Il contratto: strumento normativo della responsabilità civile da IA?

Barbara Barbarino
Avvocato, fa parte dello Studio LCG, di formazione civilista ed esperta in diritto sanitario, telemedicina ed Intelligenza Artificiale. Svolge consulenza in materia contrattuale, assicurativa e di Risk management sanitario. È membro di Comitati di Gestione del Rischio sanitario.
Giuseppe M. Cannella
Avvocato. Socio fondatore dello Studio LCG, cassazionista, di formazione penalista. Specializzato in diritto della privacy e delle nuove tecnologie. È DPO in diverse società pubbliche e private, membro di Organismi di Vigilanza (ai sensi del Dlgs. 231/01) e di Comitati di gestione del rischio sanitario. Opera, in particolare, in ambito sanitario. Ricercatore dell’Osservatorio DIPAB dell’Università Statale di Milano Bicocca e partecipa a diversi Comitati e Tavoli tecnici per le materie di compliance.

Abstract

Il Regolamento europeo sull’Intelligenza Artificiale (c.d. A.I. Act), approvato definitivamente il 13 marzo 2024, presenta un evidente vuoto normativo: manca del tutto la disciplina della responsabilità civile per danni derivanti dalla commercializzazione di un sistema di IA. Tale lacuna non faciliterà, certamente, il processo di adeguamento delle aziende all’A.I. Act. Ci si chiede allora, nell’ipotesi di verificazione dei danni: chi sarà il soggetto responsabile? Come sarà disciplinata la responsabilità civile? La soluzione ai quesiti posti sembra potere essere data dal contratto che, ad oggi, costituisce l’unico strumento capace di regolamentare i rapporti commerciali, attenzionando diversi aspetti e richiamando i principi generali laddove esistenti: protezione dei dati personali, proprietà intellettuale, garanzia assicurativa, obblighi reciproci e responsabilità.

Dall’approvazione definitiva dell’AI Act al DDL italiano del 23 aprile 2024

Il 13 marzo 2024 segna una data importante. Al termine di un iter legislativo iniziato nell’aprile 2021, il Parlamento Europeo ha finalmente approvato, in modo definitivo e plebiscitario, il testo del Regolamento sull’Intelligenza Artificiale, conosciuto anche come AI Act. È una norma europea a regolamentare per la prima volta il mondo dell’Intelligenza Artificiale (IA).

La norma, successivamente approvata, in data 21 maggio 2024, dal Consiglio Europeo, entrerà in vigore 20 giorni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell’UE, per poi – entro i due anni successivi – essere direttamente applicata in ciascuno Stato membro, con alcune eccezioni che prevedono delle tempistiche differenti.

L’utilizzo dell’Intelligenza Artificiale, secondo l’intenzione del legislatore europeo, deve necessariamente avvenire nel rispetto dei valori e dei diritti fondamentali della persona, quali: la sicurezza, la salute, la libertà, la dignità, l’autodeterminazione, la non discriminazione, la protezione dei dati personali e la trasparenza.

Il Testo europeo si rivolge: ai fornitori, pubblici e privati, che immettono sul mercato dell’UE i sistemi di IA; agli operatori, anche se aventi sede fuori dall’UE, qualora l’output prodotto venga utilizzato in uno Stato membro; agli importatori; ai distributori; ai fabbricanti e ai rappresentanti autorizzati.

La norma europea non si applicherà, invece, ai sistemi di IA per scopi militari, di difesa o di sicurezza nazionale, per scopi di ricerca e sviluppo scientifico, nonché ai sistemi rilasciati con licenze free e open source, a meno che non sussista un rischio.

Dopo appena un mese dalla approvazione definitiva dell’AI Act da parte del Parlamento UE, il Consiglio dei Ministri italiano, in data 23 aprile 2024, ha approvato lo “Schema di disegno di legge recante disposizioni e delega al governo in materia di intelligenza artificiale per l’introduzione di disposizioni e la delega al Governo in tema di Intelligenza Artificiale” (c.d. DDL I.A.).

Il DDL IA, richiamando i principi individuati dall’AI Act , ha voluto anticipare ed integrare gli effetti del Regolamento europeo in determinati ambiti del diritto interno che potrebbero presentare particolari criticità.[1]

Tuttavia, sia il Regolamento europeo che il DDL presentano un’evidente (e forse voluta) lacuna normativa: non viene disciplinata la responsabilità civile per danni derivanti dalla commercializzazione di un sistema di IA.

Quale sarebbe, dunque, la soluzione che si dovrebbe adottare per colmare tale vuoto normativo?

Il processo di adeguamento delle aziende all’AI ACT

Dopo l’intervento del legislatore europeo che ha individuato le regole per la commercializzazione di un sistema di IA, le vere protagoniste sono, adesso, le aziende che dovranno, sin da subito, attivarsi per iniziare il loro processo di adeguamento al Regolamento sull’Intelligenza Artificiale.

Gli operatori del settore devono, dunque, porsi l’obiettivo di essere già “compliant” alla normativa europea al momento dell’applicazione dell’AI Act, consolidando il rapporto di fiducia nell’ambito del mercato economico europeo e rafforzando le proprie competitività.

Le aziende, che a diverso titolo (deployer, fornitore, distributore …) opereranno nella catena commerciale di un sistema di IA, dovranno attenzionare diversi aspetti: la protezione dei dati, la sicurezza informatica, la proprietà intellettuale, la sicurezza dei sistemi di IA (specialmente nel settore medico) e la responsabilità civile.

Il primo passo delle aziende per il raggiungimento di tale pretenzioso obiettivo è dare la giusta attenzione ai principi e alle regole individuati dal Regolamento, norma quest’ultima che si basa su un approccio diversificato rispetto alle differenti tipologie di rischio: rischio inaccettabile, rischio alto e rischio basso.

Tale tipo di approccio è funzionale alla necessità che il progresso tecnologico abbia un ruolo strumentale al soddisfacimento dei bisogni dell’uomo e trovi il proprio limite nel rispetto dei valori e dei diritti fondamentali della persona. Il Regolamento promuove, dunque, la diffusione di un’IA antropocentrica che deve rappresentare uno strumento affidabile per migliorare il benessere delle persone.

Ma per quale ragione, l’utilizzo di un sistema di IA comporta rischi maggiori in tema di responsabilità, dal punto di vista etico e giuridico, rispetto a quelli direttamente dipendenti dal fattore umano?

La risposta al quesito posto sta nel fatto che, l’Intelligenza Umana e l’Intelligenza Artificiale operano in forza di principi e meccanismi differenti.

L’Intelligenza Umana è complessa e possiede la capacità di: ragionare ed apprendere integrando nuove informazioni con le conoscenze e le esperienze pregresse, creare, risolvere problemi, comunicare, comprendere le emozioni. Essa possiede la memoria dei dati e delle esperienze passate.

L’Intelligenza Artificiale funziona attraverso algoritmi ed ha la capacità di elaborare grandi quantità di dati ed effettuare calcoli rapidi. Tuttavia, essa non è in grado di produrre soluzioni creative e, soprattutto, in modo autonomo dai parametri prestabiliti e dai dati inseriti dall’uomo.

L’Unione europea ritiene possibile un’interazione tra l’uomo e la macchina, ma ciò deve avvenire in modo funzionale allo sviluppo tecnologico e, allo stesso tempo, rispettoso dei valori della persona.

Tuttavia, affinché questo si realizzi, non sono sufficienti le regole dettate dall’AI Act, essendo anche necessaria una regolamentazione normativa che, nelle ipotesi di verificazione di danni, ben individui il soggetto responsabile e disciplini compiutamente la responsabilità civile.

Ed allora, come andrebbe regolamentata attualmente la responsabilità civile per danni derivanti dalla commercializzazione di un sistema di IA?

Il contratto e la responsabilità civile

Come già anticipato, ad oggi, non esiste una normativa ad hoc che regolamenti la responsabilità civile per danni derivanti dalla commercializzazione di un sistema di Intelligenza Artificiale.

Infatti, a livello europeo sono, attualmente, in discussione una direttiva sulla responsabilità da prodotto difettoso da adeguare al prodotto tecnologico e una direttiva sulla responsabilità civile extracontrattuale da Intelligenza Artificiale (“AI Liability Directive”)[2].

In ogni modo, le richiamate direttive europee e la normativa interna sulla responsabilità oggettiva potrebbero non essere idonee a regolamentare compiutamente il complesso mondo dell’IA.

Tale lacuna normativa potrà essere colmata soltanto attraverso una corretta regolamentazione contrattuale dei rapporti commerciali: ad oggi, il contratto rappresenta, dunque, l’unico strumento per la prevenzione e la gestione del rischio dei danni conseguenziali alla circolazione di un sistema di IA.

Occorrerà, quindi, utilizzare al meglio l’autonomia negoziale (art. 1322 c.c.) che l’ordinamento giuridico riconosce anche alle aziende; queste ultime, in grado di individuare le modalità di interazione tra l’Intelligenza Artificiale e l’ambiente, sono le uniche ad avere concreto interesse a disciplinare preventivamente la responsabilità civile nell’ipotesi di verificazione dei danni e ad individuare il soggetto responsabile nell’ambito del rapporto commerciale in essere.

Le aziende, al momento della sottoscrizione del contratto, dovranno essere consapevoli dei rispettivi obblighi e delle reciproche responsabilità in relazione alla tipologia del sistema di IA considerato e di ciò occorrerà darne prova.

Sin dalla fase della negoziazione contrattuale, in ossequio all’obbligo di trasparenza, il soggetto, che in qualità di fornitore immette nel mercato un sistema di IA, dovrà dare un’informazione completa e chiara:

sulle logiche di funzionamento, sulle potenzialità, sull’autonomia e sui limiti del sistema di IA utilizzato, in modo che il deployer sia messo nelle condizioni di potere effettuare una scelta contrattuale consapevole;
sui rischi di danno collegati all’utilizzo del sistema di IA considerato.

La mancata informazione da parte del fornitore sarà fonte di responsabilità precontrattuale nei confronti del deployer, per non avere comunicato circostanze essenziali che, se conosciute, avrebbero indotto quest’ultimo a non concludere il contratto o a concluderlo a condizioni differenti.

Superata la fase della negoziazione, le aziende dovranno individuare contrattualmente i reciproci obblighi e responsabilità rispetto alla posizione da loro assunta all’interno del rapporto commerciale considerato.

Sarebbe auspicabile prevedere, in capo al fornitore, l’obbligo di formare il deployer sul corretto utilizzo del sistema di IA e sulle modalità di manutenzione; pertanto, non si profilerà alcuna responsabilità in capo al fornitore, qualora il danno sia stato causato dal mancato controllo, dall’inadeguata manutenzione o dall’errato utilizzo del sistema di IA da parte del deployer.

Al contempo, sarebbe opportuno prevedere contrattualmente i seguenti obblighi per il deployer:

al corretto inserimento dei dati nel sistema di IA.
alla corretta utilizzazione, al controllo e all’adeguata manutenzione del sistema di IA;
ad assicurare la corretta interazione tra sistema IA e ambito di applicazione;
a formare il proprio personale in tema di IA.

In un’ottica di compliance integrata, ulteriori sono gli aspetti che dovranno essere attenzionati in sede di determinazione del contenuto del contratto che regolamenterà i rapporti commerciali.

Innanzitutto, non bisognerà tralasciare la tutela del diritto di proprietà intellettuale sui dati inseriti e sulle tecnologie impiegate; in tale ambito, il rischio di contenziosi risulta piuttosto elevato. Le aziende dovranno, altresì, disciplinare il rapporto contrattuale con riguardo alla protezione dei dati personali.

Come è noto, infatti, i sistemi IA sono maggiormente esposti al Cyber Risk a causa del ricorso ad infrastrutture di tipo cloud e ogni parte contrattuale – ciascuna per le proprie competenze – ha l’obbligo di proteggersi dalle conseguenze fortemente pregiudizievoli: perdita dei dati, interruzione dell’attività, furto di diritti di proprietà, ecc.

In un’ottica di prevenzione e gestione del rischio, è fondamentale individuare contrattualmente anche un’adeguata copertura assicurativa che sarà variabile in relazione: al tipo di IA utilizzato, alla probabilità e all’entità del danno potenziale, nonché al numero di persone che potrebbero essere danneggiate dal sistema tecnologico.

Sarà, altresì, indispensabile, che le aziende concordino un obbligo di manleva, in forza del quale ciascuna di esse si impegna a sollevare l’altra dai danni derivanti direttamente dalla violazione dei propri obblighi.

Da ultimo, non si può non rilevare come la gestione dei rapporti commerciali potrebbe presentare delle criticità in tema di conflitto di giurisdizione internazionale ed europea, nonché di diritto interno applicabile, sebbene nell’intenzione del Parlamento europeo, il Regolamento debba trovare un’applicazione che si estenda il più possibile a tutti gli operatori.

L’Intelligenza Artificiale come opportunità e sfida di miglioramento per il benessere dell’uomo.

Oggi, l’Intelligenza Artificiale deve rappresentare non solo una valida opportunità per migliorare il benessere della persona, ma essa deve costituire anche una sfida per l’uomo e cioè: impedire che il suo utilizzo possa violare i diritti ed i valori della persona.

Tale sfida potrà essere vinta solo se l’uomo non dimenticherà mai che, l’uso delle innovazioni tecnologiche presenterà sempre una dimensione etica e che lo sviluppo dell’IA dovrà avvenire in modo responsabile.

NOTE

[1] “Informazione e riservatezza dei dati personali”, “Sviluppo economico”, “Sanitario e di disabilità”, “Lavoro”, “Professioni intellettuali”, “Pubblica Amministrazione”, “Attività giudiziaria”, “Cybersicurezza nazionale”,” Strategia nazionale, Autorità nazionali e azioni di promozione”, “Diritto d’autore” e “Codice penale e altre disposizioni penali”.

[2] Direttiva 85/374/CEE del 1985 e la nuova “Product Liablity Directive”.

Indice

Abstract
Dall’approvazione definitiva dell’AI Act al DDL italiano del 23 aprile 2024
Il processo di adeguamento delle aziende all’AI ACT
Il contratto e la responsabilità civile
L’Intelligenza Artificiale come opportunità e sfida di miglioramento per il benessere dell’uomo.

PAROLE CHIAVE: AI Act / contratto / intelligenza artificiale / regolamento europeo / responsabilità

Cookie	Tipo	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1	11 months 29 days 23 hours 59 minutes	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category ''Advertisement''.
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category ''Analytics''.
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
cookielawinfo-checkbox-performance	1	11 months 29 days 23 hours 59 minutes	This cookie is used to keep track of which cookies the user have approved for this site.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_test_cookie	1	session	This cookie is used to check if the cookies are enabled on the users'' browser.

Cookie	Tipo	Durata	Descrizione
_ga	1	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site''s analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_92838381_1	0	1 minute	This cookie is installed by Google Analytics. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
GPS	1	29 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
vuid	1	1 years 11 months 28 days 23 hours 59 minutes	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Tipo	Durata	Descrizione
IDE	1	1 years 23 days 23 hours 59 minutes	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	1	5 months 26 days 23 hours 59 minutes	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.