Direttiva UE 2024/2853: prodotti digitali, SaaS e marketplace

Questo capitolo fa parte della miniguida sulla Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi. Il focus è sulla definizione di prodotto digitale introdotta dalla direttiva: software, SaaS, file per la fabbricazione digitale, servizi connessi e il ruolo dei marketplace. Per il trattamento specifico del software come prodotto, vedi il capitolo dedicato Direttiva UE 2024/2853 e responsabilità del software.

La Direttiva (UE) 2024/2853, adottata il 23 ottobre 2024, sostituisce la direttiva 85/374/CEE e aggiorna le regole europee sulla responsabilità per danno da prodotti difettosi. La novità più rilevante per il settore digitale è l’estensione della definizione di “prodotto” a categorie prima escluse, con effetti diretti su produttori di software, fornitori SaaS, operatori di marketplace e chiunque distribuisca contenuti digitali funzionali.

Che cosa si intende per prodotto digitale

L’Articolo 4, punto 1, definisce “prodotto” qualsiasi bene mobile, includendo esplicitamente:

• Software — indipendentemente dalla modalità di fornitura: installato localmente, distribuito in cloud o erogato come SaaS.
• File per la fabbricazione digitale — modelli digitali destinati alla produzione automatizzata, come i file per la stampa 3D.
• Servizi digitali connessi — servizi la cui assenza impedisce il corretto funzionamento del prodotto fisico o digitale a cui sono abbinati.
• Elettricità e materie prime — inclusi esplicitamente nella definizione.

Il punto critico per i fornitori SaaS e cloud è che la modalità di distribuzione non rileva: un’applicazione erogata come servizio rientra nella definizione di prodotto e può generare responsabilità oggettiva in caso di difetto che causa danno.

Ambito di applicazione e principali esclusioni

La direttiva si applica ai prodotti immessi sul mercato o messi in servizio dopo il 9 dicembre 2026 (Art. 2). Le esclusioni più rilevanti per il digitale sono:

• Software libero e open source sviluppato o distribuito al di fuori di attività commerciali.
• Mero codice sorgente, che non rientra nella responsabilità oggettiva.
• Danni nucleari già regolati da convenzioni internazionali.

Chi risponde: operatori economici e marketplace

L’Articolo 8 individua i soggetti responsabili garantendo sempre la presenza di un referente nell’Unione Europea:

• Fabbricante del prodotto o di una componente difettosa.
• Importatore per i prodotti provenienti da fuori UE.
• Rappresentante autorizzato del fabbricante extra-UE.
• Fornitore di servizi di logistica, in via sussidiaria quando non siano identificabili importatori o rappresentanti UE.
• Piattaforme online (marketplace) — responsabili quando presentano il prodotto in modo da farlo percepire come fornito direttamente dalla piattaforma stessa.

Per i marketplace, la norma introduce un criterio basato sulla percezione dell’utente finale: se la piattaforma crea l’impressione di essere il fornitore diretto, risponde come tale. Questo ha implicazioni rilevanti per i modelli di business che aggregano prodotti di terzi.

Danni risarcibili

L’Articolo 6 limita il risarcimento alle persone fisiche per:

• Morte o lesioni personali, compresi i danni psicologici certificati.
• Danneggiamento di beni, escluso il prodotto difettoso stesso e i beni usati esclusivamente a fini professionali.
• Distruzione o corruzione di dati non impiegati a fini professionali, inclusi i costi di ripristino.

Prove e presunzioni di difettosità

Per ridurre il divario informativo tra le parti, la direttiva introduce misure procedurali specifiche:

• Divulgazione degli elementi di prova (Art. 9): il giudice può ordinare al convenuto di produrre prove rilevanti, nel rispetto della proporzionalità e della tutela dei segreti commerciali.
• Presunzione di difettosità (Art. 10): il difetto si presume se l’operatore non presenta le prove richieste, se il prodotto non rispetta requisiti di sicurezza obbligatori (ad esempio quelli del Cyber Resilience Act), o in caso di malfunzionamento evidente.
• Complessità tecnica: quando dimostrare il difetto è eccessivamente difficile per ragioni scientifiche, il giudice può presumere il difetto se il danno risulta probabilmente causato dallo stesso.

Cause di esenzione dalla responsabilità

L’Articolo 11 consente all’operatore di escludere la propria responsabilità se dimostra, tra l’altro, che:

• Non ha immesso il prodotto sul mercato.
• Il difetto si è manifestato successivamente alla commercializzazione, salvo che dipenda da aggiornamenti software o modifiche sotto il proprio controllo.
• Lo stato delle conoscenze tecniche al momento della commercializzazione non consentiva di identificare il difetto (rischio di sviluppo), fatta salva la possibilità per gli Stati membri di derogare per specifici prodotti.

Recepimento in Italia

L’Italia ha avviato il recepimento tramite la Legge di delegazione europea 2025. La Direttiva 2024/2853 è citata nell’Allegato A, punto 4, della Legge 17 marzo 2026, n. 36. Il Governo è delegato all’adozione dei decreti legislativi necessari entro il 9 dicembre 2026, termine ultimo anche per l’entrata in vigore delle nuove norme nazionali.

Miniguida collegata

Questo articolo fa parte di una miniguida in più capitoli sulla Direttiva (UE) 2024/2853:

• Panoramica generale della direttiva — struttura, obiettivi e novità principali rispetto alla direttiva 85/374/CEE.
• Responsabilità del software — come cambia la posizione giuridica dei produttori di software, inclusi i casi di aggiornamenti e patch.
• Vulnerability assessment e controllo continuativo — come documentare monitoraggio, aggiornamenti e gestione delle vulnerabilità.
• Penetration test e responsabilità del produttore — quando servono evidenze tecniche offensive prima del rilascio o dopo modifiche sostanziali.

Domande frequenti

• Un’applicazione SaaS rientra nella definizione di prodotto della direttiva?
• Sì. La direttiva include esplicitamente il software indipendentemente dalla modalità di fornitura. Un’applicazione erogata come SaaS è considerata prodotto e può generare responsabilità oggettiva se difettosa causa un danno a una persona fisica.
• Il software open source è escluso dalla direttiva?
• Solo se sviluppato o distribuito al di fuori di attività commerciali. Il software open source integrato in un prodotto commerciale o distribuito nell’ambito di un’attività d’impresa rientra nell’ambito di applicazione.
• Quando un marketplace risponde come fabbricante?
• Quando presenta il prodotto in modo da far percepire all’utente finale che è la piattaforma stessa a fornirlo direttamente. In quel caso la piattaforma è equiparata al fabbricante ai fini della responsabilità.
• La corruzione di dati è un danno risarcibile?
• Sì, per le persone fisiche e limitatamente ai dati non impiegati a fini professionali. Il risarcimento copre anche i costi di ripristino dei dati distrutti o corrotti.
• Entro quando le aziende devono adeguarsi?
• La direttiva si applica ai prodotti immessi sul mercato dopo il 9 dicembre 2026. Le aziende che distribuiscono software, SaaS o prodotti con componenti digitali devono rivedere contratti, processi di aggiornamento e documentazione tecnica prima di quella data.