Articolo 4

Presunzione relativa del nesso di causalità in caso di colpa

1.Fatti salvi i requisiti di cui al presente articolo, ai fini dell'applicazione delle norme in materia di responsabilità alle domande di risarcimento del danno gli organi giurisdizionali nazionali presumono l'esistenza del nesso di causalità tra la colpa del convenuto e l'output prodotto da un sistema di IA o la mancata produzione di un output da parte di tale sistema se sono soddisfatte tutte le condizioni seguenti:

(a)l'attore ha dimostrato o l'organo giurisdizionale ha presunto, a norma dell'articolo 3, paragrafo 5, la colpa del convenuto o di una persona della cui condotta il convenuto è responsabile, consistente nella non conformità a un obbligo di diligenza previsto dal diritto dell'Unione o nazionale e direttamente inteso a proteggere dal danno verificatosi;

(b)si può ritenere ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema;

(c)l'attore ha dimostrato che il danno è stato causato dall'output prodotto dal sistema di IA o dalla mancata produzione di un output da parte di tale sistema.

2.In caso di domanda di risarcimento del danno presentata contro un fornitore di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA] o una persona soggetta agli obblighi del fornitore a norma [dell'articolo 24 o dell'articolo 28, paragrafo 1, della legge sull'IA], le condizioni di cui al paragrafo 1, lettera a), sono soddisfatte unicamente se l'attore ha dimostrato che il fornitore o, se del caso, la persona soggetta agli obblighi del fornitore non ha rispettato uno dei requisiti stabiliti da tali capi e indicati di seguito, tenendo conto delle misure adottate nel quadro del sistema di gestione dei rischi e dei relativi risultati a norma [dell'articolo 9 e dell'articolo 16, lettera a), della legge sull'IA]:

(a) il sistema di IA è un sistema che utilizza tecniche che prevedono l'uso di dati per l'addestramento di modelli e che non è stato sviluppato sulla base di set di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui [all'articolo 10, paragrafi da 2 a 4, della legge sull'IA];

(b)il sistema di IA non è stato progettato e sviluppato in modo da soddisfare gli obblighi di trasparenza di cui [all'articolo 13 della legge sull'IA];

(c)il sistema di IA non è stato progettato e sviluppato in modo da consentire una supervisione efficace da parte di persone fisiche durante il periodo in cui il sistema di IA è in uso a norma [dell'articolo 14 della legge sull'IA];

(d)il sistema di IA non è stato progettato e sviluppato in modo da conseguire, alla luce della sua finalità prevista, un adeguato livello di accuratezza, robustezza e cibersicurezza a norma [dell'articolo 15 e dell'articolo 16, lettera a), della legge sull'IA]; oppure

(e)non sono state immediatamente adottate le azioni correttive necessarie per rendere il sistema di IA conforme ai requisiti stabiliti [dal titolo III, capo 2, della legge sull'IA] o per ritirarlo o richiamarlo, a seconda dei casi, a norma [dell'articolo 16, lettera g), e dell'articolo 21 della legge sull'IA].

3.In caso di domanda di risarcimento del danno presentata contro un utente di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA], la condizione di cui al paragrafo 1, lettera a), è soddisfatta se l'attore dimostra che l'utente:

(a)non ha rispettato l'obbligo di utilizzare il sistema di IA o di monitorarne il funzionamento conformemente alle istruzioni per l'uso che accompagnano il sistema o, se del caso, l'obbligo di sospenderne o interromperne l'uso a norma [dell'articolo 29 della legge sull'IA]; oppure

(b)ha esposto il sistema di IA a dati di input sotto il suo controllo che non sono pertinenti alla luce della finalità prevista del sistema a norma [dell'articolo 29, paragrafo 3, della legge sull'IA].

4.In caso di domanda di risarcimento del danno riguardante un sistema di IA ad alto rischio, l'organo giurisdizionale nazionale non applica la presunzione di cui al paragrafo 1 se il convenuto dimostra che l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.

5.In caso di domanda di risarcimento del danno riguardante un sistema di IA che non è ad alto rischio, la presunzione di cui al paragrafo 1 si applica solo se l'organo giurisdizionale nazionale ritiene eccessivamente difficile per l'attore dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.

6.In caso di domanda di risarcimento del danno presentata contro un convenuto che ha utilizzato il sistema di IA nel corso di un'attività personale non professionale, la presunzione di cui al paragrafo 1 si applica solo se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l'obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l'ha fatto.

7.Il convenuto ha il diritto di confutare la presunzione di cui al paragrafo 1.

COMMISSIONE EUROPEA

Bruxelles, 28.9.2022

COM(2022) 496 final

2022/0303(COD)

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale
(direttiva sulla responsabilità da intelligenza artificiale)

(Testo rilevante ai fini del SEE)

{SEC(2022) 344 final} - {SWD(2022) 318 final} - {SWD(2022) 319 final} - {SWD(2022) 320 final}

RELAZIONE

1.CONTESTO DELLA PROPOSTA

·Motivi e obiettivi della proposta

La presente relazione accompagna la proposta di direttiva relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale (IA). In un'indagine rappresentativa realizzata nel 2020 1 , la responsabilità è emersa quale uno dei tre ostacoli principali all'uso dell'IA da parte delle imprese europee, venendo citata come l'ostacolo esterno più rilevante (43 %) per le imprese che intendono adottare l'IA, ma che non lo hanno ancora fatto.

Nei suoi orientamenti politici, la presidente della Commissione Ursula von der Leyen ha definito un approccio europeo coordinato all'IA 2 . Nel suo Libro bianco sull'IA del 19 febbraio 2020 3 la Commissione si è impegnata a promuovere l'adozione dell'IA e ad affrontare i rischi associati a determinati utilizzi di tale tecnologia promuovendo l'eccellenza e la fiducia. Nella relazione sulle implicazioni dell'IA in materia di responsabilità 4 che accompagna il Libro bianco, la Commissione ha individuato le sfide specifiche poste dall'IA alle norme vigenti in materia di responsabilità. Nelle sue conclusioni del 9 giugno 2020 sul tema "Plasmare il futuro digitale dell'Europa", il Consiglio ha espresso il proprio compiacimento in merito alla consultazione relativa alle proposte strategiche contenute nel Libro bianco sull'IA e ha invitato la Commissione a presentare proposte concrete. Il 20 ottobre 2020 il Parlamento europeo ha adottato una risoluzione di iniziativa legislativa a norma dell'articolo 225 TFUE in cui chiede alla Commissione di adottare una proposta relativa a un regime di responsabilità civile per l'IA, basata sull'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE) 5 .

Le norme nazionali vigenti in materia di responsabilità, in particolare per colpa, non sono adatte a gestire le azioni di responsabilità per danni causati da prodotti e servizi basati sull'IA. In base a tali norme, coloro che subiscono un danno sono tenuti a dimostrare un'azione o un'omissione illecita da parte della persona che ha causato il danno. Le caratteristiche specifiche dell'IA, tra cui la complessità, l'autonomia e l'opacità (il cosiddetto effetto "scatola nera"), possono rendere difficile o eccessivamente costoso, per quanti subiscono un danno, identificare la persona responsabile e dimostrare che sussistono i presupposti ai fini dell'esito positivo di un'azione di responsabilità. In particolare, quando chiedono un risarcimento, i danneggiati potrebbero dover sostenere costi iniziali molto elevati e affrontare procedimenti giudiziari notevolmente più lunghi rispetto a quanto accade nei casi che non riguardano l'IA, venendo pertanto del tutto dissuasi dal chiedere un risarcimento. Tali preoccupazioni sono state condivise anche dal Parlamento europeo (PE) nella sua risoluzione del 3 maggio 2022 sull'intelligenza artificiale in un'era digitale.  6

Se un danneggiato presenta una domanda di risarcimento, gli organi giurisdizionali nazionali, confrontati alle caratteristiche specifiche dell'IA, possono adeguare le modalità di applicazione delle norme vigenti in base ai singoli casi per giungere a un risultato equo per il danneggiato. Ciò provocherà incertezza giuridica. Le imprese avranno difficoltà a prevedere le modalità di applicazione delle norme vigenti in materia di responsabilità e, di conseguenza, a valutare la loro esposizione alla responsabilità e a stipulare la relativa copertura assicurativa. Tale effetto sarà amplificato per le imprese che operano a livello transfrontaliero, in quanto l'incertezza riguarderà diverse giurisdizioni, e interesserà in particolare le piccole e medie imprese (PMI), che non possono avvalersi di competenze giuridiche al loro interno o di riserve di capitale.

Le strategie nazionali in materia di IA mostrano che numerosi Stati membri stanno valutando un'azione legislativa in materia di responsabilità civile per l'IA, o la stanno addirittura pianificando concretamente. Si prevede pertanto che, in caso di mancato intervento dell'UE, gli Stati membri adegueranno le loro norme nazionali in materia di responsabilità alle sfide poste dall'IA. Ciò comporterà un'ulteriore frammentazione e un aumento dei costi per le imprese attive in tutta l'UE.

La presente proposta si prefigge pertanto l'obiettivo di promuovere la diffusione di un'IA affidabile affinché sia possibile sfruttarne appieno i vantaggi per il mercato interno e si propone di conseguirlo garantendo a coloro che hanno subito danni causati dall'IA una protezione equivalente a quella di cui beneficiano quanti subiscono danni causati da prodotti di altro tipo. La proposta riduce inoltre l'incertezza giuridica per le imprese che sviluppano o utilizzano l'IA in relazione alla possibile esposizione alla responsabilità e previene la frammentazione derivante da adeguamenti specifici all'IA delle norme nazionali in materia di responsabilità civile.

·Coerenza con le disposizioni vigenti nel settore normativo interessato

–una proposta legislativa che stabilisce norme orizzontali sui sistemi di intelligenza artificiale (legge sull'IA) 7 ;

–una revisione delle norme settoriali e orizzontali in materia di sicurezza dei prodotti;

–norme dell'UE per affrontare le questioni in materia di responsabilità relative ai sistemi di IA.

·Coerenza con le altre normative dell'Unione

·Principali ripercussioni a livello economico, sociale e ambientale

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

·   Base giuridica

Gli adeguamenti delle norme in materia di responsabilità adottati su base puramente nazionale aumenterebbero quindi gli ostacoli alla diffusione di prodotti e servizi basati sull'IA in tutto il mercato interno e contribuirebbero ulteriormente alla frammentazione.

·Sussidiarietà

·Proporzionalità

·Scelta dello strumento

1.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

·Consultazioni dei portatori di interessi

Per garantire un'ampia partecipazione dei portatori di interessi durante tutto il ciclo politico della presente proposta è stata attuata una strategia di consultazione su larga scala. La strategia di consultazione è stata basata sia su consultazioni pubbliche sia su diverse consultazioni mirate (webinar, discussioni bilaterali con imprese e con varie organizzazioni).

·Assunzione e uso di perizie

–uno studio di diritto comparato basato su un'analisi giuridica comparativa delle normative europee in materia di illeciti civili incentrata sulle principali questioni connesse all'IA 26 ;

–uno studio di economia comportamentale sugli impatti di adeguamenti mirati del regime di responsabilità sul processo decisionale dei consumatori, in particolare sulla loro fiducia e disponibilità ad adottare prodotti e servizi basati sull'IA 27 ;

–uno studio economico 28 dedicato a numerose questioni: le sfide cui devono far fronte coloro che subiscono un danno da applicazioni di IA rispetto a coloro che subiscono un danno da dispositivi non di IA quando chiedono un risarcimento per il danno subito; se e in quale misura le imprese non dispongono di certezze in merito all'applicazione delle norme vigenti in materia di responsabilità alle loro operazioni che prevedono l'utilizzo dell'IA e se l'impatto dell'incertezza giuridica può ostacolare gli investimenti nell'IA; se un'ulteriore frammentazione delle leggi nazionali in materia di responsabilità ridurrebbe l'efficacia del mercato interno delle applicazioni e dei servizi di IA e se e in quale misura l'armonizzazione di taluni aspetti della responsabilità civile a livello nazionale attraverso la normativa dell'UE ridurrebbe tali problemi e agevolerebbe nel complesso l'adozione della tecnologia di IA da parte delle imprese dell'UE.

·Valutazione d'impatto

–una prima fase con le misure di cui all'opzione 1;

–una seconda fase che prevede un meccanismo di revisione per riesaminare, in particolare, la necessità di armonizzare la responsabilità oggettiva per i casi di utilizzo dell'IA che presentano un particolare profilo di rischio (eventualmente associato a una copertura assicurativa obbligatoria).

·Diritti fondamentali

Con la presente proposta la Commissione mira a garantire che il livello di protezione di cui usufruiscono coloro che subiscono danni causati dall'IA sia equivalente, nell'ambito delle norme in materia di responsabilità civile, a quello di cui beneficiano coloro che subiscono danni cagionati senza il concorso dell'IA. La proposta consentirà un'applicazione efficace a livello privatistico dei diritti fondamentali e preserverà il diritto a un ricorso effettivo laddove si siano concretizzati rischi specifici dell'IA. In particolare, la proposta contribuirà a tutelare i diritti fondamentali, come il diritto alla vita (articolo 2 della Carta), il diritto all'integrità fisica e psichica (articolo 3) e il diritto di proprietà (articolo 17). A seconda del sistema di diritto civile e delle tradizioni di ciascuno Stato membro, i danneggiati potranno altresì chiedere il risarcimento del danno arrecato ad altri interessi giuridici, come le violazioni della dignità personale (articoli 1 e 4 della Carta), il rispetto della vita privata e della vita familiare (articolo 7), il diritto all'uguaglianza (articolo 20) e alla non discriminazione (articolo 21).

La presente proposta integra inoltre altre componenti nella politica della Commissione relativa all'IA sulla base di requisiti preventivi in materia di regolamentazione e vigilanza volti direttamente a evitare violazioni dei diritti fondamentali (come la discriminazione): si tratta della legge sull'IA, del regolamento generale sulla protezione dei dati, della legge sui servizi digitali e del diritto dell'UE in materia di non discriminazione e parità di trattamento. Allo stesso tempo, la presente proposta non crea né armonizza gli obblighi di diligenza o la responsabilità di vari soggetti la cui attività è disciplinata da tali atti giuridici e, pertanto, non crea nuove azioni di responsabilità né incide sulle esenzioni dalla responsabilità previste dai sopraindicati atti giuridici. La presente proposta si limita a introdurre alleggerimenti dell'onere della prova per coloro che subiscono danni causati dai sistemi di IA nelle azioni che possono essere basate sul diritto nazionale o sulle altre normative dell'UE sopraindicate. Integrando le suddette altre componenti, la presente proposta tutela il diritto dei danneggiati al risarcimento a norma del diritto privato, compreso il risarcimento per le violazioni dei diritti fondamentali.

4.INCIDENZA SUL BILANCIO

5.ALTRI ELEMENTI

·Piani attuativi e modalità di monitoraggio, valutazione, programma di monitoraggio e revisione mirata

La presente proposta propone un approccio in più fasi. Per garantire la disponibilità di evidenze sufficienti per la revisione mirata prevista nella seconda fase, la Commissione elaborerà un piano di monitoraggio che specificherà le modalità e la frequenza con cui i dati e le altre evidenze necessarie saranno raccolti.

Il meccanismo di monitoraggio potrebbe riguardare i seguenti tipi di dati ed evidenze:

–la comunicazione e la condivisione di informazioni da parte degli Stati membri in merito all'applicazione di misure volte ad alleggerire l'onere della prova nei procedimenti nazionali di risoluzione giudiziaria o extragiudiziale;

–le informazioni raccolte dalla Commissione o dalle autorità di vigilanza del mercato a norma della legge sull'IA (in particolare l'articolo 62) o di altri strumenti pertinenti;

–le informazioni e le analisi a sostegno della valutazione della legge sull'IA e delle relazioni che la Commissione deve redigere sull'attuazione di tale legge;

–le informazioni e le analisi a sostegno della valutazione delle future misure strategiche pertinenti nell'ambito della normativa in materia di sicurezza basata sul "vecchio approccio" per garantire che i prodotti immessi sul mercato dell'Unione soddisfino requisiti elevati in materia di salute, sicurezza e ambiente;

–le informazioni e le analisi a sostegno della relazione della Commissione sull'applicazione della direttiva sull'assicurazione degli autoveicoli con riguardo agli sviluppi tecnologici (in particolare veicoli autonomi e semi-autonomi), redatta a norma dell'articolo 28 quater, paragrafo 2, lettera a), di tale direttiva.

·Illustrazione dettagliata delle singole disposizioni della proposta

1.Oggetto e ambito di applicazione (articolo 1)

Scopo della direttiva è migliorare il funzionamento del mercato interno stabilendo requisiti uniformi per determinati aspetti della responsabilità civile extracontrattuale per danni causati con il coinvolgimento di sistemi di IA. La direttiva fa seguito alla risoluzione del Parlamento europeo 2020/2014 (INL) e adegua il diritto privato alle esigenze della transizione verso l'economia digitale.

La scelta di strumenti giuridici adeguati è limitata, date la natura della questione relativa all'onere della prova e le caratteristiche specifiche dell'IA che pongono problemi alle norme vigenti in materia di responsabilità. A tale riguardo, la direttiva alleggerisce l'onere della prova in modo molto mirato e proporzionato attraverso il ricorso alla divulgazione e a presunzioni relative. La direttiva prevede, per coloro che chiedono il risarcimento del danno, la possibilità di ottenere informazioni sui sistemi di IA ad alto rischio che devono essere registrate/documentate a norma della legge sull'IA. Oltre a quanto indicato, le presunzioni relative garantiranno a coloro che chiedono il risarcimento dei danni causati dai sistemi di IA un onere della prova più ragionevole e la possibilità che le azioni di responsabilità giustificate abbiano esito positivo.

Tali strumenti non sono nuovi e sono reperibili nei sistemi legislativi nazionali. Gli strumenti nazionali costituiscono pertanto utili punti di riferimento per quanto concerne le modalità atte ad affrontare le questioni poste dall'IA in relazione alle norme vigenti in materia di responsabilità in maniera tale da interferire il meno possibile con i diversi regimi giuridici nazionali.

Durante le consultazioni, inoltre, quando sono state poste domande su cambiamenti di più ampia portata, quali un'inversione dell'onere della prova o una presunzione assoluta, le imprese hanno fornito un riscontro negativo. Per alleggerire l'onere della prova sono state scelte misure mirate sotto forma di presunzioni relative, in quanto modalità pragmatiche e appropriate per aiutare i danneggiati a far fronte all'onere della prova nel modo più mirato e proporzionato possibile.

L'articolo 1 indica l'oggetto e l'ambito di applicazione della direttiva, che si applica alle domande di risarcimento del danno causato da un sistema di IA nel quadro di azioni civili di responsabilità extracontrattuale, qualora tali azioni siano intentate nell'ambito di regimi di responsabilità per colpa, ossia, in particolare, regimi che prevedono la responsabilità legale di risarcire i danni causati da un'azione o un'omissione intenzionalmente lesiva o colposa. Le misure previste dalla direttiva possono integrarsi senza attriti nei sistemi di responsabilità civile esistenti, in quanto riflettono un approccio che non incide sulla definizione di concetti fondamentali quali "colpa" o "danno", dato che il significato di tali concetti varia notevolmente da uno Stato membro all'altro. Pertanto, al di là delle presunzioni da essa stabilite, la direttiva lascia impregiudicate le norme dell'Unione o nazionali che stabiliscono, ad esempio, a quale parte incombe l'onere della prova e qual è il grado di certezza richiesto in relazione al livello della prova, o che definiscono il concetto di colpa.

La direttiva lascia inoltre impregiudicate le norme vigenti che disciplinano i criteri di responsabilità nel settore dei trasporti e quelle sancite dalla legge sui servizi digitali.

La direttiva, pur non applicandosi in materia di responsabilità penale, può applicarsi alla responsabilità dello Stato. Le autorità statali sono altresì oggetto delle disposizioni della legge sull'IA in quanto soggette agli obblighi ivi previsti.

La direttiva non si applica retroattivamente, ma solo alle domande di risarcimento danni presentate a decorrere dalla data del suo recepimento.

La presente proposta di direttiva è stata adottata insieme alla proposta di revisione della direttiva 85/374/CEE sulla responsabilità per danno da prodotti difettosi in un pacchetto il cui scopo è adeguare le norme in materia di responsabilità all'era digitale e all'intelligenza artificiale, garantendo il necessario allineamento tra questi due strumenti giuridici complementari.

2.Definizioni (articolo 2)

A fini di coerenza, le definizioni di cui all'articolo 2 riprendono le definizioni della legge sull'IA.

L'articolo 2, punto 6, lettera b), stabilisce che le domande di risarcimento del danno possono essere presentate non solo dalla persona danneggiata, ma anche da persone che sono subentrate o si sono surrogate nei diritti del danneggiato. La surrogazione è l'assunzione da parte di un terzo (come una compagnia di assicurazioni) del diritto giuridico di un'altra parte di riscuotere un debito o un risarcimento del danno. Una persona ha pertanto il diritto di far valere i diritti di un'altra a proprio vantaggio. La surrogazione riguarderebbe anche gli eredi di un danneggiato deceduto.

Inoltre, l'articolo 2, punto 6, lettera c), stabilisce che un'azione di risarcimento del danno può essere intentata anche da una persona che agisce per conto di uno o più danneggiati conformemente al diritto dell'Unione o nazionale. Scopo della disposizione è offrire maggiori possibilità alle persone danneggiate da un sistema di IA di far esaminare le loro domande da un organo giurisdizionale, anche nei casi in cui le azioni individuali possono sembrare troppo costose o troppo onerose da intentare, o in cui le azioni congiunte possono comportare un beneficio di scala. Per consentire a coloro che subiscono danni causati dai sistemi di IA di far valere i propri diritti in relazione a questa direttiva attraverso azioni rappresentative, l'articolo 6 modifica l'allegato I della direttiva (UE) 2020/1828.

3.Divulgazione degli elementi di prova (articolo 3)

La direttiva mira a fornire alle persone che chiedono il risarcimento di danni causati da sistemi di IA ad alto rischio mezzi efficaci per identificare le persone potenzialmente responsabili e le prove pertinenti per una domanda di risarcimento. Tali mezzi servono nel contempo a escludere convenuti potenziali identificati erroneamente, risparmiando tempo e costi per le parti coinvolte e riducendo il carico di lavoro per gli organi giurisdizionali.

A tale riguardo, l'articolo 3, paragrafo 1, della direttiva prevede che un organo giurisdizionale possa ordinare la divulgazione di elementi di prova rilevanti in relazione a specifici sistemi di IA ad alto rischio che si sospetta abbiano cagionato danni. Le richieste di elementi di prova sono rivolte al fornitore di un sistema di IA, a una persona soggetta agli obblighi del fornitore di cui all'articolo 24 o all'articolo 28, paragrafo 1, della legge sull'IA o a un utente a norma della legge sull'IA. Le richieste dovrebbero essere suffragate da fatti e prove sufficienti a dimostrare la plausibilità della domanda di risarcimento del danno in questione e gli elementi di prova richiesti dovrebbero essere a disposizione dei destinatari. Le richieste non possono essere rivolte a parti sulle quali non incombono obblighi a norma della legge sull'IA e le quali non hanno pertanto accesso agli elementi di prova.

Conformemente all'articolo 3, paragrafo 2, l'attore può chiedere la divulgazione di elementi di prova da parte di fornitori o utenti che non sono convenuti solo nel caso in cui sia stato compiuto senza successo ogni sforzo proporzionato per ottenere tali elementi di prova dal convenuto.

Affinché gli strumenti giudiziari risultino efficaci, l'articolo 3, paragrafo 3, della direttiva prevede che un organo giurisdizionale possa altresì ordinare la conservazione di tali elementi di prova.

Come previsto all'articolo 3, paragrafo 4, primo comma, il giudice può ordinare tale divulgazione solo nella misura necessaria a sostenere una domanda di risarcimento, dato che le informazioni potrebbero costituire elementi di prova fondamentali ai fini della domanda di risarcimento in caso di danni che coinvolgono sistemi di IA.

Limitando l'obbligo di divulgazione o conservazione agli elementi di prova necessari e proporzionati, l'articolo 3, paragrafo 4, primo comma, mira a garantire la proporzionalità nella divulgazione degli elementi di prova, ossia a limitare la divulgazione al minimo necessario e ad evitare richieste generalizzate.

L'articolo 3, paragrafo 4, secondo e terzo comma, mira inoltre a trovare un equilibrio tra i diritti dell'attore e la necessità di garantire che tale divulgazione sia soggetta a garanzie per tutelare i legittimi interessi di tutte le parti coinvolte, quali segreti commerciali o informazioni riservate.

Nello stesso contesto, l'articolo 3, paragrafo 4, quarto comma, si prefigge lo scopo di garantire che i mezzi di ricorso procedurali contro l'ordinanza di divulgazione o di conservazione siano a disposizione della persona che vi è soggetta.

L'articolo 3, paragrafo 5, introduce una presunzione di non conformità a un obbligo di diligenza. Si tratta di uno strumento procedurale, rilevante solo nei casi in cui sia il convenuto effettivo di una domanda di risarcimento del danno a sopportare le conseguenze della mancata conformità alla richiesta di divulgazione o di conservazione degli elementi di prova. Il convenuto ha il diritto di confutare tale presunzione. La misura prevista in questo paragrafo mira sia a promuovere la divulgazione sia ad accelerare i procedimenti giudiziari.

4.Presunzione del nesso di causalità in caso di colpa (articolo 4)

Per quanto riguarda i danni causati dai sistemi di IA, la direttiva mira a fornire una base efficace per le domande di risarcimento in relazione alla colpa consistente nella non conformità a un obbligo di diligenza a norma del diritto dell'Unione o nazionale.

Stabilire un nesso causale tra tale non conformità e l'output prodotto dal sistema di IA o la mancata produzione di un output da parte del sistema di IA che ha cagionato il danno in questione può risultare difficile per gli attori. È stata pertanto stabilita, all'articolo 4, paragrafo 1, una presunzione relativa mirata di causalità in relazione a tale nesso di causalità. Tale presunzione è la misura meno onerosa atta a rispondere alla necessità di un equo risarcimento del danneggiato.

La colpa del convenuto deve essere dimostrata dall'attore conformemente alle norme dell'Unione o nazionali applicabili e può essere accertata, ad esempio, per non conformità a un obbligo di diligenza a norma della legge sull'IA o di altre normative stabilite a livello di Unione, come quelle che disciplinano l'uso del monitoraggio e del processo decisionale automatizzati per il lavoro mediante piattaforme digitali o quelle che disciplinano il funzionamento di aeromobili senza equipaggio. Tale colpa può anche essere presunta dall'organo giurisdizionale sulla base del mancato rispetto di un'ordinanza giudiziaria di divulgazione o conservazione degli elementi di prova a norma dell'articolo 3, paragrafo 5. Tuttavia, è opportuno introdurre una presunzione di causalità solo quando si può ritenere probabile che la colpa in questione abbia influenzato l'output pertinente del sistema di IA o la sua mancata produzione, il che può essere valutato sulla base delle circostanze generali del caso. Allo stesso tempo, l'attore deve comunque dimostrare che il sistema di IA (ossia l'output di tale sistema o la sua mancata produzione) ha causato il danno.

I paragrafi 2 e 3 operano una distinzione tra le azioni intentate nei confronti del fornitore di un sistema di IA ad alto rischio o di una persona soggetta agli obblighi del fornitore a norma della legge sull'IA, da un lato, e le azioni intentate nei confronti dell'utente di tali sistemi, dall'altro. A tale riguardo, la direttiva segue le rispettive disposizioni e condizioni pertinenti della legge sull'IA. Nel caso di domande di risarcimento fondate sull'articolo 4, paragrafo 2, l'osservanza da parte dei convenuti degli obblighi di cui a tale paragrafo deve essere valutata anche alla luce del sistema di gestione dei rischi e dei suoi risultati, vale a dire le misure di gestione dei rischi, a norma della legge sull'IA.

In caso di sistemi di IA ad alto rischio, quali definiti dalla legge sull'IA, l'articolo 4, paragrafo 4, stabilisce un'eccezione alla presunzione di causalità qualora il convenuto dimostri che l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare il nesso causale. Una simile possibilità può incentivare i convenuti a rispettare i loro obblighi di divulgazione, mediante misure stabilite dalla legge sull'IA per garantire un elevato livello di trasparenza dell'IA o mediante requisiti di documentazione e registrazione.

Nel caso di sistemi di IA che non sono ad alto rischio, l'articolo 4, paragrafo 5, stabilisce una condizione per l'applicabilità della presunzione di causalità, in base alla quale quest'ultima è soggetta alla condizione che l'organo giurisdizionale stabilisca che è eccessivamente difficile per l'attore dimostrare l'esistenza del nesso causale. Tali difficoltà devono essere valutate alla luce delle caratteristiche di determinati sistemi di IA, come l'autonomia e l'opacità, che nella pratica rendono estremamente difficile la spiegazione del funzionamento interno del sistema di IA e pregiudicano la capacità dell'attore di dimostrare l'esistenza del nesso di causalità tra la colpa del convenuto e l'output del sistema di IA.

Nei casi in cui un convenuto utilizza il sistema di IA nel corso di un'attività personale non professionale, l'articolo 4, paragrafo 6, stabilisce che la presunzione di casualità dovrebbe applicarsi solo se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l'obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l'ha fatto. Tale condizione è giustificata dall'esigenza di bilanciare gli interessi delle persone danneggiate e degli utenti non professionali, esentando dall'applicazione della presunzione di causalità i casi in cui il comportamento degli utenti non professionali non determina un incremento dei rischi.

L'articolo 4, paragrafo 7, stabilisce infine che il convenuto ha il diritto di confutare la presunzione di causalità fondata sull'articolo 4, paragrafo 1.

Tali norme efficaci in materia di responsabilità civile presentano il vantaggio aggiuntivo di fornire a tutti coloro che sono coinvolti in attività relative ai sistemi di IA un ulteriore incentivo a rispettare gli obblighi relativi alla condotta che ci si aspetta da loro.

5.Valutazione e revisione mirata (articolo 5)

Vari ordinamenti giuridici nazionali prevedono regimi di responsabilità oggettiva diversi. Anche il Parlamento europeo, nella sua risoluzione d'iniziativa del 20 ottobre 2020, ha indicato elementi a favore di un regime di questo tipo a livello di UE: un regime di responsabilità oggettiva limitato per talune tecnologie basate sull'IA e un onere della prova agevolato ai sensi delle norme in materia di responsabilità per colpa. Le consultazioni pubbliche hanno, del pari, evidenziato una preferenza per tale regime tra i rispondenti (ad eccezione delle imprese diverse dalle PMI), abbinato o no a una copertura assicurativa obbligatoria.

La proposta tiene tuttavia conto delle differenze tra le tradizioni giuridiche nazionali e del fatto che il tipo di prodotti e servizi dotati di sistemi di IA che potrebbero incidere sul pubblico in generale e mettere a repentaglio importanti diritti giuridici, come il diritto alla vita, alla salute e alla proprietà, e che potrebbero pertanto essere soggetti a un regime di responsabilità oggettiva, non sono ancora ampiamente disponibili sul mercato.

Al fine di fornire alla Commissione informazioni sugli incidenti che coinvolgono i sistemi di IA, è istituito un programma di monitoraggio. La revisione mirata valuterà l'eventuale necessità di ulteriori misure, quali l'introduzione di un regime di responsabilità oggettiva e/o di una copertura assicurativa obbligatoria.

6.Recepimento (articolo 7)

Nel notificare alla Commissione le misure nazionali di recepimento volte a conformarsi alla direttiva, gli Stati membri dovrebbero anche fornire documenti esplicativi che forniscano informazioni sufficientemente chiare e precise e indichino, per ciascuna disposizione della presente direttiva, le disposizioni nazionali che ne garantiscono il recepimento. Ciò è necessario per consentire alla Commissione di individuare, per ciascuna disposizione della direttiva che richiede il recepimento, la parte pertinente delle misure nazionali di recepimento che crea l'obbligo giuridico corrispondente nell'ordinamento giuridico nazionale, indipendentemente dalla forma scelta dagli Stati membri.

2022/0303 (COD)

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale
(direttiva sulla responsabilità da intelligenza artificiale)

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 29 ,

visto il parere del Comitato delle regioni 30 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)L'intelligenza artificiale ("IA") è un insieme di tecnologie abilitanti che possono contribuire al conseguimento di un'ampia gamma di benefici nell'intero spettro delle attività economiche e sociali. Offre un grande potenziale di progresso tecnologico e rende possibili nuovi modelli imprenditoriali in numerosi settori dell'economia digitale.

(2)Nel contempo, a seconda delle circostanze in cui viene concretamente applicata e usata, l'IA può comportare rischi e nuocere agli interessi e ai diritti tutelati dal diritto dell'Unione o nazionale. Ad esempio l'uso dell'IA può incidere negativamente su una serie di diritti fondamentali, tra cui la vita, l'integrità fisica, la non discriminazione e la parità di trattamento. Il regolamento (UE).../... del Parlamento europeo e del Consiglio [legge sull'IA] 31 stabilisce requisiti intesi a ridurre i rischi per la sicurezza e i diritti fondamentali, mentre altri strumenti del diritto dell'Unione stabiliscono le norme generali 32 e settoriali in materia di sicurezza dei prodotti applicabili anche ai prodotti macchina 33 e alle apparecchiature radio 34 basati sull'IA. Tali requisiti volti a ridurre i rischi per la sicurezza e i diritti fondamentali, sebbene mirino a prevenire, monitorare e affrontare i rischi e quindi a dare risposta alle preoccupazioni della società, non prevedono rimedi a favore dei singoli che hanno subito danni causati dall'IA. I requisiti in vigore prevedono in particolare autorizzazioni, controlli, obblighi di monitoraggio e sanzioni amministrative in relazione ai sistemi di IA al fine di prevenire i danni. Non prevedono misure risarcitorie a favore di coloro che abbiano subito danni causati dall'output prodotto da un sistema di IA o dalla mancata produzione di un output da parte di tale sistema.

(3)Il danneggiato che intenda ottenere un risarcimento per il danno subito è di norma tenuto, in base alle norme generali in materia di responsabilità per colpa degli Stati membri, a dimostrare che la persona potenzialmente tenuta a rispondere del danno ha commesso un'azione o omissione intenzionalmente lesiva o colposa ("colpa") e che esiste un nesso di causalità tra colpa e danno. Tuttavia, quando l'IA si interpone tra l'azione o omissione di una persona e il danno, le specifiche caratteristiche di alcuni sistemi di IA, come l'opacità, il comportamento autonomo e la complessità, possono rendere eccessivamente difficile, se non impossibile, per il danneggiato soddisfare l'onere della prova. In particolare può essere eccessivamente difficile dimostrare che un determinato input, di cui è responsabile la persona potenzialmente tenuta a rispondere del danno, ha provocato un determinato output del sistema di IA, che a sua volta ha causato il danno in questione.

(4)In tali casi il livello di tutela risarcitoria previsto dalle norme nazionali in materia di responsabilità civile può essere inferiore a quello riconosciuto nei casi in cui il danno è causato con il concorso di tecnologie diverse dall'IA. Tali divario risarcitorio può contribuire a un minor livello di accettazione sociale dell'IA e di fiducia nei prodotti e servizi basati sull'IA.

(5)Per cogliere i vantaggi economici e sociali dell'IA e promuovere la transizione verso l'economia digitale, è necessario adattare in modo mirato alcune norme nazionali in materia di responsabilità civile a tali caratteristiche specifiche di determinati sistemi di IA. Tali adeguamenti dovrebbero contribuire a rafforzare la fiducia della società e dei consumatori, promuovendo in tal modo la diffusione dell'IA. Dovrebbero inoltre mantenere la fiducia nel sistema giudiziario, garantendo che coloro che subiscono un danno causato con il concorso dell'IA ricevano un risarcimento effettivo equivalente a quello riconosciuto ai danneggiati da altre tecnologie.

(6)I portatori di interessi, ossia i danneggiati, gli assicuratori o le persone potenzialmente tenute a rispondere del danno, si trovano ad affrontare una situazione di incertezza giuridica quanto al modo in cui gli organi giurisdizionali nazionali, di fronte alle sfide specifiche poste dall'IA, potrebbero applicare ai singoli casi le norme vigenti in materia di responsabilità per garantire risultati equi. In assenza di un intervento dell'Unione, è probabile che almeno alcuni Stati membri adeguino le rispettive norme in materia di responsabilità civile per colmare le lacune in materia risarcitoria e porre rimedio all'incertezza giuridica derivante dalle specifiche caratteristiche di alcuni sistemi di IA. Ciò porterebbe ad una situazione di frammentazione giuridica e creerebbe ostacoli nel mercato interno per le imprese che sviluppano prodotti o prestano servizi innovativi basati sull'IA. Le piccole e medie imprese ne risentirebbero in modo particolare.

(7)Scopo della presente direttiva è contribuire al corretto funzionamento del mercato interno armonizzando alcune norme nazionali in materia di responsabilità extracontrattuale per colpa, in modo da garantire che coloro che chiedono il risarcimento del danno causato da un sistema di IA godano di un livello di protezione equivalente a quello riconosciuto alle persone che chiedono il risarcimento del danno causato senza il concorso di un sistema di IA. Tale obiettivo non può essere conseguito in misura sufficiente dagli Stati membri perché gli ostacoli nel mercato interno derivano dal rischio di misure normative unilaterali e frammentate a livello nazionale. Data la natura digitale dei prodotti e dei servizi rientranti nell'ambito di applicazione della presente direttiva, quest'ultima è particolarmente rilevante in un contesto transfrontaliero.

(8)L'obiettivo di garantire la certezza del diritto e di prevenire le lacune in materia risarcitoria nei casi in cui sono coinvolti sistemi di IA può pertanto essere conseguito meglio a livello di Unione. L'Unione può dunque intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea (TUE). La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(9)È pertanto necessario armonizzare in modo mirato alcuni aspetti specifici delle norme in materia di responsabilità per colpa a livello di Unione. Tale armonizzazione dovrebbe rafforzare la certezza del diritto e creare condizioni di parità per i sistemi di IA, migliorando così il funzionamento del mercato interno per quanto riguarda la produzione e la diffusione di prodotti e servizi basati sull'IA.

(10)Per rispettare il principio di proporzionalità, è opportuno armonizzare in modo mirato solo le norme in materia di responsabilità per colpa che disciplinano l'onere della prova a carico di coloro che chiedono il risarcimento del danno causato da sistemi di IA. La presente direttiva non dovrebbe armonizzare gli aspetti generali della responsabilità civile disciplinati in modi diversi dalle norme nazionali in materia di responsabilità civile, come la definizione di colpa o causalità, i diversi tipi di danno che giustificano le domande di risarcimento, la distribuzione della responsabilità tra più danneggianti, il concorso di colpa, il calcolo del danno o i termini di prescrizione.

(11)La direttiva 85/374/CEE del Consiglio 35 ha già armonizzato a livello di Unione le leggi degli Stati membri in materia di responsabilità dei produttori per danno da prodotti difettosi. Tali leggi non incidono tuttavia sulle norme degli Stati membri in materia di responsabilità contrattuale o extracontrattuale (come la responsabilità connessa alla warranty (garanzia), la responsabilità per colpa o la responsabilità oggettiva) basata su motivi diversi dal difetto di un prodotto. Al tempo stesso l'obiettivo della revisione della direttiva 85/374/CEE del Consiglio è chiarire e garantire la possibilità per il danneggiato di chiedere il risarcimento del danno causato da prodotti difettosi basati sull'IA; è pertanto opportuno chiarire che le disposizioni della presente direttiva non pregiudicano i diritti che le norme nazionali di attuazione della direttiva 85/374/CEE possono riconoscere al danneggiato. Per quanto concerne il settore dei trasporti, la presente direttiva dovrebbe inoltre lasciare impregiudicato il diritto dell'Unione che disciplina la responsabilità degli operatori di trasporto.

(12)[La legge sui servizi digitali 36 ] armonizza pienamente le norme applicabili ai prestatori di servizi intermediari nel mercato interno, coprendo i rischi per la società derivanti dai servizi offerti da tali prestatori, anche in relazione ai sistemi di IA da essi utilizzati. La presente direttiva lascia impregiudicate le disposizioni della [legge sui servizi digitali] che stabiliscono un quadro completo e pienamente armonizzato per gli obblighi in materia di dovere di diligenza a carico dei prestatori di servizi di hosting in relazione al processo decisionale algoritmico, compresa l'esenzione dalla responsabilità per la diffusione di contenuti illegali caricati dai destinatari dei loro servizi qualora siano soddisfatte le condizioni previste da tale regolamento.

(13)Tranne in relazione alle presunzioni che introduce, la presente direttiva non armonizza le norme nazionali che stabiliscono a quale parte incombe l'onere della prova o quale grado di certezza sia richiesto in relazione al livello della prova. 

(14)La presente direttiva dovrebbe seguire un approccio di armonizzazione minima. Tale approccio consente all'attore di invocare norme nazionali più favorevoli nei casi in cui il danno sia stato causato da sistemi di IA. Le leggi nazionali possono quindi mantenere, ad esempio, l'inversione dell'onere della prova nel quadro della disciplina nazionale della responsabilità per colpa, oppure i regimi nazionali di responsabilità senza colpa (denominata "responsabilità oggettiva"), di cui esistono già numerose varianti nelle leggi nazionali, possibilmente applicabili ai danni causati da sistemi di IA.

(15)Dovrebbe inoltre essere garantita la coerenza con [la legge sull'IA]. È pertanto opportuno che la presente direttiva utilizzi le stesse definizioni in relazione ai sistemi di IA e ai relativi fornitori ed utenti. La presente direttiva dovrebbe inoltre riguardare unicamente le domande di risarcimento del danno causato dall'output prodotto da un sistema di IA o dalla mancata produzione di un output da parte di tale sistema per colpa di una persona, ad esempio il fornitore o l'utente ai sensi della [legge sull'IA]. Non è necessario che vi rientrino le azioni di responsabilità per danno causato da una valutazione umana seguita da un'azione o un'omissione umana nel caso in cui il sistema di IA abbia unicamente fornito informazioni o indicazioni di cui ha tenuto conto il soggetto umano. In quest'ultimo caso è possibile ricollegare il danno a un'azione o un'omissione umana, dato che l'output del sistema di IA non si è interposto tra l'azione o l'omissione umana e il danno, per cui l'accertamento del nesso di causalità non è più difficile che nelle situazioni in cui non intervengono sistemi di IA.

(16)L'accesso alle informazioni su specifici sistemi di IA ad alto rischio sospettati di aver causato danni è un fattore importante per decidere se chiedere un risarcimento e motivarne la richiesta. Inoltre, per i sistemi di IA ad alto rischio, [la legge sull'IA] stabilisce requisiti specifici in materia di documentazione, informazioni e registrazione, ma non riconosce al danneggiato il diritto di accesso a tali informazioni. È pertanto opportuno stabilire, ai fini dell'accertamento della responsabilità, norme sulla divulgazione degli elementi di prova pertinenti da parte di coloro che ne hanno la disponibilità. Ciò dovrebbe rappresentare anche un ulteriore incentivo a rispettare l'obbligo di documentare o registrare le pertinenti informazioni previsto dalla [legge sull'IA].

(17)L'elevato numero di persone normalmente coinvolte nella progettazione, nello sviluppo, nell'impiego e nel funzionamento di sistemi di IA ad alto rischio rende difficile per il danneggiato identificare la persona potenzialmente tenuta a rispondere del danno cagionato e dimostrare che ricorrono le condizioni per chiedere un risarcimento. Per consentire al danneggiato di stabilire se una domanda di risarcimento sia fondata, è opportuno riconoscere agli attori potenziali il diritto di chiedere a un organo giurisdizionale di ordinare la divulgazione degli elementi di prova pertinenti prima di presentare una domanda di risarcimento del danno. Tale divulgazione dovrebbe essere ordinata solo se l'attore potenziale presenta fatti e informazioni sufficienti a suffragare la plausibilità di una domanda di risarcimento del danno e se ha previamente chiesto al fornitore, alla persona soggetta agli obblighi del fornitore o all'utente di divulgare gli elementi di prova di cui dispone in merito a specifici sistemi di IA ad alto rischio sospettati di aver causato il danno e tale richiesta è stata rifiutata. Disporre la divulgazione degli elementi di prova dovrebbe permettere di ridurre i contenziosi inutili ed evitare ai potenziali contendenti i costi derivanti da domande ingiustificate o che rischiano di essere infruttuose. Il rifiuto opposto dal fornitore, dalla persona soggetta agli obblighi del fornitore o dall'utente prima che venga chiesto all'organo giurisdizionale di ordinare la divulgazione degli elementi di prova non dovrebbe far scattare la presunzione di non conformità ai pertinenti obblighi di diligenza da parte della persona che rifiuta di divulgare gli elementi di prova.

(18)Il fatto che la divulgazione degli elementi di prova sia limitata ai sistemi di IA ad alto rischio è coerente con la [legge sull'IA], che prevede determinati obblighi specifici di documentazione, informazione e conservazione delle registrazioni per gli operatori coinvolti nella progettazione, nello sviluppo e nell'impiego di sistemi di IA ad alto rischio. Tale coerenza garantisce inoltre la necessaria proporzionalità evitando che gli operatori di sistemi di IA con un livello di rischio basso o nullo siano soggetti a un obbligo di documentazione delle informazioni simile a quello imposto dalla [legge sull'IA] per i sistemi di IA ad alto rischio.

(19)Gli organi giurisdizionali nazionali dovrebbero poter ordinare, nel corso di un procedimento civile, la divulgazione o la conservazione degli elementi di prova pertinenti relativi ai danni causati da sistemi di IA ad alto rischio a opera di persone già soggette all'obbligo di documentare o registrare informazioni a norma della [legge sull'IA], siano esse fornitori, persone soggette agli stessi obblighi dei fornitori o utenti di un sistema di IA, in qualità di convenuti o di terzi in relazione alla domanda. In determinate situazioni gli elementi di prova pertinenti per la causa sono detenuti da entità estranee all'azione di risarcimento del danno, ma che hanno l'obbligo di documentare o registrare tali prove a norma della [legge sull'IA]. È pertanto necessario stabilire le condizioni alle quali può essere ordinato a tali soggetti terzi di divulgare gli elementi di prova pertinenti.

(20)Per mantenere un equilibrio tra gli interessi delle parti coinvolte nella domanda di risarcimento del danno e quelli dei terzi interessati, gli organi giurisdizionali dovrebbero ordinare la divulgazione degli elementi di prova solo ove ciò sia necessario e proporzionato per sostenere la domanda o la potenziale domanda di risarcimento del danno. A tale proposito la divulgazione dovrebbe riguardare solo gli elementi di prova necessari per la decisione sulla domanda di risarcimento del danno, ad esempio solo le parti delle registrazioni o dei set di dati necessari per dimostrare la non conformità a un requisito stabilito dalla [legge sull'IA]. Per garantire la proporzionalità di tali misure di divulgazione o di conservazione, gli organi giurisdizionali nazionali dovrebbero disporre di mezzi efficaci per tutelare i legittimi interessi di tutte le parti coinvolte, ad esempio la protezione dei segreti commerciali ai sensi della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio 37 e delle informazioni riservate, come le informazioni relative alla sicurezza pubblica o nazionale. Per quanto riguarda i segreti commerciali o i presunti segreti commerciali indicati dalle autorità giudiziarie come riservati ai sensi della direttiva (UE) 2016/943, agli organi giurisdizionali nazionali dovrebbe essere conferito il potere di adottare misure specifiche per garantirne la riservatezza durante e dopo il procedimento, garantendo nel contempo un giusto e proporzionato equilibrio tra l'interesse del titolare del segreto commerciale a mantenere la segretezza e l'interesse del danneggiato. A tal fine dovrebbero essere previste misure per limitare a un numero ridotto di persone l'accesso ai documenti contenenti segreti commerciali e l'accesso alle udienze e ai relativi documenti e trascrizioni. Nel decidere in merito a tali misure, gli organi giurisdizionali nazionali dovrebbero tenere conto della necessità di garantire il diritto a un ricorso effettivo e a un giudice imparziale, dei legittimi interessi delle parti e, se del caso, di terzi, nonché di qualsiasi potenziale danno che la concessione o il rifiuto di tali misure possa causare a una delle parti o, se del caso, a terzi. Inoltre, per garantire che le misure di divulgazione nell'ambito delle domande di risarcimento del danno siano applicate in modo proporzionato nei confronti dei terzi, gli organi giurisdizionali nazionali dovrebbero ordinare ai terzi di divulgare gli elementi di prova solo se questi non possono essere ottenuti dal convenuto.

(21)Se da un lato gli organi giurisdizionali nazionali possono adottare diverse misure per far eseguire gli ordini di divulgazione degli elementi di prova, dall'altro tali misure potrebbero causare ritardi nelle azioni di risarcimento del danno, con il conseguente rischio di gravare le parti in causa di spese aggiuntive. Tali ritardi e spese aggiuntive rischiano di rendere ancora più difficile l'accesso del danneggiato a un ricorso giurisdizionale effettivo. Di conseguenza, qualora il convenuto in un'azione di risarcimento del danno non si conformi all'ordine dell'organo giurisdizionale di divulgare gli elementi di prova di cui dispone, è opportuno introdurre una presunzione di non conformità agli obblighi di diligenza che tali elementi di prova erano intesi a dimostrare. Una simile presunzione relativa ridurrà la durata del contenzioso e migliorerà l'efficienza dei procedimenti giudiziari. Il convenuto dovrebbe poter confutare tale presunzione presentando prove contrarie.

(22)Per porre rimedio alla difficoltà di dimostrare che un determinato input, di cui è responsabile la persona potenzialmente tenuta a rispondere del danno, ha provocato un determinato output del sistema di IA, che a sua volta ha causato il danno in questione, è opportuno prevedere, a determinate condizioni, una presunzione di causalità. Anche se in un'azione per colpa l'attore deve solitamente dimostrare il danno, l'azione o l'omissione umana che costituisce un comportamento colposo del convenuto e il nesso di causalità che li unisce, la presente direttiva non armonizza i criteri in base ai quali gli organi giurisdizionali nazionali accertano l'esistenza della colpa. Tali criteri rimangono disciplinati dal diritto nazionale e, ove siano armonizzati, dal diritto dell'Unione applicabile. Allo stesso modo, la presente direttiva non armonizza i criteri relativi al danno, ad esempio i tipi di danno risarcibile, che rimangono anch'essi disciplinati dal diritto nazionale e dell'Unione applicabile. Affinché si possa applicare la presunzione di causalità prevista dalla presente direttiva, è opportuno che la colpa del convenuto accertata consista in un comportamento umano attivo od omissivo non conforme a un obbligo di diligenza, stabilito dal diritto dell'Unione o nazionale, direttamente inteso a proteggere dal danno verificatosi. Tale presunzione può pertanto trovare applicazione, ad esempio, nelle domande di risarcimento del danno per lesioni fisiche se l'organo giurisdizionale accerta che la colpa del convenuto consiste nell'inosservanza delle istruzioni per l'uso intese a prevenire danni alle persone fisiche. Il mancato rispetto di obblighi di diligenza non direttamente intesi a proteggere dal danno verificatosi, ad esempio la mancata presentazione della documentazione richiesta alle autorità competenti da parte del fornitore, non comporta l'applicazione della presunzione nelle domande di risarcimento del danno per lesioni fisiche. Dovrebbe inoltre essere previsto che si possa ritenere ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema. Infine l'attore dovrebbe essere comunque tenuto a dimostrare che l'output o la mancata produzione di un output ha causato il danno.

(23)La colpa può essere accertata in relazione al mancato rispetto delle norme dell'Unione che disciplinano specificamente i sistemi di IA ad alto rischio, come i requisiti introdotti per determinati sistemi di IA ad alto rischio dalla [legge sull'IA], i requisiti che possono essere introdotti dalla futura legislazione settoriale per altri sistemi di IA ad alto rischio a norma [dell'articolo 2, paragrafo 2, della legge sull'IA], o gli obblighi di diligenza connessi a determinate attività e applicabili a prescindere dal fatto che l'IA sia utilizzata per tali attività. Al tempo stesso, la presente direttiva non crea né armonizza i requisiti o la responsabilità delle entità la cui attività è disciplinata da tali atti normativi, per cui non introduce nuove azioni di responsabilità. Per stabilire che una violazione di tali requisiti integra un comportamento colposo occorrerà basarsi sulle disposizioni delle suddette norme applicabili del diritto dell'Unione, dato che la presente direttiva non introduce nuovi requisiti né incide su quelli in vigore. Ad esempio la presente direttiva non incide sull'esenzione dalla responsabilità per i prestatori di servizi intermediari né sugli obblighi in materia di dovere di diligenza cui tali prestatori sono soggetti a norma della [legge sui servizi digitali]. Analogamente, per stabilire se le piattaforme online abbiano rispettato l'obbligo di evitare la comunicazione non autorizzata al pubblico di opere protette dal diritto d'autore sarà necessario basarsi sulla direttiva (UE) 2019/790 sul diritto d'autore e sui diritti connessi nel mercato unico digitale e su altri atti normativi dell'Unione in materia di diritto d'autore. 

(24)Nei settori non armonizzati dal diritto dell'Unione continua ad applicarsi il diritto nazionale e la colpa deve essere accertata in base al diritto nazionale applicabile. Tutti i regimi nazionali di responsabilità prevedono obblighi di diligenza e prendono come riferimento diverse espressioni del principio della condotta di una persona ragionevole, che garantisce anche il funzionamento sicuro dei sistemi di IA per evitare che siano danneggiati interessi giuridici meritevoli di tutela. Tali doveri di diligenza potrebbero ad esempio consistere nell'obbligo per gli utenti di sistemi di IA di scegliere per talune attività un determinato sistema di IA dotato di caratteristiche specifiche, o di escludere alcuni segmenti di una popolazione dall'esposizione a un determinato sistema di IA. Il diritto nazionale può inoltre introdurre obblighi specifici volti a prevenire i rischi per determinate attività, applicabili indipendentemente dal fatto che l'IA sia utilizzata per tale attività, ad esempio norme sulla circolazione stradale o obblighi specificamente concepiti per i sistemi di IA, ad esempio obblighi nazionali aggiuntivi per gli utenti di sistemi di IA ad alto rischio a norma dell'articolo 29, paragrafo 2, della [legge sull'IA]. La presente direttiva non introduce tali obblighi né incide sui criteri per l'accertamento della colpa in caso di violazione degli stessi.

(25)Anche qualora sia accertato un comportamento colposo consistente nella non conformità a un obbligo di diligenza direttamente inteso a proteggere dal danno verificatosi, non tutte le fattispecie di colpa dovrebbero comportare l'applicazione della presunzione relativa che stabilisce il nesso tra la colpa e l'output del sistema di IA. Tale presunzione dovrebbe applicarsi solo se si può ritenere ragionevolmente probabile, in base alle circostanze in cui si è verificato il danno, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema, che a sua volta ha causato il danno. Si può ad esempio ritenere ragionevolmente probabile che il comportamento colposo abbia influito sull'output o sulla mancata produzione di un output se la colpa risiede nella violazione di un obbligo di diligenza consistente nel definire l'ambito di funzionamento del sistema di IA e il danno si è verificato al di fuori di tale ambito di funzionamento. Al contrario una violazione dell'obbligo di presentare determinati documenti o di registrarsi presso un'autorità, anche se tale obbligo è previsto per una data attività o addirittura specificamente applicabile al funzionamento di un sistema di IA, non può essere ritenuta ragionevolmente idonea a influire sull'output di un sistema di IA o sulla mancata produzione di un output da parte di tale sistema.

(26)La presente direttiva riguarda la colpa consistente nella non conformità a determinati requisiti stabiliti ai capi 2 e 3 della [legge sull'IA] per i fornitori e gli utenti di sistemi di IA ad alto rischio, non conformità che può comportare, a determinate condizioni, l'applicazione di una presunzione di causalità. La legge sull'IA prevede la piena armonizzazione dei requisiti riguardanti i sistemi di IA, salvo diversa previsione esplicita ivi contenuta. Armonizza i requisiti specifici per i sistemi di IA ad alto rischio. Di conseguenza, ai fini delle azioni di risarcimento del danno in cui si applica una presunzione di causalità a norma della presente direttiva, la colpa potenziale dei fornitori o delle persone soggette agli obblighi dei fornitori a norma della [legge sull'IA] viene stabilita unicamente attraverso l'accertamento della non conformità a tali requisiti. Dato che nella pratica l'attore può avere difficoltà a dimostrare detta non conformità quando il convenuto è il fornitore del sistema di IA, in piena coerenza con la logica della [legge sull'IA] la presente direttiva dovrebbe altresì prevedere che, nel determinare se il fornitore abbia rispettato i pertinenti requisiti previsti dalla legge sull'IA di cui alla presente direttiva, si debba tenere conto delle misure adottate dal fornitore nel quadro del sistema di gestione dei rischi e dei risultati di tale sistema, ossia della decisione di adottare o non adottare determinate misure di gestione dei rischi. Il sistema di gestione dei rischi predisposto dal fornitore a norma della [legge sull'IA] è un processo iterativo continuo eseguito nel corso dell'intero ciclo di vita di un sistema di IA ad alto rischio, per mezzo del quale il fornitore garantisce la conformità ai requisiti obbligatori intesi ad attenuare i rischi e che può pertanto rappresentare un elemento utile per valutare detta conformità. La presente direttiva riguarda anche i casi di colpa degli utenti consistente nella non conformità a determinati requisiti specifici stabiliti dalla [legge sull'IA]. La colpa degli utenti di sistemi di IA ad alto rischio può inoltre essere accertata in termini di non conformità ad altri obblighi di diligenza previsti dal diritto dell'Unione o nazionale, alla luce dell'articolo 29, paragrafo 2, della [legge sull'IA].

(27)Se da un lato le caratteristiche specifiche di alcuni sistemi di IA, come l'autonomia e l'opacità, possono rendere eccessivamente difficile per l'attore soddisfare l'onere della prova, dall'altro in alcune situazioni l'attore potrebbe non trovarsi di fronte a tali difficoltà in quanto potrebbe disporre di prove e competenze sufficienti per dimostrare l'esistenza del nesso di causalità. Potrebbe essere il caso, ad esempio, dei sistemi di IA ad alto rischio in relazione ai quali l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti in forza dei requisiti di documentazione e registrazione previsti dalla [legge sull'IA]. In tali situazioni l'organo giurisdizionale non dovrebbe applicare la presunzione.

(28)La presunzione di causalità potrebbe applicarsi anche ai sistemi di IA che non sono ad alto rischio qualora l'attore incontri eccessive difficoltà probatorie. Tali difficoltà potrebbero essere valutate, per esempio, alla luce delle caratteristiche di determinati sistemi di IA, come l'autonomia e l'opacità, che nella pratica rendono estremamente difficile la spiegazione del funzionamento interno del sistema di IA e pregiudicano la capacità dell'attore di dimostrare l'esistenza del nesso di causalità tra la colpa del convenuto e l'output del sistema di IA. L'organo giurisdizionale nazionale dovrebbe applicare la presunzione nel caso in cui l'attore incontri eccessive difficoltà nel dimostrare l'esistenza del nesso di causalità in quanto si trova a dover spiegare in che modo l'azione o l'omissione umana in cui si manifesta la colpa abbia indotto il sistema di IA a produrre o non produrre un output, evento che a sua volta ha cagionato il danno. L'attore non dovrebbe tuttavia essere tenuto a spiegare né le caratteristiche del sistema di IA in questione né il modo in cui tali caratteristiche complicano l'accertamento del nesso di causalità.

(29)L'applicazione della presunzione di causalità è intesa a garantire al danneggiato un livello di protezione simile a quello riconosciuto nei casi in cui non intervengono sistemi di IA e può essere quindi più facile dimostrare l'esistenza del nesso di causalità. Non è tuttavia sempre opportuno alleggerire l'onere della prova del nesso di causalità a norma della presente direttiva nei casi in cui il convenuto non è un utente professionale, bensì un utente di sistemi di IA a fini privati. In tali circostanze, al fine di garantire un equilibrio tra gli interessi del danneggiato e quelli dell'utente non professionale, è necessario valutare se quest'ultimo possa aver contribuito, attraverso il proprio comportamento, ad aumentare il rischio che il sistema di IA abbia causato il danno. Se il fornitore del sistema di IA ha rispettato tutti gli obblighi che gli incombono e di conseguenza tale sistema è stato ritenuto sufficientemente sicuro ai fini dell'immissione sul mercato per un determinato uso da parte di utenti non professionali ed è poi stato destinato a tale uso, la semplice messa in funzionamento di tale sistema da parte di un utente non professionale non dovrebbe giustificare l'applicazione della presunzione di causalità. Nel caso di un utente non professionale che acquista un sistema di IA e si limita a metterlo in funzionamento per gli usi cui è destinato senza interferire materialmente con le condizioni di funzionamento dello stesso non dovrebbe applicarsi la presunzione di causalità stabilità dalla presente direttiva. Invece, se l'organo giurisdizionale nazionale accerta che un utente non professionale ha interferito materialmente con le condizioni di funzionamento di un sistema di IA, oppure aveva l'obbligo ed era in grado di stabilire le condizioni di funzionamento di un sistema di IA e non l'ha fatto, in tali casi dovrebbe applicarsi la presunzione di causalità, purché siano soddisfatte tutte le altre condizioni. Ciò potrebbe verificarsi, ad esempio, quando l'utente non professionale non rispetta le istruzioni per l'uso o altri obblighi di diligenza applicabili nella scelta dell'ambito di funzionamento o nella determinazione delle condizioni di funzionamento del sistema di IA. Ciò non pregiudica il fatto che il fornitore dovrebbe determinare la finalità prevista di un sistema di IA, compresi il contesto e le condizioni d'uso specifiche, ed eliminare o ridurre al minimo i rischi di tale sistema a seconda dei casi al momento della progettazione o dello sviluppo dello stesso, tenendo conto delle conoscenze e delle competenze dell'utente previsto.

(30)Poiché la presente direttiva introduce una presunzione relativa, il convenuto dovrebbe poter confutarla, in particolare dimostrando che il danno non può essere conseguenza di una sua colpa.

(31)È necessario prevedere un riesame della presente direttiva [cinque anni] dopo la fine del periodo di recepimento. Con tale riesame si dovrebbe valutare in particolare se vi sia la necessità di introdurre norme in materia di responsabilità oggettiva per le azioni avviate contro l'operatore di un sistema di IA, purché non siano già disciplinate da altre norme dell'Unione in materia di responsabilità, in particolare dalla direttiva 85/374/CEE, in combinazione con un'assicurazione obbligatoria per il funzionamento di determinati sistemi di IA, come suggerito dal Parlamento europeo 38 . Conformemente al principio di proporzionalità, è opportuno valutare tale necessità alla luce dei pertinenti sviluppi tecnologici e normativi nei prossimi anni, considerandone l'effetto e l'impatto sulla diffusione e sull'adozione dei sistemi di IA, in particolare per le PMI. Tale riesame dovrebbe tenere conto, tra l'altro, del rischio che il funzionamento di prodotti o servizi basati sull'IA arrechi un pregiudizio a importanti interessi giuridici come la vita, la salute e la proprietà di soggetti terzi inconsapevoli. Con tale riesame si dovrebbe analizzare anche l'efficacia delle misure previste dalla presente direttiva nel far fronte a tali rischi, così come lo sviluppo di adeguate soluzioni da parte del mercato assicurativo. Per garantire la disponibilità delle informazioni richieste per svolgere tale riesame, è necessario raccogliere dati e altre evidenze pertinenti in merito alle materie in questione.

(32)Tenuto conto della necessità di apportare adeguamenti alle norme nazionali in materia di responsabilità civile e di procedura civile per agevolare la diffusione di prodotti e servizi basati sull'IA in condizioni favorevoli sul mercato interno e per promuovere l'accettazione sociale e la fiducia dei consumatori nelle tecnologie dell'IA e nel sistema giudiziario, è opportuno fissare un termine non superiore a [due anni dall'entrata in vigore] della presente direttiva per l'adozione delle necessarie misure di recepimento da parte degli Stati membri.

(33)Conformemente alla dichiarazione politica comune del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi 39 , gli Stati membri si sono impegnati ad accompagnare, in casi giustificati, la notifica delle loro misure di recepimento con uno o più documenti che chiariscano il rapporto tra gli elementi costitutivi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

Articolo 1

Oggetto e ambito di applicazione

1.La presente direttiva stabilisce norme comuni per quanto riguarda:

(a)la divulgazione di elementi di prova relativi a sistemi di intelligenza artificiale (IA) ad alto rischio per consentire all'attore in un'azione civile di responsabilità extracontrattuale per colpa di motivare adeguatamente la domanda di risarcimento del danno;

(b)l'onere della prova nel quadro delle azioni civili di responsabilità extracontrattuale per colpa avviate dinanzi agli organi giurisdizionali nazionali per ottenere il risarcimento del danno causato da un sistema di IA.

2.La presente direttiva si applica alle azioni civili di responsabilità extracontrattuale per colpa volte a ottenere il risarcimento del danno causato da un sistema di IA dopo [la fine del periodo di recepimento].

La presente direttiva non si applica alla responsabilità penale.

3.La presente direttiva non pregiudica:

(a)le norme del diritto dell'Unione che disciplinano i criteri di responsabilità nel settore dei trasporti;

(b)i diritti che le norme nazionali di attuazione della direttiva 85/374/CEE possono riconoscere al danneggiato;

(c)le esenzioni dalla responsabilità e gli obblighi in materia di dovere di diligenza stabiliti dalla [legge sui servizi digitali] e

(d)le norme nazionali che stabiliscono a quale parte incombe l'onere della prova e qual è il grado di certezza richiesto in relazione al livello della prova o che definiscono il concetto di colpa, tranne in relazione a quanto previsto agli articoli 3 e 4.

4.Gli Stati membri possono adottare o mantenere in vigore norme nazionali più favorevoli all'attore in relazione all'esigenza di motivare una domanda presentata nel quadro di un'azione civile di responsabilità extracontrattuale per ottenere il risarcimento del danno causato da un sistema di IA, a condizione che tali norme siano compatibili con il diritto dell'Unione.

Articolo 2

Definizioni

Ai fini della presente direttiva si applicano le definizioni seguenti:

(1)"sistema di IA": un sistema di IA quale definito [all'articolo 3, punto 1, della legge sull'IA];

(2)"sistema di IA ad alto rischio": un sistema di IA di cui [all'articolo 6 della legge sull'IA];

(3)"fornitore": un fornitore quale definito [all'articolo 3, punto 2, della legge sull'IA];

(4)"utente": un utente quale definito [all'articolo 3, punto 4, della legge sull'IA];

(5)"domanda di risarcimento del danno": una domanda nel quadro di un'azione civile di responsabilità extracontrattuale per colpa volta a ottenere il risarcimento del danno causato dall'output di un sistema di IA o dalla mancata produzione di un output che avrebbe invece dovuto essere prodotto da tale sistema;

(6)"attore": la persona che presenta una domanda di risarcimento del danno e che:

(a)è stata danneggiata dall'output di un sistema di IA o dalla mancata produzione di un output che avrebbe invece dovuto essere prodotto da tale sistema;

(b)è subentrata o si è surrogata nei diritti del danneggiato per legge o disposizione contrattuale; oppure

(c)agisce per conto di uno o più danneggiati conformemente al diritto dell'Unione o nazionale;

7)    "attore potenziale": una persona fisica o giuridica che sta valutando la possibilità di presentare una domanda di risarcimento del danno, senza averla ancora presentata;

8)    "convenuto": la persona contro la quale è stata presentata una domanda di risarcimento del danno;

9)    "obbligo di diligenza": il livello di condotta richiesto, stabilito dal diritto nazionale o dell'Unione, al fine di evitare danni agli interessi giuridici riconosciuti dal diritto nazionale o dell'Unione, tra cui la vita, l'integrità fisica, la proprietà e la tutela dei diritti fondamentali.

Articolo 3

Divulgazione degli elementi di prova e presunzione relativa di non conformità

1.Gli Stati membri provvedono affinché, su richiesta di un attore potenziale che, dopo aver chiesto al fornitore, a una persona soggetta agli obblighi del fornitore a norma [dell'articolo 24 o dell'articolo 28, paragrafo 1, della legge sull'IA] o a un utente di divulgare gli elementi di prova pertinenti di cui dispone in relazione a un determinato sistema di IA ad alto rischio che si sospetta abbia cagionato il danno, si sia visto opporre un rifiuto, oppure su richiesta dell'attore, gli organi giurisdizionali nazionali abbiano il potere di ordinare la divulgazione di detti elementi di prova da parte di tali persone.

L'attore potenziale deve presentare a sostegno di tale richiesta fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento del danno.

2.Nel quadro di una domanda di risarcimento del danno, gli organi giurisdizionali nazionali ordinano a una delle persone elencate al paragrafo 1 di divulgare gli elementi di prova solo se l'attore ha previamente compiuto ogni sforzo proporzionato per ottenere tali elementi di prova dal convenuto.

3.Gli Stati membri provvedono affinché gli organi giurisdizionali nazionali, su richiesta dell'attore, abbiano il potere di ordinare misure specifiche di conservazione degli elementi di prova di cui al paragrafo 1.

4.Gli organi giurisdizionali nazionali limitano la divulgazione degli elementi di prova a quanto necessario e proporzionato per sostenere una domanda o potenziale domanda di risarcimento del danno e limitano la conservazione di tali elementi di prova a quanto necessario e proporzionato per sostenere tale domanda di risarcimento del danno.

Nel valutare la proporzionalità di un ordine di divulgazione o di conservazione degli elementi di prova, gli organi giurisdizionali nazionali tengono conto dei legittimi interessi di tutte le parti, compresi i terzi interessati, specialmente in relazione alla protezione dei segreti commerciali ai sensi dell'articolo 2, punto 1, della direttiva (UE) 2016/943, e delle informazioni riservate, come le informazioni relative alla sicurezza pubblica o nazionale.

Gli Stati membri provvedono affinché, qualora sia ordinata la divulgazione di un segreto commerciale o presunto segreto commerciale che l'organo giurisdizionale ha indicato come riservato ai sensi dell'articolo 9, paragrafo 1, della direttiva (UE) 2016/943, gli organi giurisdizionali nazionali, d'ufficio o su richiesta debitamente motivata di una parte, abbiano il potere di adottare misure specifiche necessarie per tutelarne la riservatezza se tali elementi di prova vengono utilizzati o se ad essi è fatto riferimento nel procedimento giudiziario.

Gli Stati membri provvedono inoltre affinché la persona cui è stato ordinato di divulgare o conservare gli elementi di prova di cui al paragrafo 1 o 2 disponga di adeguati mezzi procedurali per impugnare tali ordinanze.

5.Se il convenuto non si conforma all'ordinanza con cui l'organo giurisdizionale nazionale, nel contesto di una domanda di risarcimento del danno, gli ingiunge di divulgare o conservare gli elementi di prova a sua disposizione a norma del paragrafo 1 o 2, l'organo giurisdizionale nazionale presume, in particolare nelle circostanze di cui all'articolo 4, paragrafo 2 o 3, la non conformità a un pertinente obbligo di diligenza da parte del convenuto, che gli elementi di prova richiesti erano intesi a dimostrare ai fini della domanda di risarcimento del danno.

Il convenuto ha il diritto di confutare tale presunzione.

Articolo 4

Presunzione relativa del nesso di causalità in caso di colpa

1.Fatti salvi i requisiti di cui al presente articolo, ai fini dell'applicazione delle norme in materia di responsabilità alle domande di risarcimento del danno gli organi giurisdizionali nazionali presumono l'esistenza del nesso di causalità tra la colpa del convenuto e l'output prodotto da un sistema di IA o la mancata produzione di un output da parte di tale sistema se sono soddisfatte tutte le condizioni seguenti:

(a)l'attore ha dimostrato o l'organo giurisdizionale ha presunto, a norma dell'articolo 3, paragrafo 5, la colpa del convenuto o di una persona della cui condotta il convenuto è responsabile, consistente nella non conformità a un obbligo di diligenza previsto dal diritto dell'Unione o nazionale e direttamente inteso a proteggere dal danno verificatosi;

(b)si può ritenere ragionevolmente probabile, sulla base delle circostanze del caso, che il comportamento colposo abbia influito sull'output prodotto dal sistema di IA o sulla mancata produzione di un output da parte di tale sistema;

(c)l'attore ha dimostrato che il danno è stato causato dall'output prodotto dal sistema di IA o dalla mancata produzione di un output da parte di tale sistema.

2.In caso di domanda di risarcimento del danno presentata contro un fornitore di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA] o una persona soggetta agli obblighi del fornitore a norma [dell'articolo 24 o dell'articolo 28, paragrafo 1, della legge sull'IA], le condizioni di cui al paragrafo 1, lettera a), sono soddisfatte unicamente se l'attore ha dimostrato che il fornitore o, se del caso, la persona soggetta agli obblighi del fornitore non ha rispettato uno dei requisiti stabiliti da tali capi e indicati di seguito, tenendo conto delle misure adottate nel quadro del sistema di gestione dei rischi e dei relativi risultati a norma [dell'articolo 9 e dell'articolo 16, lettera a), della legge sull'IA]:

(a) il sistema di IA è un sistema che utilizza tecniche che prevedono l'uso di dati per l'addestramento di modelli e che non è stato sviluppato sulla base di set di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui [all'articolo 10, paragrafi da 2 a 4, della legge sull'IA];

(b)il sistema di IA non è stato progettato e sviluppato in modo da soddisfare gli obblighi di trasparenza di cui [all'articolo 13 della legge sull'IA];

(c)il sistema di IA non è stato progettato e sviluppato in modo da consentire una supervisione efficace da parte di persone fisiche durante il periodo in cui il sistema di IA è in uso a norma [dell'articolo 14 della legge sull'IA];

(d)il sistema di IA non è stato progettato e sviluppato in modo da conseguire, alla luce della sua finalità prevista, un adeguato livello di accuratezza, robustezza e cibersicurezza a norma [dell'articolo 15 e dell'articolo 16, lettera a), della legge sull'IA]; oppure

(e)non sono state immediatamente adottate le azioni correttive necessarie per rendere il sistema di IA conforme ai requisiti stabiliti [dal titolo III, capo 2, della legge sull'IA] o per ritirarlo o richiamarlo, a seconda dei casi, a norma [dell'articolo 16, lettera g), e dell'articolo 21 della legge sull'IA].

3.In caso di domanda di risarcimento del danno presentata contro un utente di un sistema di IA ad alto rischio soggetto ai requisiti stabiliti al titolo III, capi 2 e 3, della [legge sull'IA], la condizione di cui al paragrafo 1, lettera a), è soddisfatta se l'attore dimostra che l'utente:

(a)non ha rispettato l'obbligo di utilizzare il sistema di IA o di monitorarne il funzionamento conformemente alle istruzioni per l'uso che accompagnano il sistema o, se del caso, l'obbligo di sospenderne o interromperne l'uso a norma [dell'articolo 29 della legge sull'IA]; oppure

(b)ha esposto il sistema di IA a dati di input sotto il suo controllo che non sono pertinenti alla luce della finalità prevista del sistema a norma [dell'articolo 29, paragrafo 3, della legge sull'IA].

4.In caso di domanda di risarcimento del danno riguardante un sistema di IA ad alto rischio, l'organo giurisdizionale nazionale non applica la presunzione di cui al paragrafo 1 se il convenuto dimostra che l'attore può ragionevolmente accedere a elementi di prova e competenze sufficienti per dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.

5.In caso di domanda di risarcimento del danno riguardante un sistema di IA che non è ad alto rischio, la presunzione di cui al paragrafo 1 si applica solo se l'organo giurisdizionale nazionale ritiene eccessivamente difficile per l'attore dimostrare l'esistenza del nesso di causalità di cui al paragrafo 1.

6.In caso di domanda di risarcimento del danno presentata contro un convenuto che ha utilizzato il sistema di IA nel corso di un'attività personale non professionale, la presunzione di cui al paragrafo 1 si applica solo se il convenuto ha interferito materialmente con le condizioni di funzionamento del sistema di IA o se il convenuto aveva l'obbligo ed era in grado di determinare le condizioni di funzionamento del sistema di IA e non l'ha fatto.

7.Il convenuto ha il diritto di confutare la presunzione di cui al paragrafo 1.

Articolo 5

Valutazione e revisione mirata

1.Entro il [DATA cinque anni dopo la fine del periodo di recepimento] la Commissione riesamina l'applicazione della presente direttiva e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione corredata, se del caso, di una proposta legislativa.

2.La relazione esamina gli effetti degli articoli 3 e 4 sul conseguimento degli obiettivi perseguiti dalla presente direttiva. Dovrebbe valutare in particolare l'adeguatezza delle norme in materia di responsabilità oggettiva per le domande di risarcimento presentate contro gli operatori di determinati sistemi di IA, purché non siano già disciplinate da altre norme dell'Unione in materia di responsabilità, ed esaminare la necessità di una copertura assicurativa, tenendo conto nel contempo dell'effetto e dell'impatto sulla diffusione e sull'adozione dei sistemi di IA, in particolare per le PMI.

3.La Commissione istituisce un programma di monitoraggio per la preparazione della relazione a norma dei paragrafi 1 e 2, stabilendo le modalità e la periodicità della raccolta dei dati e delle altre evidenze richieste. Il programma specifica le iniziative che la Commissione e gli Stati membri devono adottare ai fini della raccolta e dell'analisi dei dati e delle altre evidenze. Ai fini di tale programma, gli Stati membri comunicano alla Commissione i dati e le evidenze pertinenti entro il [31 dicembre del secondo anno completo successivo alla fine del periodo di recepimento] ed entro la fine di ogni anno successivo.

Articolo 6

Modifica della direttiva (UE) 2020/1828

All'allegato I della direttiva (UE) 2020/1828 40 è aggiunto il seguente punto 67:

"(67) Direttiva (UE).../... del Parlamento europeo e del Consiglio, del ..., relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale) (GU L […] del […], pag. […]).".

Articolo 7

Recepimento

1.Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro [due anni dalla sua entrata in vigore]. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.

2.Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

Articolo 8

Entrata in vigore

La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Articolo 9

Destinatari

Gli Stati membri sono destinatari della presente direttiva.

Fatto a Bruxelles, il

(1)   Indagine sulla diffusione delle tecnologie basate sull'intelligenza artificiale tra le imprese europee, Ipsos 2020, relazione finale, pag. 58
( https://op.europa.eu/en/publication-detail/-/publication/f089bbae-f0b0-11ea-991b-01aa75ed71a1 ).

(2)    https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf

(3)   Libro bianco sull'intelligenza artificiale - Un approccio europeo all'eccellenza e alla fiducia, del 19.2.2020 (COM(2020) 65 final).

(4)   Relazione della Commissione al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo sulle implicazioni dell'intelligenza artificiale, dell'Internet delle cose e della robotica in materia di sicurezza e di responsabilità, del 19.2.2020 (COM(2020) 64 final).

(5)   Risoluzione del Parlamento europeo del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale (2020/2014(INL)).

(6)   Risoluzione del Parlamento europeo del 3 maggio 2022 sull'intelligenza artificiale in un'era digitale (2020/2266 (INI)).

(7)   Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) (COM(2021) 206 final).

(8)   Solo un numero limitato di casi di utilizzo dell'IA è espressamente vietato dalla legge sull'IA.

(9)   Commissione europea, SWD (2021) 84 final, Valutazione d'impatto che accompagna la legge sull'intelligenza artificiale, pag. 88.

(10)   Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla sicurezza generale dei prodotti (COM/2021/346 final).

(11)   Proposta di regolamento del Parlamento europeo e del Consiglio sui prodotti macchina (COM(2021) 202 final).

(12)   Regolamento delegato (UE) 2022/30 della Commissione, del 29 ottobre 2021, che integra la direttiva 2014/53/UE del Parlamento europeo e del Consiglio per quanto riguarda l'applicazione dei requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), di tale direttiva (GU L 7 del 12.1.2022, pag. 6).

(13)   Comunicazione della Commissione, Plasmare il futuro digitale dell'Europa (COM(2020) 67 final).

(14)   Proposta di regolamento del Parlamento europeo e del Consiglio relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (COM(2022) 454 final).

(15)   Comunicazione della Commissione, Una strategia europea per i dati (COM/2020/66 final).

(16)   Comunicazione della Commissione al Parlamento europeo, al Consiglio europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni: Il Green Deal europeo (COM(2019) 640 final).

(17)   Deloitte, Study to support the Commission’s IA on liability for artificial intelligence, 2021 ("studio economico").

(18)   Strategia nazionale per l'intelligenza artificiale della Repubblica ceca, 2019: https://www.mpo.cz/assets/en/guidepost/for-the-media/press-releases/2019/5/NAIS_eng_web.pdf ; AI Watch, Strategie nazionali sull'intelligenza artificiale — Una prospettiva europea, edizione 2021 — una relazione JRC-OCSE: https://op.europa.eu/en/publication-detail/-/publication/619fd0b5-d3ca-11eb-895a-01aa75ed71a1 , pag. 41.

(19)   2025 Strategia per l’innovazione tecnologica e la digitalizzazione del Paese: https://assets.innovazione.gov.it/1610546390-midbook2025.pdf .

(20)   Deloitte, Study to support the Commission’s IA on liability for artificial intelligence, 2021, pag. 96.

(21)   Cfr. Polityka Rozwoju Sztucznej. Inteligencji w Polsce na lata 2019 – 2027 (Politica di sviluppo dell'intelligenza artificiale in Polonia per il periodo 2019-2027) ( www.gov.pl/attachment/0aa51cd5-b934-4bcb-8660-bfecb20ea2a9 ), pag. 102.

(22)   AI Portugal 2030: https://www.incode2030.gov.pt/sites/default/files/julho_incode_brochura.pdf ; AI Watch, op. cit., pag. 113.

(23)   In primo luogo, responsabilità oggettiva, inversione dell'onere della prova o alleggerimento dell'onere della prova sotto forma di presunzioni assolute o relative.

(24)   Documenti consultabili al seguente indirizzo: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12979-Civil-liability-adapting-liability-rules-to-the-digital-age-and-artificial-intelligence/public-consultation_it .

(25)   Responsabilità per l'intelligenza artificiale e altre tecnologie digitali emergenti, novembre 2019, https://op.europa.eu/it/publication-detail/-/publication/1c5e30be-1197-11ea-8c1f-01aa75ed71a1 .

(26)   Karner/Koch/Geistfeld, Comparative Law Study on Civil Liability for Artificial Intelligence, 2021, https://op.europa.eu/it/publication-detail/-/publication/8a32ccc3-0f83-11ec-9151-01aa75ed71a1 .

(27)   Kantar, Behavioural Study on the link between challenges of Artificial Intelligence for Member States’ civil liability rules and consumer attitudes towards AI-enabled products and services, relazione finale 2021.

(28)   Deloitte, Study to support the Commission’s IA on liability for artificial intelligence, 2021.

(29)   GU C […] del […], pag. […].

(30)   GU C […] del […], pag. […].

(31)   [Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) COM(2021) 206 final].

(32)   [Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla sicurezza generale dei prodotti (COM(2021) 346 final)].

(33)   [Proposta di regolamento del Parlamento europeo e del Consiglio sui prodotti macchina (COM(2021) 202 final)].

(34)   Regolamento delegato (UE) 2022/30 della Commissione, del 29 ottobre 2021, che integra la direttiva 2014/53/UE del Parlamento europeo e del Consiglio per quanto riguarda l'applicazione dei requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), di tale direttiva (GU L 7 del 12.1.2022, pag. 6).

(35)   Direttiva 85/374/CEE del Consiglio, del 25 luglio 1985, relativa al ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di responsabilità per danno da prodotti difettosi (GU L 210 del 7.8.1985, pag. 29).

(36)   [Proposta di regolamento del Parlamento europeo e del Consiglio relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) (COM(2020) 825 final)].

(37)   Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1).

(38)   Risoluzione del Parlamento europeo, del 20 ottobre 2020, recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale (2020/2014 (INL)) (GU C 404 del 6.10.2021, pag. 107).

(39)   GU C 369 del 17.12.2011, pag. 14.

(40)   Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).