Responsabilità civile dell’AI: perchè serve una normativa europea

Chi risponde dei danni quando un sistema di AI fallisce

Il 2 agosto sono entrate in vigore alcune importanti disposizioni dell’AI Act.

Mentre l’ecosistema digitale europeo dunque si adatta gradualmente all’imponente architettura del Regolamento, tuttavia una crepa strutturale minaccia la stabilità dell’intero costrutto normativo: proprio la responsabilità civile dell’AI, dimenticata in un cassetto. Ma non si tratta di tema marginale, anzi.

Infatti chi risponde dei danni quando un sistema di AI fallisce? La domanda, lungi dal trovare una risposta adeguata, è stata tacitata dai governanti europei, per finire ora al centro di un’analisi critica contenuta nello studio “Artificial Intelligence and Civil Liability: A European Perspective”, appena pubblicato e richiesto dalla commissione giuridica (JURI) proprio del Parlamento Europeo.

È opera del professor Andrea Bertolini [1], docente di diritto privato a Pisa, un’analisi che è una vera e propria requisitoria contro l’attuale impostazione del tema, ritenuta insufficiente e foriera di frammentazione.

Il rischio di caos normativo

L’abbandono di un approccio centrato sulla responsabilità civile a favore di una regolamentazione ex ante rischia di generare un caos normativo, minando la certezza del diritto e la competitività che ne consegue.

L’analisi dello studio critica le soluzioni attuali e propone un ritorno a un regime di responsabilità oggettiva, riassumendo un decennio di “inversioni” strategiche e dibattiti irrisolti.
Vediamo di capire meglio ricapitolando di seguito le puntate precedenti.

Possibili configurazioni della responsabilità civile per l’AI

Partiamo da un assunto di base, specie per i non giuristi, per chiarire i tre regimi possibili di responsabilità civile ipotizzati per l’AI:

• responsabilità oggettiva (“strict liability”): si risponde del danno a prescindere dalla colpa. La responsabilità nasce per il solo fatto che il sistema ha causato un danno, indipendentemente da una negligenza, salvo casi particolari come la colpa grave della vittima;
• responsabilità per colpa (“fault-based”): si risponde solo se la vittima dimostra che è stato commesso un errore. La vittima ha l’onere di provare la colpa, il danno e il legame tra i due;
• responsabilità per colpa con presunzioni: si presume la colpa del danneggiante, il quale può dimostrare il contrario per andare esente da responsabilità. È un regime basato sulla colpa in cui la normativa, a certe condizioni, alleggerisce l’onere della prova per la vittima, presumendo la colpa o il nesso causale.

Tutto ciò serve in sede di richiesta di risarcimento in sede civile per danni subiti dai sistemi qui in parola, per capire se e come un danneggiato possa agire giudizialmente per farsi valere ed avere quello che reputa un giusto ristoro di quanto subito.

Perché si è fermato tutto

La Commissione europea ha affermato che la proposta è stata inserita nella sezione dei ritiri del Work Programme 2025 a causa della mancanza di consenso politico tra i legislatori e gli Stati membri.

Gruppi politici al Parlamento (come EPP, Renew, Patriots) pare non mostrassero particolare interesse o supporto al testo.
Oltretutto gruppi industriali e tecnocratici hanno sollecitato la Commissione a favorire una semplificazione delle normative digitali, evitando un ulteriore strato regolatorio oltre all’AI Act e alla riforma della Product Liability Directive.

La Commissione ha sottolineato più volte che la compliance è già complessa (vedi Gdpr, DSA, AI Act, ecc.) e un nuovo intervento rischiava di “soffocare” imprese, soprattutto PMI.

Tuttavia non si può che sospettare che lobby del settore tech siano state determinanti nel convincere la Commissione che un regime di responsabilità civile aggiuntivo avrebbe rappresentato una minaccia esiziale per i loro modelli di business.

È prevedibile la resistenza a un sistema che introduceva presunzioni di causalità e obblighi di disclosure. Il parlamentare tedesco Axel Voss ha difatti dichiarato che le imprese tecnologiche remissive hanno spinto per semplificare la normativa, minacciando la competitività europea.

Infine il ritardo o il rinvio della proposta Direttiva è avvenuto in un contesto globale di crescente competitività geopolitica legata all’AI, in particolare tra UE e USA.

Il Vice Presidente Usa J.D. Vance stesso ha criticato il modello normativo europeo, sostenendo che avrebbe posto barriere all’innovazione.

La Commissione ha quindi preferito evitare un proseguimento di una proposta percepita come ostacolo alla competitività globale europea.

Dalla responsabilità oggettiva alla procedura: la parabola discendente della Direttiva

Per comprendere appieno la critica mossa dal nuovo studio, è fondamentale analizzare la metamorfosi subita dall’idea stessa di una Direttiva sulla responsabilità per l’IA.

Il testo presentato dalla Commissione nel 2022 è infatti il punto di arrivo di un percorso che ha visto un progressivo e radicale svuotamento dei principi originari, trasformando una proposta ambiziosa in uno strumento procedurale ritenuto infine debole e inefficace.

La vera genesi di una normativa specifica sulla responsabilità da IA si trova nella già citata proposta di Regolamento (“RLAI”) avanzata dal Parlamento UE nel 2020. Questo testo non era una direttiva, era un regolamento: scelta che già sottolineava la volontà di massima armonizzazione.

Il suo approccio era sostanziale e non procedurale. Introducendo un doppio binario a seconda del livello di rischio (alto rischio con responsabilità oggettiva a carico
dell’operatore, gli altri con regime di colpa presunta dell’operatore salvo prova della dovuta diligenza).

L’obiettivo primario era garantire il risarcimento alla vittima, semplificando l’accesso alla giustizia e internalizzando i costi del rischio tecnologico. Le difese per l’operatore di un sistema
ad alto rischio erano quasi inesistenti, limitate alla sola forza maggiore.

Addio all’approccio sostanziale

La proposta di Direttiva presentata dalla Commissione (AILD) nel settembre 2022 segna un abbandono completo dell’approccio sostanziale.

Invece di creare nuove regole di responsabilità, la AILD si proponeva di agire solo sul piano procedurale, con l’intento dichiarato di “adattare” i regimi nazionali di responsabilità per colpa, senza sostituirli e tantomeno invocare una responsabilità oggettiva.

Inoltre la stessa proposta AILD ha subito una forte metamorfosi nel tempo, dal primo testo proposto a quello da ultimo noto e ora ritirato: da un regime pensato per migliorare l’onere probatorio in ambito colpevole (regime di colpa ma con presunzioni di causalità, confutabili, e obblighi di disclosure dei dati per AI ad alto rischio, se la domanda di risarcimento è plausibile), è stata gradualmente ampliata, fino a suggerire un regime misto (colpa mista a responsabilità oggettiva), l’estensione del campo (anche a software, AI general purpose, SaaS) e una trasformazione in regolamento (tutto ciò già nello studio EPRS di settembre 2024).

Voci critiche

Dopo la sua prima presentazione la proposta di AILD è quindi entrata in un processo legislativo gremito di voci critiche.

Le discussioni nelle commissioni parlamentari (in particolare JURI e IMCO) e i pareri degli stakeholder hanno evidenziato i difetti strutturali del testo, lamentando tra l’altro una complessità dichiarata inutile (causa l’innesto di presunzioni procedurali europee su 27 diversi regimi di colpa nazionali), scarsa efficacia (minimi benefici per le vittime, a causa del percorso giudiziario di dimostrazione della colpa ancora troppo difficile e oneroso), nonché il rischio di frammentazione (quale direttiva, con le sue ampie deleghe interpretative ai giudici nazionali).

L’approccio light

In conclusione, la traiettoria della direttiva è quella di una posizione partita forte e chiara, progressivamente diluita fino a diventare quasi irriconoscibile.

La scelta della Commissione di privilegiare un approccio “leggero” e procedurale si è scontrata con la realtà giuridica: la
responsabilità civile è una materia di diritto sostanziale che non può essere riformata efficacemente con semplici ritocchi procedurali, specialmente in un contesto tecnologicamente complesso e giuridicamente eterogeneo come quello dell’Unione europea.

Questo percorso spiega perché, alla fine, la proposta sia finita su un binario morto, lasciando un vuoto normativo che – come avverte lo studio del 2025 – attende ancora una soluzione coerente.

Inoltre, lo studio ben puntualizza come il ritiro ufficiale della proposta AILD riflette una scelta politica consolidata: gli elementi soft law originariamente concepiti come ausiliari sono diventati ora il fulcro dell’intervento europeo (vedi anche quanto sta accadendo all’AI Act, si pensi, per esempio, al codice di condotta per i sistemi general purpose, emanato da parte della Commissione, evidentemente senza passare da un processo legislativo democratico, anzitutto), mentre la responsabilità rimane un tema volutamente accantonato.

Analisi dello studio: le soluzioni sul tavolo sono insufficienti

Scendendo nel dettaglio, il nuovo studio demolisce tecnicamente l’adeguatezza sia della PLD riformata sia della proposta AILD come presunte soluzioni definitive per i danni da IA.

La riforma 2024 della PLD sui prodotti

Circa la riforma 2024 della PLD sui prodotti, sebbene abbia introdotto correttivi importanti (come l’inclusione esplicita del software nella nozione di “prodotto”), eredita anche difetti strutturali che la rendono inefficace per i danni tipici dell’automazione.

Tant’è che la nozione di “difetto” resterebbe ancorata alla mancanza di sicurezza che un consumatore può legittimamente attendersi.

Questo esclude i danni da performance insufficiente: un sistema di trading algoritmico che causa perdite finanziarie per un errore di calcolo non è “insicuro”, bensì disfunzionale, quindi comunque difettoso.

La sua applicazione a tali casi sarebbe, nella migliore delle ipotesi, frutto di un’interpretazione giurisprudenziale forzata e
disomogenea.

Inoltre la PLD continuerebbe a escludere il risarcimento per il danno “al” prodotto difettoso: in scenari ad alta tecnologia (un’auto a guida autonoma, un robot chirurgico), il danno economicamente più rilevante è spesso proprio quello subito dal bene stesso.

Questa esclusione disincentiva radicalmente il ricorso alla norma.
Infine le nuove presunzioni sono complesse e subordinate a valutazioni discrezionali del giudice (per es. “difficoltà eccessive”, “complessità tecnica o scientifica”), rischiando di
generare ulteriore contenzioso sul piano procedurale, aggravando i costi e l’incertezza.
Senza menzionare che è quasi impossibile per una vittima dimostrare il nesso causale tra un difetto e un danno, data l’opacità intrinseca di molti algoritmi (il cosiddetto “effetto black box”).

Tanto più se pensiamo, ancora, all’esimente del rischio da sviluppo: esonera il produttore se il difetto non era prevedibile con le conoscenze scientifiche e tecniche del momento; con sistemi di IA che apprendono e si evolvono autonomamente, questo concetto diventa una scappatoia fin troppo facile.

Attuale proposta AILD

Riguardo all’attuale proposta AILD, lo studio la ravvisa come ancora più problematica.

Il suo tentativo di essere “minimamente invasiva” si tradurrebbe in un intervento inefficace e potenzialmente dannoso.
Anzitutto pretende di innestare presunzioni di colpa e nesso causale nei regimi nazionali, senza però definire tali concetti. Infatti, la nozione di “colpa” oggettiva (violazione di una norma di diligenza, come quelle dell’AI Act), che la Direttiva presuppone, è tipica di alcuni ordinamenti (vedi la Germania con la Verkehrspflicht), ma si scontra con la nozione soggettiva e più articolata di altri Stati (per esempio, la colpa professionale medica in Italia o Francia).
Inoltre l’AILD biforca il nesso causale in maniera “artificiale”: presume il nesso causale tra la colpa e l’output del sistema di IA, però lascia al danneggiato l’onere di provare il nesso tra l’output e il danno finale.

In scenari di interazione uomo-macchina complessi questa distinzione sarebbe più fittizia che reale e non ridurrebbe affatto l’onere probatorio, costringendo di fatto il danneggiato a ricostruire l’intera catena eziologica per poter beneficiare di una presunzione solo parziale.

Infine l’accesso alle prove sarebbe subordinato a un tentativo preventivo e “proporzionato” di ottenerle dal convenuto, aprendo la porta a svariate tattiche dilatorie.

Il beneficio finale – una mera presunzione iuris tantum (superabile con prova contraria) – appare sproporzionato rispetto alla complessità del percorso per ottenerla.
In definitiva, l’impostazione attuale vuole prevenire i danni con una forma di governance ex ante – come il punteggio reputazionale delle aziende – invece di affidarsi a regole civilistiche ex post.

In altri termini, la deterrenza arriva a sostituire, in parte, la
responsabilità legale come strumento centrale di regolazione.

Pericoloso non fare nulla

Lo studio ben descrive perché il non fare nulla, da parte del legislatore europeo, sia un’ipotesi da paventare.

Dimostrando che l’assenza di una norma europea specifica non mantiene un “innocuo” status quo, bensì innescherebbe una serie di conseguenze negative a catena che rischiano di portare a un risultato paradossale, un fenomeno che lo studio definisce “over regulation” da frammentazione. Ovvero: la moltiplicazione caotica di 27 normative nazionali diverse e potenzialmente confliggenti, con ovvie incertezze e disparità tra Stati.

Nell’incertezza, ogni Stato membro interpreterà a suo modo il tema – alcuni Stati membri, per ottenere maggiore certezza, adotteranno persino norme nazionali specifiche (vedi la proposta normativa tedesca sulla guida autonoma – oppure il DDL italiano sull’AI che sul tema delega al governo la previsione di strumenti di tutela del danneggiato, anche attraverso una specifica regolamentazione dei criteri di ripartizione dell’onere della prova).
Oltretutto – prosegue lo studio – una volta che uno Stato membro ha adottato una propria normativa o sviluppato una giurisprudenza consolidata locale, crea una cosiddetta “dipendenza dal percorso”. Cioè diventa estremamente difficile e politicamente oneroso, in un secondo momento, abbandonare la soluzione nazionale per convergere su uno standard europeo.

La nuova proposta normativa sulla responsabilità civile AI

Lo studio in commento si spinge a proporre una riforma della proposta che, paradossalmente, a passo di gambero ritorna alla prima proposta regolatoria del Parlamento (la citata “RLAI”).

Dunque raccomanda la creazione di un nuovo e autonomo regime di responsabilità oggettiva per i sistemi di IA ad alto rischio, a scapito di un approccio procedurale, che possiamo riassumere in Figura 1.

Questa soluzione – basata come detto sulla pregressa proposta RLAI del 2020 – avrebbe il pregio di stabilire ex ante precisamente chi è responsabile (l’operatore) e a quali condizioni (a prescindere dalla colpa), offrendo anche alle imprese un quadro chiaro per la gestione del rischio e la stipula di polizze assicurative.

Semplificando drasticamente l’onere della prova per la vittima, renderebbe il risarcimento un’opzione concreta e non un percorso a ostacoli. Oltretutto chi trae profitto dall’uso di una tecnologia ad alto rischio deve internalizzarne i costi, distribuendoli poi sui prezzi o gestendoli tramite assicurazione: trattasi di un principio di efficienza economica e giustizia sociale.

Perchè serve una normativa europea

Senza una legge europea armonizzata, lasciando le cose così come stanno, gli Stati membri procederanno in ordine sparso, creando un mosaico di 27 diversi regimi di responsabilità.
Questa frammentazione non solo creerebbe un’enorme incertezza per le imprese che operano nel mercato unico, ma disincentiverebbe anche l’innovazione.

Le aziende, specialmente le Pmi, si troverebbero di fronte a un carico di compliance insostenibile e a rischi legali imprevedibili, perdendo competitività a livello globale.

Lo studio si conclude con un appello implicito al legislatore europeo, suo stesso committente: la regolamentazione della responsabilità civile è un tassello strategico fondamentale per costruire un ecosistema dell’IA che sia davvero affidabile, competitivo e incentrato sull’uomo.

Ignorare questa necessità significa aver costruito un gigante normativo (l’AI Act) su fondamenta fragili, con il rischio che a pagare il prezzo più alto siano, ancora una volta, i cittadini e l’innovazione stessa.

Responsabilità civile dell’AI e “l’era delle assicurazioni”

Riflettendo su quanto indicato dallo studio, il ritiro della proposta AILD, pur
apparendo come una ritirata strategica, in realtà spalanca le porte a una nuova fase: l’”era delle assicurazioni”.

Un’era connaturata all’incertezza e imprevedibilità immanenti delle nuove tecnologie e della relativa regolazione, ove possono espandersi persino in nuovi ambiti i servizi assicurativi.

Infatti lo studio evidenzia come l’abbandono di una normativa specifica sulla responsabilità non crei un vuoto normativo piuttosto un mercato del rischio che sarà inevitabilmente governato da meccanismi assicurativi (si veda anche quanto indicato a proposito nella prima proposta del Parlamento).

La logica, desumibile dalle analisi dello studio, è la seguente:

• trasformare il rischio in costi assicurabili e trasferibili;
• le assicurazioni nel ruolo di “regolatore de facto”;
• spostare la gestione della responsabilità dall’aula del tribunale (ex post) al contratto di polizza (ex ante).

Trasformare il rischio in costi assicurabili e trasferibili

Lo studio sottolinea che uno degli obiettivi primari di una regolamentazione sulla responsabilità civile dell’AI è trasformare il rischio incerto e imprevedibile in costi assicurabili e trasferibili.

In assenza di una norma armonizzata, l’incertezza legale per le imprese che sviluppano e utilizzano sistemi di IA si accentua a causa della frammentazione normativa tra gli Stati membri.

L’unico modo per un operatore economico di gestire questa incertezza diventerebbe più che mai il trasferimento del rischio a un soggetto terzo: la compagnia assicurativa.

Le assicurazioni nel ruolo di “regolatore de facto

In questo scenario, le assicurazioni assumerebbero un ruolo quasi da “regolatore de facto”.

Per prezzare il rischio e calcolare i premi delle polizze, le compagnie (se munite della necessaria expertise) probabilmente richiederanno agli operatori di IA l’adozione di best practice, audit rigorosi e standard tecnici superiori a quelli di legge.

Lo studio stesso, nel proporre un modello di responsabilità oggettiva, evidenzia come questo permetterebbe di “internalizzare i rischi e gestire i costi attraverso meccanismi di assicurazione e di prezzo”.

La gestione della responsabilità: da ex post a ex ante

La gestione della responsabilità si sposterebbe così sempre più dall’aula del tribunale (ex post) al contratto di polizza (ex ante). Lo studio evidenzia che un quadro normativo chiaro (come quello basato sulla responsabilità oggettiva) favorisce la prevedibilità, riduce i costi di transazione e allinea il rischio legale con le decisioni di progettazione e implementazione tecnologica: in assenza
di tale quadro, questo ruolo di “allineatore” viene di fatto assunto dal mercato assicurativo.

Invece di attendere un contenzioso per definire le colpe, le imprese potrebbero però essere incentivate a implementare fin da subito le migliori misure di sicurezza e trasparenza per ottenere condizioni assicurative più vantaggiose.

Responsabilità civile dell’AI: il settore assicurativo come pilastro fondamentale

In conclusione, l’inversione strategica dell’Ue – dall’idea di una responsabilità civile dell’AI armonizzata all’attuale enfasi sulla conformità ex ante dell’AI Act – cambia l’arena di gioco.

Il ritiro della AILD potrebbe essere l’inizio di un’era in cui la governance del rischio IA sarà negoziata, prezzata e gestita attraverso il dialogo tecnico-economico tra imprese e assicuratori, rendendo il settore assicurativo un pilastro fondamentale dell’ecosistema mercantile europeo.

Con un prezzo rilevante da considerare. Potrebbe portare a un mercato con prodotti di IA mediamente più sicuri ma lascerebbe il singolo consumatore danneggiato in una posizione di estrema debolezza processuale.

La tutela, da diritto esigibile, si trasformerebbe in una concessione dipendente dalla chiarezza del danno e dalla volontà della controparte assicurativa di evitare un lungo contenzioso.

Oltretutto le compagnie assicurative tenderanno a contestare con forza i danni non patrimoniali (come il danno psicologico o reputazionale) o i danni economici difficili da quantificare.

È probabile che vengano risarciti più facilmente i danni evidenti e materiali, mentre tutte le altre forme di pregiudizio – pur reali per il consumatore – rischiano di non trovare ristoro.

Infine, la frammentazione normativa e dunque anche di gestione assicurativa europea porterebbe a una disparità di trattamento tra i vari Stati, inaccettabile peraltro in un sistema di mercato unico.

Prospettive future

L’Europa aveva deciso che anche l’AI dovesse avere a che fare con le regole della colpa, a suo modo.

Un atto di civiltà giuridica. Se l’intelligenza artificiale ti investe, ti cancella il conto in banca o peggio, ci deve essere pur qualcuno da invocare in giudizio. Non l’algoritmo in sé ma chi lo ha addestrato, nutrito o lasciato libero nella dimensione digitale.

Invece no. Dopo anni di audizioni, emendamenti, vari studi (ben tre, tutti dotti e ben pesati), la Direttiva sulla responsabilità civile dell’IA è per ora stata ritirata. Troppe sigle, poche certezze. L’intelligenza sarà artificiale, ma la furbizia è umana.

Nel frattempo il mercato e le macchine sul mercato imparano, studiano, si correggono, diventano meno prevedibili dei loro creatori.

Non è cambiato un dato di fatto: davanti a un danno restiamo lì, a cercare un colpevole.

La Commissione al momento sostiene: meglio niente che qualcosa di imperfetto.

Intanto non si sa con certezza chi paga se l’AI sbaglia, se qualcuno si troverà davvero col cerino in mano.

La responsabilità si smaterializza: si frammenta in dati, in cloud, in standard, dove nessuno è colpevole perché tutti sono coinvolti.

Ecco perché l’analisi contenuta nello studio pubblicato nel luglio 2025, pars destruens e pars construens, cerca di riattivare la discussione, con lucida disamina e forti proposte, di cui c’è davvero bisogno.

Umanizzare la nostra gestione dell’AI

Più sono complessi, più diventano innocenti questi sistemi? Forse la verità è che c’è anche paura di dover dire riconoscere che le norme servono anche per ciò che non capiamo del tutto.

Il diritto non regge più davanti alla complessità algoritmica? Dare una forma giuridica a ciò che è già diffuso, distribuito, interattivo.

La nuova proposta normativa non serve a “umanizzare” l’AI (lo studio, condivisibilmente, cassa le ipotesi di personalità giuridica della macchina, del codice), bensì serve a “umanizzare” la nostra gestione dell’AI. Chiedere a un operatore di assumersi una responsabilità oggettiva – indipendentemente dalla colpa – è chiedergli di accettare il costo giuridico (e morale) della propria innovazione, come sostiene lo studio.

Oppure abbiamo rinunciato a decidere chi è responsabile, in attesa forse che sia l’intelligenza artificiale stessa, un giorno, a scrivere una norma sulla sua stessa responsabilità? Una norma perfetta, imparziale – e inapplicabile.

Nota

[1] Si consiglia vivamente la lettura di tutto il documento di studio, qui meramente utilizzato per puntualizzare alcuni concetti. Così come si invita alla lettura anche degli altri scritti pubblicati dal Prof. Bertolini, sempre sul tema della
responsabilità in ambito AI.