Direttiva (UE) 2024/2853: responsabilità per software e intelligenza artificiale

Direttiva UE 2024 2853 responsabilita software e intelligenza artificiale

La Direttiva (UE) 2024/2853 estende la responsabilità oggettiva da prodotti difettosi al software e all’intelligenza artificiale. Questo articolo approfondisce le implicazioni specifiche per chi sviluppa, distribuisce o integra software — inclusi sistemi di IA — nell’ambito della propria attività. Per la panoramica generale della direttiva, incluse definizioni, soggetti obbligati e regime transitorio, consulta la guida introduttiva alla Direttiva (UE) 2024/2853.

Il software è un prodotto: cosa significa in pratica

La direttiva equipara formalmente il software a un prodotto fisico ai fini della responsabilità oggettiva. Rientrano nella definizione sistemi operativi, firmware, applicazioni, programmi per computer e sistemi di intelligenza artificiale, indipendentemente dal canale di distribuzione: installazione locale, cloud, SaaS o integrazione in un dispositivo fisico.

Sono esclusi il software libero e open source sviluppato o distribuito al di fuori di un’attività commerciale, il mero codice sorgente e i file multimediali come gli e-book. Per un’analisi dettagliata dei prodotti digitali coperti, vedi prodotti digitali e Direttiva (UE) 2024/2853.

La conseguenza pratica è che il danneggiato non deve provare la colpa del produttore: è sufficiente dimostrare il difetto, il danno e il nesso causale.

Responsabilità post-vendita e aggiornamenti di sicurezza

La responsabilità del produttore di software non si esaurisce con la distribuzione del prodotto. Finché il fabbricante mantiene la capacità di fornire aggiornamenti — direttamente o tramite terzi — il prodotto resta sotto il suo controllo.

Questo significa che omettere aggiornamenti di sicurezza necessari può rendere il prodotto difettoso anche se al momento della distribuzione era conforme. La responsabilità si estende inoltre ai difetti introdotti da aggiornamenti o modifiche successive autorizzate dal fabbricante stesso.

Per le organizzazioni che vogliono verificare la propria esposizione, un Vulnerability Assessment periodico consente di identificare vulnerabilità note prima che diventino fonte di responsabilità.

Intelligenza artificiale: apprendimento automatico e presunzione di difetto

La valutazione di sicurezza di un sistema di IA tiene conto della sua capacità di apprendere e acquisire nuove funzionalità dopo la messa in servizio. Il fabbricante rimane responsabile anche se il danno deriva da un comportamento inatteso prodotto dall’apprendimento automatico.

Nei casi in cui la complessità tecnica o scientifica renda eccessivamente difficile per la vittima provare il difetto o il nesso causale, il giudice può presumere il difetto o la causalità se la vittima dimostra che è probabile l’una o l’altra condizione. Questo abbassa significativamente la soglia di accesso al risarcimento per danni causati da sistemi di IA opachi o complessi.

Divulgazione delle prove e segreti commerciali

In caso di contenzioso, i tribunali possono ordinare alle software house di divulgare elementi di prova pertinenti: documentazione tecnica, log di sistema, specifiche di progettazione. Sono previste misure di protezione per i segreti commerciali, ma il rifiuto di produrre le prove richieste espone al rischio che il giudice presuma automaticamente il difetto del prodotto.

Questo rende la gestione documentale e la tracciabilità del ciclo di sviluppo un elemento rilevante non solo per la qualità del software, ma anche per la difendibilità in sede legale.

Danni ai dati: cosa è risarcibile

La direttiva riconosce il diritto al risarcimento per la distruzione o la corruzione di dati causata da un prodotto difettoso. Il risarcimento copre i costi materiali di recupero o ripristino, ma si applica solo ai dati non utilizzati esclusivamente a fini professionali e solo per le persone fisiche.

Le società come persone giuridiche e i danni a beni o dati usati esclusivamente per fini professionali restano esclusi dal regime della direttiva: per queste fattispecie continuano ad applicarsi i regimi di responsabilità contrattuale e extracontrattuale ordinari.

Impatto sulle micro e piccole imprese di software

Se un difetto è riconducibile a un componente software fornito da una micro o piccola impresa, il fabbricante del prodotto finale può rinunciare contrattualmente al diritto di rivalsa nei confronti della piccola software house. Questa clausola protegge le PMI da contenziosi insostenibili tra operatori professionali, lasciando intatto il diritto del consumatore finale al risarcimento dal fabbricante del prodotto.

Domande frequenti

  • Un’app mobile distribuita tramite store è soggetta alla direttiva?
  • Sì. Le applicazioni mobili rientrano nella definizione di software-prodotto indipendentemente dal canale di distribuzione. Se l’app è distribuita nell’ambito di un’attività commerciale e causa un danno per un difetto, il fabbricante può essere ritenuto responsabile in via oggettiva.
  • Un sistema SaaS è considerato un prodotto o un servizio?
  • Il software fornito tramite SaaS rientra nel perimetro della direttiva come prodotto. I servizi digitali necessari al funzionamento del prodotto sono trattati come componenti dello stesso, quindi la distinzione tra prodotto e servizio non esclude l’applicabilità del regime.
  • La responsabilità si applica anche al software open source?
  • Il software libero e open source sviluppato o distribuito al di fuori di un’attività commerciale è escluso. Se invece il software open source è integrato in un prodotto commerciale o distribuito nell’ambito di un’attività economica, il fabbricante del prodotto finale risponde per i difetti, inclusi quelli derivanti da componenti open source.
  • Quando scatta la presunzione di difetto per i sistemi di IA?
  • La presunzione si applica quando la vittima dimostra che è probabile il difetto o il nesso causale, ma la complessità tecnica o scientifica rende eccessivamente difficile la prova piena. In questi casi il giudice può presumere il difetto o la causalità, invertendo di fatto l’onere della prova a carico del fabbricante.
  • Cosa rischia un’azienda che non fornisce aggiornamenti di sicurezza?
  • Finché il fabbricante mantiene la capacità di aggiornare il prodotto, l’omissione di aggiornamenti necessari per correggere vulnerabilità note può rendere il prodotto difettoso ai sensi della direttiva. Il danno causato da quella vulnerabilità non corretta può quindi dare origine a responsabilità oggettiva.
  • Le aziende clienti possono agire in base alla direttiva?
  • Le persone giuridiche (società) non rientrano tra i soggetti tutelati dalla direttiva. I danni a beni o dati usati esclusivamente per fini professionali sono esclusi. Le imprese possono tuttavia agire in base ai regimi di responsabilità contrattuale o extracontrattuale ordinari, che restano impregiudicati.

Approfondimenti utili

Vuoi rafforzare la governance della sicurezza nella tua azienda?

Affidati a ISGroup per:

  • Definizione della strategia di cybersecurity allineata agli obiettivi di business
  • Servizio Virtual CISO dedicato con supervisione continua e reportistica direzionale
  • Supporto su compliance normativa (ISO 27001, NIS2, GDPR) e gestione del rischio
Parla con un Virtual CISO

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In

Una risposta

  1. Direttiva UE 2024 danni prodotti digitali | Responsabilità aggiornata

    […] Questo capitolo fa parte della miniguida sulla Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi. Il focus è sulla definizione di prodotto digitale introdotta dalla direttiva: software, SaaS, file per la fabbricazione digitale, servizi connessi e il ruolo dei marketplace. Per il trattamento specifico del software come prodotto, vedi il capitolo dedicato Direttiva UE 2024/2853 e responsabilità del software. […]