Direttiva UE 2024/2853 sulla responsabilità per prodotti difettosi: guida per le aziende

La Direttiva (UE) 2024/2853 riscrive le regole europee sulla responsabilità per danno da prodotti difettosi, in vigore dalla fine del 2024 in sostituzione della Direttiva 85/374/CEE. La novità più rilevante per il settore tecnologico è l’inclusione esplicita di software, sistemi di intelligenza artificiale e servizi digitali nel perimetro di responsabilità civile.

Questo articolo è la panoramica generale della miniguida sulla direttiva. I capitoli collegati approfondiscono i temi specifici: prodotti digitali e servizi connessi, software e intelligenza artificiale, vulnerability assessment come strumento di conformità e penetration test e responsabilità del produttore.

Perché questa direttiva riguarda anche le aziende tecnologiche

Fino alla direttiva del 1985, il software era generalmente escluso dalla responsabilità oggettiva per prodotti difettosi. La nuova normativa chiude questa lacuna: un’applicazione SaaS, un sistema di IA o un firmware che causa un danno risarcibile espone il fornitore alle stesse regole che si applicano a un prodotto fisico. Per le aziende che sviluppano, distribuiscono o integrano prodotti digitali, questo cambia il profilo di rischio legale in modo sostanziale.

Cosa rientra nel perimetro: prodotti e soggetti responsabili

La direttiva amplia la definizione di “prodotto” includendo:

• Software e sistemi di IA — sistemi operativi, firmware, applicazioni e servizi di intelligenza artificiale, indipendentemente dalla modalità di erogazione (dispositivo fisico o cloud/SaaS).
• File di fabbricazione digitale — ad esempio i modelli per la stampa 3D.
• Servizi digitali connessi — servizi necessari al funzionamento di un prodotto fisico, come le informazioni sul traffico per la navigazione.
• Materie prime ed elettricità.

Restano esclusi il codice sorgente, i file multimediali (come gli e-book) e il software libero e open source sviluppato o distribuito al di fuori di attività commerciali. Per un’analisi dettagliata dei prodotti digitali e dei servizi connessi, vedi il capitolo dedicato: Direttiva UE 2024/2853 e prodotti digitali.

I soggetti che possono essere ritenuti responsabili includono il fabbricante, l’importatore, il rappresentante autorizzato, il fornitore di servizi logistici (in assenza di importatore UE), le piattaforme online che agiscono da distributori e chiunque modifichi sostanzialmente il prodotto assumendo la qualifica di nuovo fabbricante.

Danni risarcibili

La direttiva copre tre categorie di danno:

1. Morte o lesioni personali, inclusi i danni psicologici riconosciuti e certificati medicalmente.
2. Danni a beni materiali ad uso personale o misto, purché non esclusivamente professionali.
3. Distruzione o corruzione di dati non utilizzati a fini professionali.

Onere della prova e cybersecurity come requisito obbligatorio

La direttiva alleggerisce l’onere della prova a favore delle vittime attraverso tre meccanismi principali:

• Accesso alle prove — i tribunali possono ordinare al fabbricante la divulgazione di documenti rilevanti, con misure di tutela per i segreti commerciali.
• Presunzione di difettosità — il prodotto si presume difettoso se l’operatore non collabora nell’accesso alle prove, viola norme di sicurezza obbligatorie o presenta malfunzionamenti evidenti.
• Casi tecnici complessi — quando la complessità scientifica o tecnica rende difficile la prova, il giudice può presumere il difetto o il nesso causale se la vittima dimostra che il danno è probabilmente correlato al difetto.

Il riferimento esplicito alla cybersecurity come requisito di sicurezza obbligatorio è uno degli elementi più rilevanti per le aziende tecnologiche: le vulnerabilità non gestite in un prodotto software o in un sistema IoT possono tradursi in responsabilità civile diretta. Le implicazioni operative per vulnerability assessment e penetration test sono approfondite nei capitoli Vulnerability Assessment e Direttiva UE 2024/2853 e Penetration Test e responsabilità del produttore.

Scadenze operative per le aziende italiane

• Termine di recepimento: gli Stati membri devono adottare le misure nazionali entro il 9 dicembre 2026.
• Applicazione: le nuove regole si applicano ai prodotti immessi sul mercato dal 9 dicembre 2026; per i prodotti precedenti resta in vigore la normativa del 1985.
• In Italia, la direttiva è inclusa nella Legge di delegazione europea 2025 (Legge 17 marzo 2026, n. 36), che delega al Governo l’emanazione dei decreti legislativi attuativi.

Domande frequenti

• Qual è la differenza principale rispetto alla direttiva del 1985?
• La direttiva del 1985 escludeva generalmente il software dal perimetro della responsabilità oggettiva per prodotti difettosi. La nuova normativa include esplicitamente software, sistemi di IA e servizi digitali connessi, chiudendo una lacuna che aveva reso difficile il risarcimento per danni causati da prodotti tecnologici.
• Un’app SaaS rientra nel perimetro della direttiva?
• Sì. La direttiva include esplicitamente il software erogato via cloud, compresi i servizi SaaS. Se un’applicazione causa un danno risarcibile, il fornitore può essere ritenuto responsabile secondo le nuove regole.
• La direttiva si applica al software open source?
• No, il software libero e open source sviluppato o distribuito al di fuori di attività commerciali è escluso. Restano invece inclusi i prodotti commerciali che incorporano componenti open source.
• Cosa significa in pratica la presunzione di difettosità legata alla cybersecurity?
• Se un prodotto viola norme di sicurezza obbligatorie — incluse quelle in materia di cybersecurity — il giudice può presumere che sia difettoso senza che la vittima debba dimostrarlo in modo esaustivo. Per le aziende, questo rende la gestione delle vulnerabilità un tema di responsabilità legale, non solo tecnica.
• Chi è responsabile se il prodotto viene venduto tramite un marketplace online?
• La piattaforma online può essere ritenuta responsabile se agisce come distributore o se induce il consumatore a credere che il prodotto provenga direttamente da essa. In assenza di un importatore o rappresentante UE, anche il fornitore logistico può essere coinvolto.
• Questa direttiva si sovrappone ad altri obblighi normativi come NIS2 o il Cyber Resilience Act?
• Sì, in parte. NIS2 e il Cyber Resilience Act impongono obblighi di sicurezza attivi (misure tecniche, notifiche, aggiornamenti); la Direttiva 2024/2853 agisce sul piano della responsabilità civile per i danni già verificati. Le tre normative si integrano: rispettare i requisiti di sicurezza di NIS2 e CRA riduce il rischio di incorrere nella presunzione di difettosità prevista dalla direttiva sulla responsabilità.
• Come può un’azienda prepararsi prima del dicembre 2026?
• Il punto di partenza è una valutazione della postura di sicurezza dei prodotti e dei processi interni, con attenzione alla gestione delle vulnerabilità e alla documentazione dei controlli adottati. Un percorso strutturato di governance della sicurezza riduce l’esposizione al rischio legale prima che le nuove regole diventino operative.

Approfondimenti utili

• Testo della Direttiva (UE) 2024/2853 in italiano — il testo ufficiale EUR-Lex per consultare il contenuto normativo completo.
• Versione ufficiale della Direttiva nella Gazzetta Ufficiale UE — la versione di riferimento per uso legale e professionale.
• Prodotti digitali e servizi connessi — analisi dettagliata di quali prodotti e servizi digitali rientrano nel perimetro della direttiva.
• Software e intelligenza artificiale — come cambia la responsabilità per sviluppatori e fornitori di sistemi di IA.
• Vulnerability Assessment e Direttiva UE 2024/2853 — perché la gestione delle vulnerabilità diventa un requisito con implicazioni legali dirette.
• Penetration Test e responsabilità del produttore — come il penetration test contribuisce a documentare la diligenza tecnica del fabbricante.
• Virtual CISO — per le aziende che vogliono strutturare la governance della sicurezza in vista degli obblighi normativi, il servizio Virtual CISO di ISGroup offre leadership strategica e supporto operativo continuativo.