il difetto non esisteva al momento in cui il prodotto è stato immesso in circolazione, oppure quando le conoscenze tecniche e scientifiche esistenti al momento dell’immissione in circolazione del prodotto non erano tali da consentire la conoscenza del difetto (pensiamo alla progettazione del prodotto) o ancora l’aver realizzato solo un componente del prodotto se il difetto è interamente dovuto alla configurazione di un prodotto composito.

Casi che, come si può facilmente intuire, danno largo spazio al produttore di nuove tecnologie per esimersi (si pensi al caso di una IA black-box che nemmeno il produttore sa decifrare o che sviluppa determinati comportamenti solo con l’utilizzo), visto che non sussiste un obbligo di monitorare i prodotti una volta messi in commercio.

Quanto sopra rappresenta comunque una tutela di base, minima, attivabile già oggi per i prodotti in commercio, comprensivi anche delle tecnologie emergenti di cui abbiamo accennato sopra. Eppure, non è tarata sulle particolarità delle stesse tecnologie e certamente è difficile inquadrarvi l’uso dell’IA, rischiando di lasciare l’utente senza la possibilità di rivalersi sul produttore nei casi in cui appare giustificato farlo. Il divieto di limitare contrattualmente la responsabilità in parola, pur già previsto dalla normativa, non pare sufficiente.

Non va dimenticato che vi sono anche norme settoriali o specifiche di determinati ambiti (ad es. la Direttiva 2009/103/CE sull’assicurazione per responsabilità civile dei danni causati da autoveicoli, applicabile alle auto a guida autonoma) utilizzabili per il potenziale danno da tecnologie emergenti.

Come già detto sopra, rischiano però di non portare a risultati soddisfacenti e di frammentare la tutela nello scenario europeo (a causa della differenziazione delle norme nazionali).

Più in generale, molti ecosistemi digitali non offrono un regime di responsabilità legale chiaramente applicabile (sia contrattuale che per fatto illecito), tanto più sono complessi e di articolato funzionamento: un esempio per tutti, si pensi alla blockchain.

I punti chiave dello studio: la digitalizzazione innovativa

Anzitutto, il primo punto del documento elenca quali siano i cambiamenti fondamentali apportati dalla digitalizzazione aventi un impatto sulla responsabilità per danni, ovvero:

  1. complessità (si pensi soprattutto all’interazione hardware-software, con pluralità di attori coinvolti);
  2. opacità (maggiore la complessità, minore la capacità di comprendere i processi che possono aver causato i danni);
  3. apertura (i sistemi dipendono da aggiornamenti successivi, in una sorta di fase progettuale sempre aperta);
  4. autonomia (l’IA permette di mutare autonomamente gli algoritmi in uso, senza controllo o supervisione);
  5. (im)prevedibilità (la maggiore complessità, data anche dalla capacità di includere nuovi stimoli esterni, rende spesso difficile o impossibile prevederne l’impatto);
  6. data-drivenness (ovvero la dipendenza da dati e informazioni provenienti dall’esterno o generati da sensori interni, i quali possono essere lacunosi o viziati);
  7. vulnerabilità (gli aggiornamenti e l’interazione con l’esterno elevano il rischio della sicurezza).

Sebbene le norme esistenti in materia di responsabilità offrano soluzioni per quanto riguarda i rischi creati dalle tecnologie emergenti, la tutela risultante potrebbe non essere sempre appropriata per vari motivi:

  1. una distribuzione iniqua e inefficiente delle perdite (ad es. se il danno non può essere attribuito a chi ha beneficiato dello stesso);
  2. una risposta incoerente e inadeguata alle minacce verso gli interessi delle persone fisiche (ad es. se le vittime dei danni ricevono un risarcimento inferiore rispetto alle vittime in una situazione equivalente che coinvolge la condotta umana o la tecnologia convenzionale);
  3. un accesso non effettivo alla giustizia (le controversie rischiano di diventare eccessivamente lunghe e onerose).

Da tale presa d’atto si muove l’idea di adeguare il regime già esistente, senza però eliminare quella attuale: la responsabilità per colpa (presunta o meno) e la responsabilità oggettiva per i prodotti difettosi dovrebbero continuare a coesistere, offrendo più strumenti e occasioni di tutela delle vittime di danno.

Inoltre, va sempre considerato che a una tutela extra-contrattuale per fatto illecito, come quella vista sopra, si affianca sempre una tutela contrattuale.

L’allocazione del rischio e la responsabilità oggettiva

Nello studio non si ravvisa la necessità di instaurare una responsabilità giuridica autonoma del prodotto autonomo (ipotesi proposta da alcune parti), come può esserlo quello a base di IA (pensiamo ad es. a un’auto a guida autonoma supportata da AI). Il soggetto a cui attribuire la responsabilità, invece, dovrebbe essere chi ha il controllo (o il maggior controllo, nel caso di più soggetti) del rischio connesso al funzionamento della tecnologia e che ne beneficia.

Tutto ciò a fronte di una responsabilità oggettiva (cioè che prescinda da dolo o colpa) per danni causati da prodotti difettosi e dai loro componenti, indipendentemente dal fatto che prendano una forma tangibile o digitale.

Collegandosi alla disciplina esistente, si sottolinea che il produttore dovrebbe comunque essere responsabile del difetto comparso dopo la sua messa in vendita, qualora avesse ancora il controllo degli aggiornamenti (ad es. gli update del software o firmware).

Nel caso di danno causato da una tecnologia autonoma, utilizzata in modo funzionalmente equivalente all’impiego di ausiliari umani, allora la responsabilità dovrebbe corrispondere al regime di responsabilità indiretta altrimenti esistente in capo al committente. Questa responsabilità è prevista nel nostro Codice civile agli artt. 1228 e 2049 c.c.

Logging by design: tracciare per comprovare

Si propone di introdurre un principio di logging by design: un obbligo di dotare la tecnologia di mezzi per registrare informazioni (log) sul funzionamento della tecnologia stessa, se tali informazioni sono essenziali per stabilire quando e se un rischio si configura, in maniera appropriata e proporzionata – anche tenendo conto della fattibilità tecnica e dei costi, della disponibilità di mezzi alternativi per raccogliere tali informazioni, del tipo e dell’entità dei rischi posti dalla tecnologia in questione e delle eventuali implicazioni negative che la registrazione può avere sui diritti degli altri.

Ovviamente nel rispetto della normativa sulla protezione dei dati personali e per la protezione dei segreti industriali. In mancanza di tale logging o del suo accesso, la normativa dovrebbe prevedere un regime di presunzione di responsabilità a favore dell’utente.

Cyber security e responsabilità con inversione dell’onere della prova

Il documento introduce il tema della violazione di norme sulla sicurezza IT: ciò dovrebbe comportare un’inversione dell’onore della prova, per cui la vittima dovrebbe sempre comprovare il solo nesso di causalità, lasciando una presunzione a carico del produttore circa la colpa e l’esistenza del difetto.

Dettando un regime di minor responsabilità quando si operi un bilanciamento di vari fattori pertinenti alle tecnologie emergenti: si pensi alla probabilità che la tecnologia abbia causato il danno e la tracciabilità ex post dei processi interni che hanno portato all’evento di danno.

Quando più produttori di tecnologie siano coinvolti, cooperando su base contrattuale nella fornitura di componenti diversi e la vittima può dimostrare che almeno uno di questi ha causato il danno, tutti tali produttori dovrebbero essere responsabili in solido nei confronti della vittima.

La proposta di una responsabilità per danni ai dati dell’utente

Infine, lo studio affronta un tema fondamentale: non solo i danni fisici che tradizionalmente possono essere arrecati sono rilevanti per l’utente/consumatore ma anche i danni che possono essere arrecati ai dati dello stesso, che siano dati personali o meno.

I dati utente possono infatti subire la cancellazione, il deterioramento, la contaminazione con altri dati, la cifratura, l’alterazione o la soppressione a danno della tecnologia utilizzata, ledendo interessi come quelli afferenti alla protezione dei dati personali o alla proprietà intellettuale.

Il gruppo di studio sottolinea proprio la necessità che nella società attuale la responsabilità non possa essere limitata al mondo tangibile ma vada estesa anche alla persona digitale.

In tal senso, la responsabilità contrattuale può essere più facile da applicare al contesto delle tecnologie emergenti (ad es. si pensi a un servizio cloud che subisce un attacco informatico per cui vengono cancellati tutti i dati dell’utente).

Più difficile, invece, è la configurazione di una responsabilità extra-contrattuale: molti Paesi fanno rientrare i danni arrecati ai dati come danno al supporto fisico di archiviazione, con ovvie limitazioni di questo approccio verso diritti e interessi immateriali.

Ogni equivalenza che si voglia instaurare tra diritti di proprietà e titolarità di beni rispetto agli interessi afferenti alla protezione dei dati dell’utente è, per forza di cose, inadeguata. Le norme di responsabilità civile da introdurre dovrebbero tenere conto dell’ubiquità dei dati e della loro importanza nello svolgimento di determinate attività.

Una responsabilità generica per danni ai dati potrebbe essere eccessiva in molti casi, pertanto tali norme dovrebbero prevedere danni ai dati come rilevanti solo se:

  1. possono comportare responsabilità derivante dal rapporto contrattuale;
  2. la responsabilità deriva dall’interferenza con un diritto di proprietà/titolarità circa il mezzo su cui sono stati memorizzati i dati o verso un altro interesse tutelato come diritto di proprietà/titolarità ai sensi della legge applicabile;
  3. il danno è stato causato da comportamenti che violano il diritto penale o altre norme giuridicamente vincolanti il cui scopo è quello di evitare tali danni;
  4. c’era l’intenzione di causare il danno (dolo).

Da ultimo sono previste considerazioni sull’assicurazione obbligatoria, già presente in molti casi di responsabilità civile oggettiva, per i rischi inerenti, anche a tutela delle vittime in caso di insolvenza del responsabile.

Tale assicurazione non dovrebbe essere generica per le tecnologie emergenti bensì vagliata caso per caso, circa la sua reale necessità. Imporre un’assicurazione verso una tecnologia che, in quanto emergente, comporta difficoltà di calcolo e probabilità di rischio per la mancanza di precedenti ed esperienze in merito, potrebbe bloccare la diffusione e l’utilizzo della tecnologia stessa e dei correlati benefici.

Per contemperare queste esigenze si può introdurre un massimale della responsabilità per determinati rischi, oltre a focalizzarsi su determinati settori applicativi (trasporti, industrie con un elevato potenziale di lesioni personali e/o danni ambientali, attività pericolose e alcuni settori professionali).

Conclusioni

Vedremo se e quanto la versione finale del Regolamento sull’IA terrà conto delle pregresse valutazioni della Commissione Europea in questo importante studio. Il complesso Regolamento accoglie una diversificata disciplina per livelli di rischio, di loggin by design, di tutela della sicurezza IT, di responsabilità del produttore, di monitoraggio post-vendita che si ricollega alle considerazioni viste sopra (oltre che a un impianto simile a quello del GDPR).

Non pare possa comunque prescindersi una riforma della responsabilità da prodotto, dell’assicurazione civile e l’introduzione di tutte le discipline ad hoc che potranno regolamentare le tecnologie emergenti come IoT e quelle a registri distribuiti.

Tali innovazioni oramai non sono più emergenti ma piuttosto in fase di consolidazione, la disciplina normativa dovrebbe accelerare la loro rincorsa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4