Premessa

L’avvento dell’Intelligenza Artificiale (AI) ha inaugurato una nuova era di innovazione, sollevando al contempo interrogativi giuridici di fondamentale importanza, primo tra tutti quello relativo all’imputazione della responsabilità per i danni che tali sistemi possono cagionare.

Con l’introduzione del Regolamento (UE) 2024/1689, noto come AI Act, e delle normative nazionali di recepimento (legge 132/2025), il legislatore ha inteso costruire un sistema di tutela multilivello che, pur promuovendo lo sviluppo tecnologico, mantiene saldamente la responsabilità in capo a soggetti giuridici determinati: il principio cardine, chiaramente enunciato, è che la responsabilità non viene trasferita alla macchina, ma rimane ancorata ai produttori, fornitori o utilizzatori finali.

È opportuno segnalare altresì che, parallelamente ai lavori sull’AI Act, era in corso di elaborazione una proposta di direttiva sulla responsabilità per l’intelligenza artificiale (AI Liability Directive), successivamente ritirata dalla Commissione europea. Tale scelta ha lasciato scoperto il versante della responsabilità extracontrattuale, affidando agli ordinamenti nazionali e alla giurisprudenza il compito di adattare le regole esistenti ai nuovi scenari tecnologici.

La responsabilità del Provider

Al centro del nuovo impianto normativo si colloca la figura del Provider (cioè il produttore o fornitore del sistema di AI), la cui responsabilità per i danni derivanti da sistemi di AI difettosi e/o insicuri assume un ruolo principale.

Questa disciplina si innesta sul solco già tracciato dalla normativa in materia di responsabilità da prodotto difettoso, contenuta nel Codice del Consumo, che sancisce la responsabilità del produttore per il danno cagionato da difetti del suo prodotto. La novità risiede nell’estensione esplicita di tale regime a beni immateriali come software e algoritmi, considerati a tutti gli effetti “prodotti” ai fini della tutela del danneggiato.

In questo contesto, la nozione di “difetto” si arricchisce di nuove sfumature: non si tratta più soltanto di un vizio di fabbricazione o di progettazione in senso tradizionale, ma anche di carenze strettamente connesse alla natura dell’AI. Un sistema può essere considerato difettoso, ad esempio, per la scarsa qualità dei dati utilizzati per il suo addestramento, che può condurre a risultati distorti e discriminatori, oppure per una mancanza di trasparenza che impedisce all’utente di comprendere la logica sottostante a una decisione automatizzata.

L’AI Act, infatti, impone al Provider di sistemi ad alto rischio una serie di stringenti requisiti, che includono:

• la gestione dei rischi: il Provider deve stabilire un sistema di gestione dei rischi per tutta la durata del ciclo di vita del sistema di AI;
• la qualità dei dati: i set di dati usati per l’addestramento devono essere pertinenti, rappresentativi e di alta qualità per minimizzare i rischi e i risultati discriminatori;
• la trasparenza e la spiegabilità: l’utente deve poter comprendere il funzionamento del sistema e la logica sottostante a una decisione automatizzata;
• la robustezza, l’accuratezza e la cibersicurezza: i sistemi devono essere resilienti contro tentativi di alterazione e garantire un adeguato livello di sicurezza.

La mancata adozione di queste misure preventive e di controllo, previste come obbligatorie, può integrare la difettosità del sistema e fondare la pretesa risarcitoria del danneggiato.

Nel descritto quadro normativo, il Provider può essere esonerato da responsabilità provando una delle circostanze elencate nell’articolo 118 del Codice del Consumo. Tra queste, la più rilevante nel contesto dell’AI è il c.d. “rischio da sviluppo”, secondo cui la responsabilità è esclusa se lo stato delle conoscenze scientifiche e tecniche, al momento in cui il Provider ha messo in circolazione il prodotto, non permetteva ancora di considerare il prodotto come difettoso. L’applicabilità di questa esimente ai sistemi di AI auto-apprendenti (machine learning) sarà uno dei nodi cruciali che la giurisprudenza dovrà sciogliere, data la natura evolutiva e talvolta imprevedibile di tali tecnologie.

La responsabilità del Deployer

La catena della responsabilità non si esaurisce, però, con la figura del Provider. La nuova normativa investe anche il Deployer (cioè l’utilizzatore di un sistema di AI) di un ruolo attivo e di precisi doveri, allontanandolo dalla posizione di mero fruitore passivo della tecnologia.

Il principio cardine che governa la posizione del Deployer è quello della “supervisione umana”: l’affidamento cieco all’output della macchina non è più ammissibile; al contrario, il Deployer ha il dovere di conoscere il funzionamento del sistema, di valutarne criticamente le indicazioni e di mantenere il controllo finale sulla decisione.

Questa impostazione trova applicazione concreta in settori ad alto impatto sui diritti delle persone. In ambito medico, ad esempio, il professionista sanitario che si avvale di un sistema di AI per il supporto diagnostico non viene spogliato della propria responsabilità professionale: l’algoritmo è uno strumento di ausilio, ma la valutazione clinica e la decisione terapeutica finale, con tutte le responsabilità che ne conseguono ai sensi degli articoli 2043 e 2236 del codice civile, rimangono di sua esclusiva competenza. Analogamente, nel settore finanziario, un’eventuale discriminazione algoritmica nella concessione di un credito non può essere giustificata adducendo la natura automatizzata del processo, ma configura una violazione degli obblighi di buona fede contrattuale da parte dell’istituto che impiega il sistema, potendo dar luogo a responsabilità risarcitoria e all’irrogazione di sanzioni da parte delle Autorità di vigilanza.

Il diritto dell’interessato di opporsi ad una decisione basata unicamente su un trattamento automatizzato e di richiedere un intervento umano, già sancito dall’articolo 22 del GDPR e confermato dalla nuova legislazione, costituisce dunque un fondamentale presidio a garanzia dell’individuo e, al contempo, un monito per il Deployer ad implementare procedure di revisione efficaci e a non abdicare al proprio ruolo decisionale. La responsabilità del Deployer può sorgere, quindi, non solo da un uso scorretto del sistema, ma anche da un’omessa o negligente supervisione dei suoi risultati.

Inoltre, è interessante notare che, ai sensi dell’articolo 25 dell’AI Act, il Deployer può essere considerato Provider a tutti gli effetti qualora apporti modifiche sostanziali al sistema di AI originario o ne modifichi la finalità in modo tale da trasformarlo in un sistema di AI ad alto rischio. Tale circostanza determina il subentro del Deployer negli obblighi previsti per il Provider, soprattutto nei casi in cui l’intervento trasformi un sistema a basso rischio in un sistema ad alto rischio. In queste situazioni, la corretta delimitazione delle rispettive responsabilità tra Provider originario e Deployer che abbia assunto funzioni proprie del Provider assumerà un rilievo centrale nella prassi applicativa.

La tipologia e la prova del danno risarcibile

Un ulteriore e complesso profilo giuridico riguarda la natura e la prova del danno risarcibile, specialmente quando questo non ha carattere puramente patrimoniale.

Poiché molti sistemi di AI operano attraverso il trattamento di dati personali, le violazioni della normativa sull’AI si intrecciano inevitabilmente con quelle del GDPR. L’articolo 82 del GDPR riconosce a chiunque subisca un danno materiale o immateriale a causa di una violazione del regolamento il diritto a ottenerne il risarcimento. La Corte di Giustizia dell’Unione Europea ha fornito un’interpretazione estensiva della nozione di “danno immateriale”, chiarendo che anche il solo timore di un potenziale utilizzo abusivo dei suoi dati personali può costituire un danno risarcibile, a condizione che sia fondato e non meramente ipotetico. La Corte ha inoltre specificato che il diritto al risarcimento ha una funzione puramente compensativa e non punitiva, e che anche un danno di non grave entità può essere risarcito, purché sia effettivo e provato dall’interessato.

Questa visione si pone in una dialettica complessa con l’orientamento della giurisprudenza italiana, la quale, per il risarcimento del danno non patrimoniale, tende a richiedere il superamento di una soglia minima di offensività, escludendo dal novero dei pregiudizi risarcibili meri disagi, fastidi o ansie che non raggiungano un livello di seria gravità.

L’armonizzazione di questi due approcci nel contesto specifico dei danni derivanti dall’uso dell’AI sarà un compito cruciale per gli interpreti, chiamati a garantire una tutela effettiva dei diritti degli interessati.

Un ulteriore ambito di riflessione concerne la responsabilità connessa agli obblighi di trasparenza previsti dall’articolo 50 dell’AI Act, particolarmente rilevanti per i sistemi di AI generativa e per i Chatbot, oggi tra i più diffusi. Sul punto, il Regolamento impone che l’utente sia chiaramente informato quando interagisce con un sistema di AI o quando un contenuto è generato o manipolato artificialmente. Di particolare interesse è il comma 4, secondo paragrafo, dell’articolo in esame, che estende tale obbligo ai Deployer di sistemi di AI impiegati per generare o modificare testi destinati a informare il pubblico su questioni di interesse generale, imponendo di rendere noto che il testo è stato prodotto o alterato artificialmente. L’obbligo viene meno solo quando il contenuto sia sottoposto a un processo di revisione umana o di controllo editoriale e una persona fisica o giuridica assuma la responsabilità editoriale della pubblicazione.

Anche sotto quest’ultimo profilo, pertanto, emergono profili di responsabilità, tanto per il Provider quanto per il Deployer, in caso di mancato rispetto dei doveri informativi e di trasparenza verso l’utente finale.

Conclusioni: verso una “compliance by design”

In conclusione, l’architettura normativa europea e nazionale sull’AI delinea un modello di responsabilità antropocentrico, che rifiuta scorciatoie deresponsabilizzanti e richiama tutti gli attori della filiera tecnologica ai propri doveri: per i produttori, la strada tracciata è quella di una “compliance by design”, che integra la conformità normativa e la tutela dei diritti fin dalle prime fasi di progettazione e sviluppo; per gli utilizzatori, la chiave risiede nella vigilanza critica e nella consapevolezza.

Questo sistema integrato, che combina la responsabilità civile con presidi di vigilanza amministrativa e sanzioni dissuasive, mira a creare un ambiente digitale affidabile, in cui l’inarrestabile progresso dell’AI possa coniugarsi con il rispetto e la protezione dei diritti fondamentali.

Si osserva infine che la maggior parte dei sistemi di AI oggi utilizzati si basa su Large Language Models (LLM) sviluppati da grandi Provider globali. È quindi fondamentale, anche per le imprese e i professionisti che integrano tali modelli nei propri prodotti o servizi, verificare attentamente le condizioni contrattuali dei Provider, privilegiando quelli che offrono maggiori garanzie in termini di responsabilità, sicurezza dei dati e trasparenza.