Sistemi di intelligenza artificiale e professione sanitaria: verso una nuova forma di “colpa medica”?

Abstract

Lo studio prende le mosse dall’analisi delle disposizioni del regolamento europeo sull’intelligenza artificiale – nel quale tale rapporto è declinato in relazione alla selezione delle chiamate di emergenza ed all’invio del servizio di primo soccorso – per poi esaminare la disciplina normativa italiana contenuta nella legge n. 132/2025. In particolare in tale contesto normativo, anche mediante la modifica del DL n. 179/2012, convertito con modificazioni nella legge n. 221/2012, il rapporto tra professione sanitaria ed intelligenza artificiale sembra essere più profondo, posto che il legislatore pare ipotizzare l’impiego di tali sistemi anche per la diagnosi, la cura e le scelte farmaceutiche, in relazione altresì alla disciplina del fascicolo sanitario elettronico. Le considerazioni finali sono dedicate alla responsabilità extracontrattuale dell’esercente la professione sanitaria che non trova la sua disciplina di riferimento nella proposta di direttiva del Parlamento europeo e del Consiglio, relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale) del 28 settembre 2022 poiché, dal tenore della stessa, sono escluse dalla disciplina normativa comunitaria le “azioni di responsabilità per danno causato da una valutazione umana seguita da un’azione o un’omissione umana nel caso in cui il sistema di IA abbia unicamente fornito informazioni o indicazioni di cui ha tenuto conto il soggetto umano”. Pertanto le problematiche connesse a tale responsabilità devono trovare soluzione negli articoli 2043 e seguenti del codice civile.

Gestione delle chiamate di emergenza e dei servizi di primo soccorso quali sistemi di intelligenza artificiale “ad alto rischio” nell’AI ACT

Il regolamento europeo n. 1689/2024, dedicato alle “regole armonizzate sull’intelligenza artificiale”, considera l’IA “una famiglia di tecnologie in rapida evoluzione che contribuisce al conseguimento di un’ampia gamma di benefici a livello economico, ambientale e sociale nell’intero spettro delle attività industriali e sociali” cosicché l’uso della stessa, “garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale e ambientale, ad esempio in materia di assistenza sanitaria” (considerando n. 4).

Prendendo le mosse da un approccio “basato sul rischio” che “dovrebbe adattare la tipologia e il contenuto [delle regole] all’intensità e alla portata dei rischi che possono essere generati dai sistemi di IA” (considerando n. 26), il regolamento individua diversi settori nei quali detti sistemi possono essere impiegati, fra i quali quello inerente “l’accesso ad alcuni servizi e prestazioni essenziali, pubblici e privati, necessari affinché le persone possano partecipare pienamente alla vita sociale o migliorare il proprio tenore di vita, e la fruizione di tali servizi”.

In particolare, prosegue il considerando n.58, “le persone fisiche che chiedono o ricevono prestazioni e servizi essenziali di assistenza pubblica dalle autorità pubbliche, vale a dire servizi sanitari, prestazioni di sicurezza sociale, servizi sociali che forniscono protezione in casi quali la maternità, la malattia, gli infortuni sul lavoro, la dipendenza o la vecchiaia e la perdita di occupazione e l’assistenza sociale e abitativa, sono di norma dipendenti da tali prestazioni e servizi e si trovano generalmente in una posizione vulnerabile rispetto alle autorità responsabili”.

Il considerando n. 58 individua un settore specifico nell’ambito dei servizi sanitari, rimarcando l’opportunità di “classificare come ad alto rischio anche i sistemi di IA utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, anche da parte di polizia, vigili del fuoco e assistenza medica, nonché per i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza”: difatti detti sistemi “prendono decisioni in situazioni molto critiche per la vita e la salute delle persone e per i loro beni”.

Passando dalle previsioni generali dei considerando alle norme di dettaglio, l’articolo 6, paragrafo 2, del regolamento considera “ad alto rischio” oltre i sistemi di intelligenza artificiale che soddisfano le condizioni previste dal paragrafo 1 anche quelli di cui all’allegato III: in particolare l’allegato stabilisce che tra questi sistemi rientrano quelli “destinati a essere utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, compresi polizia, vigili del fuoco e assistenza medica, nonché per i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza”.

Il regolamento individua requisiti specifici ed obblighi per gli operatori di tali sistemi: la disciplina di dettaglio è contenuta negli articoli 6 e seguenti, fra i quali assumono particolare rilievo l’articolo 9 che disciplina il “sistema di gestione dei rischi” e l’articolo 10 dedicato al requisito della qualità dei dati utilizzati per l’addestramento.

Tali disposizioni normative hanno ad oggetto i due aspetti problematici dei sistemi di intelligenza artificiale ovvero la “black box” – da intendersi quale difficoltà di comprendere il processo decisionale interno dei sistemi di IA a causa della composizione delle stesse reti neurali – e i c.d. “bias cognitivi”, vale a dire distorsioni e pregiudizi che incidono sullo stesso addestramento dei sistemi ed attengono, dunque, alla qualità dei dati.

Difatti la norma dell’articolo 9 del regolamento impone, “by design”, un sistema di eliminazione o riduzione dei rischi allorquando stabilisce che “nell’individuare le misure di gestione dei rischi più appropriate, occorre garantire [tra l’altro] l’eliminazione o la riduzione [degli stessi] per quanto possibile dal punto di vista tecnico attraverso un’adeguata progettazione e fabbricazione del sistema di IA ad alto rischio”.

A norma dell’articolo 10, i set di dati di addestramento, di convalida e di prova in base ai quali i modelli di IA sono sviluppati devono soddisfare i criteri di qualità di cui ai paragrafi da 2 a 5 dello stesso articolo.

Altra disposizione normativa di particolare importanza è l’articolo 14 che disciplina la “sorveglianza umana” dei sistemi ad alto rischio.

Esso reca, al paragrafo 1: “I sistemi di IA ad alto rischio sono progettati e sviluppati, anche con strumenti di interfaccia uomo-macchina adeguati, in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso”.

Il paragrafo 2 stabilisce che “La sorveglianza umana mira a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando un sistema di IA ad alto rischio è utilizzato conformemente alla sua finalità prevista o in condizioni di uso improprio ragionevolmente prevedibile”.

 

Sistemi di intelligenza artificiale e professione sanitaria nella legge n. 132/2025

Il legislatore italiano si è occupato dei sistemi di intelligenza artificiale con la legge n. 132/2025, nell’ambito della quale l’uso dell’intelligenza artificiale in ambito sanitario è disciplinato in primo luogo dalla norma dell’articolo 7 che, ai commi 1 e 5, reca: “L’utilizzo di sistemi di intelligenza artificiale contribuisce al miglioramento del sistema sanitario, alla prevenzione, alla diagnosi e alla cura delle malattie, nel rispetto dei diritti, delle libertà e degli interessi della persona, anche in materia di protezione dei dati personali.

I sistemi di intelligenza artificiale in ambito sanitario costituiscono un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando impregiudicata la decisione, che è sempre rimessa agli esercenti la professione medica”.

La stessa legge, con l’articolo 10, ha introdotto l’articolo 12 bis del DL n. 179/2012 convertito nella legge n. 221/2012, in forza del quale “Al fine di garantire strumenti e tecnologie avanzate nel settore sanitario, con uno o più decreti del Ministro della salute […] sono disciplinate le soluzioni di intelligenza artificiale aventi funzione di supporto alle finalità di cui all’articolo 12, comma 2”, norma, quest’ultima, che istituisce e disciplina il fascicolo sanitario elettronico anche ai fini di “diagnosi, cura e riabilitazione”.

A norma dell’articolo 12 bis comma 2, “Per il supporto alle finalità di cura, e in particolare per l’assistenza territoriale, è istituita una piattaforma di intelligenza artificiale [destinata ad erogare] servizi di supporto:

a) ai professionisti sanitari per la presa in carico della popolazione assistita con suggerimenti non vincolanti;
b) ai medici nella pratica clinica quotidiana con suggerimenti non vincolanti”.

Anche la legge n. 132/2025 si occupa di garantire e vigilare “la correttezza, l’attendibilità, la sicurezza, la qualità, l’appropriatezza e la trasparenza” dei dati e dei processi mediante i quali garantire “Lo sviluppo di sistemi e di modelli di intelligenza artificiale per finalità generali”: tale sviluppo deve avvenire “nel rispetto dell’autonomia e del potere decisionale dell’uomo, della prevenzione del danno, della conoscibilità, della trasparenza, della spiegabilità e dei principi [di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità], assicurando la sorveglianza e l’intervento umano”.

Pertanto, nella scia tracciata dagli stessi principi fondamentali già presenti nel regolamento europeo n. 1628/2024 – qualità dei dati e dei processi nonché imprescindibilità della sorveglianza e dell’intervento umani – la legge n. 132/2025 ha esteso l’ambito di operatività dei sistemi di intelligenza artificiale nel settore sanitario, stabilendo che gli stessi possono essere di ausilio anche nell’attività di diagnosi, cura e trattamento terapeutico ed in tal modo aprendo la strada ad una prospettiva della quale, però, non vi è traccia né nel regolamento europeo né nella stessa legge italiana, cioè quella della responsabilità del professionista sanitario che abbia fatto affidamento su sistemi di intelligenza artificiale così tenendo una condotta che, seppure aderente ai limiti tracciati dalla ricordata disciplina normativa, abbia causato la morte o le lesioni personali del paziente.

 

La responsabilità del professionista sanitario che si sia avvalso di sistemi di intelligenza artificiale per l’attività di diagnosi e cura del paziente

A norma dell’articolo 7 comma 3 della legge n. 24/2017, la responsabilità dell’esercente la professione sanitaria rientra nella fattispecie dell’articolo 2043 del codice civile, salvo che lo stesso abbia agito nell’adempimento di obbligazione contrattuale assunta con il paziente.

La norma dell’articolo 5 comma 1 della stessa legge stabilisce che “Gli esercenti le professioni sanitarie, nell’esecuzione delle prestazioni sanitarie con finalità preventive, diagnostiche, terapeutiche, palliative, riabilitative e di medicina legale, si attengono, salve le specificità del caso concreto, alle raccomandazioni previste dalle linee guida pubblicate ai sensi del comma 3”.

Sul piano della responsabilità civile del sanitario, dunque, il paradigma normativo di riferimento è rappresentato dalla norma dell’articolo 2043 del codice civile, a mente della quale “Qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto obbliga colui che ha commesso il fatto a risarcire il danno”: essa impone una condotta caratterizzata dal dolo o dalla colpa nonché la verifica in ordine al rapporto di causalità tra la condotta stessa e l’evento.

L’aspetto relativo alla condotta colposa, la sola che rileva ai fini della responsabilità da fatto illecito connessa all’esercizio della professione sanitaria, richiama le linee guida di cui al ricordato articolo 5 comma 2: sul punto la giurisprudenza di legittimità ha chiarito che “il cosiddetto «soft law» delle linee guida – pur non avendo la valenza di norma dell’ordinamento – costituisce espressione di parametri per l’accertamento della colpa medica, che contribuiscono alla corretta sussunzione della fattispecie concreta in quella legale disciplinata da clausole generali, quali quelle contenute negli artt. 1218 e 2043 c.c.” (cfr, Corte di Cassazione, sentenza n. 13510/2022).

In relazione all’accertamento del nesso causale, sempre in tema di responsabilità per attività sanitaria, la giurisprudenza di legittimità ha affermato che esso è improntato al criterio giuridico del “più probabile che non […] il quale impone al giudice di dare prevalenza alla spiegazione causale che si presenta come più probabile, tenuto conto della comparazione tra le diverse spiegazioni alternative, attenendosi nella valutazione ad un concetto di probabilità non necessariamente statistico, ma altresì logico, tale per cui, nella comparazione tra due o più possibili spiegazioni di un evento, una di esse prevale sulle altre in ragione dei suoi riscontri probatori o della sua coerenza intrinseca o di altro criterio di giudizio valido a sorreggere la decisione”.

Quanto al giudizio controfattuale, afferente il medesimo profilo, esso “va compiuto ponendo in relazione la condotta alternativa lecita con l’evento concretamente verificatosi, e di cui si duole il danneggiato, ossia chiedendosi se tale specifico danno era evitabile sostituendo la condotta posta in essere con quella alternativa” (cfr. Corte di Cassazione, sentenza n. 25825/2024).

La questione relativa alla individuazione dei presupposti per l’affermazione della responsabilità extracontrattuale del professionista sanitario, che si sia avvalso di sistemi di intelligenza artificiale a fini diagnostici o di cura e trattamento terapeutico, non può che essere affrontata nell’ambito degli elementi costitutivi della fattispecie di cui all’articolo 2043 del codice civile: la condotta colposa ed il nesso di causalità.

In tale prospettiva la proposta di direttiva del Parlamento europeo e del Consiglio, relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale) del 28 settembre 2022, fornisce un argomento che, “a contrariis”, permette di valorizzare proprio gli articoli 2043 e ss. del codice civile.

Difatti, nella relazione che accompagna tale proposta è scritto a chiare lettere che “Le norme nazionali vigenti in materia di responsabilità, in particolare per colpa, non sono adatte a gestire le azioni di responsabilità per danni causati da prodotti e servizi basati sull’IA” poiché “In base a tali norme, coloro che subiscono un danno sono tenuti a dimostrare un’azione o un’omissione illecita da parte della persona che ha causato il danno” mentre “Le caratteristiche specifiche dell’IA, tra cui la complessità, l’autonomia e l’opacità (il cosiddetto effetto «scatola nera»), possono rendere difficile o eccessivamente costoso, per quanti subiscono un danno, identificare la persona responsabile e dimostrare che sussistono i presupposti ai fini dell’esito positivo di un’azione di responsabilità”.

Peraltro, il considerando numero 15 chiarisce anche l’ambito di operatività della direttiva, stabilendo che “non è necessario che [nell’ambito di regolamentazione della stessa] rientrino le azioni di responsabilità per danno causato da una valutazione umana seguita da un’azione o un’omissione umana nel caso in cui il sistema di IA abbia unicamente fornito informazioni o indicazioni di cui ha tenuto conto il soggetto umano. In quest’ultimo caso è possibile ricollegare il danno a un’azione o un’omissione umana, dato che l’output del sistema di IA non si è interposto tra l’azione o l’omissione umana e il danno, per cui l’accertamento del nesso di causalità non è più difficile che nelle situazioni in cui non intervengono sistemi di IA”.

 

La responsabilità conseguente all’uso di sistemi di intelligenza artificiale quale responsabilità per l’esercizio di attività pericolose

Pertanto, in considerazione di quanto espressamente previsto sia dal regolamento europeo che dalla legge nazionale, ossia che la decisione finale è sempre rimessa all’esercente la professione sanitaria, la problematica inerente i termini della sua responsabilità non può che essere ricondotta nell’alveo della disciplina tradizionale che, per quanto attiene l’ordinamento giuridico italiano, è costituita dalle norme degli articoli 2043 e ss. del codice civile.

In tale prospettiva, ritengo che la valutazione della responsabilità non potrà che fare riferimento allo stesso principio ispiratore del regolamento europeo n. 1628/2024 ovvero alla circostanza che l’intelligenza artificiale, accanto agli innegabili vantaggi, “può nel contempo, a seconda delle circostanze relative alla sua applicazione, al suo utilizzo e al suo livello di sviluppo tecnologico specifici, comportare rischi e pregiudicare gli interessi pubblici e i diritti fondamentali tutelati dal diritto dell’Unione” e determinare un pregiudizio “sia materiale sia immateriale, compreso il pregiudizio fisico, psicologico, sociale o economico”.

L’approccio basato sul rischio valorizza la norma dell’articolo 2050 del codice civile che, nell’ambito della disciplina della responsabilità extracontrattuale, stabilisce che: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno”, in tal modo determinando un’inversione dell’onere probatorio che, per quanto attiene alla dimostrazione dell’adozione delle misure idonee ad evitare il danno, viene posto a carico del convenuto.

A ciò ritengo si possa aggiungere che, in considerazione dell’alto contenuto tecnico della regolamentazione dei sistemi di intelligenza artificiale sia possibile rinviare alle linee guida anche per la individuazione di best practices – ispirate al principio per cui l’ultima decisione spetta sempre al professionista sanitario – inerenti il rapporto tra lo stesso ed i predetti sistemi, riconducendo così la disciplina della responsabilità extracontrattuale nell’ambito degli articoli 2043 e ss. del codice civile.