Frid_AI_news #023 (29/11/2024)

Alla scoperta delle norme dedicate all’intelligenza artificiale

Prodotti difettosi: una direttiva che riguarda anche l’intelligenza artificiale

Lo sviluppo tecnologico degli ultimi anni e l’irrompere dei sistemi e dei modelli che utilizzano “elementi” e parti in cui vengono utilizzati algoritmi di intelligenza artificiale hanno evidenziato non solo i benefici della trasformazione dell’economia e della società verso modelli sempre più digitalizzati, ma anche portato alla luce alcuni interrogativi, diversi rischi e potenziali criticità nel settore della tutela dei consumatori.

Soprattutto per quanto riguarda la tutela nei confronti di prodotti difettosi, alcune norme hanno evidenziato la necessità di aggiornamenti e rivisitazioni.

Una ormai datata Direttiva sulla responsabilità per i danni provocati da prodotti difettosi è stata recentemente abrogata per far posto ad una nuova regolamentazione. Si tratta, in particolare, della Direttiva 2853/2024 dello scorso 23 ottobre, “sulla responsabilità per danno da prodotti difettosi”.

La crescente complessità dei prodotti e delle catene di fornitura, l’emergere di nuove tecnologie come l'IA e i software complessi, lo sviluppo dell'economia circolare con le connesse esigenze di tutela ambientale hanno portato l’Unione alla elaborazione di un nuovo testo sulla responsabilità che estende i propri effetti anche ai sistemi e ai modelli di AI.

Le principali novità

Il software come prodotto, tangibile o intangibile.

Il testo sottolinea che i prodotti oggi possono essere sia materiali (come uno smartphone) sia immateriali (come un software): quest’ultimo è ovunque: dai sistemi operativi ai programmi che usiamo quotidianamente, fino all'intelligenza artificiale. 

Evidente, inoltre, il ruolo cruciale del software nella sicurezza dei prodotti, perché può causare malfunzionamenti o vulnerabilità. 

Il software, poi, può essere venduto da solo (basti pensare a Microsoft Office, per esempio), oppure integrato in altri prodotti (come avviene nei sistemi operativi delle automobili).

Per evitare dubbi e garantire chiarezza giuridica, la direttiva afferma che il software è sempre un prodotto, a prescindere da come viene distribuito o utilizzato. Se il software causa danni, il suo produttore è responsabile, anche se non ha agito con dolo o colpa.

Mentre, dunque, rimane l’impianto di base (delle direttiva abrogata) fondato sulla responsabilità oggettiva, ossia senza colpa, per il “prodotto” difettoso, la definizione viene ampliata sino a farvi comprendere anche:

• software e sistemi di intelligenza artificiale,
• servizi digitali connessi al prodotto, 
• file digitali necessari alla produzione.

Le informazioni, invece, non devono essere considerate tali: dati, file multimediali, e-book o il codice sorgente di un software non sono considerati prodotti: le norme sulla responsabilità per prodotti difettosi non si applicano quindi al contenuto dei file digitali.

Open source ed esclusioni

La direttiva enfatizza il ruolo innovativo e l’importanza della ricerca nel campo dei software liberi e aperti, il cui codice sorgente è condiviso e che consentono agli utenti di utilizzare, modificare e ridistribuire liberamente il software o le sue versioni, così come di accedervi. 

La direttiva, di conseguenza, esclude dal proprio campo di applicazione il software libero e open source, sviluppato o fornito nel corso di un’attività non commerciale, dal momento che i prodotti così sviluppati o forniti non sono, per definizione, immessi sul mercato. 

Le norme si applicano, invece, nei casi in cui il software viene fornito in cambio di un prezzo o di dati personali usati non solo per migliorare la sicurezza, la compatibilità o l’interoperabilità del software, ed è quindi fornito nel corso di un’attività commerciale.

Se un software libero e open source fornito al di fuori di un’attività commerciale è successivamente integrato da un fabbricante come componente in un prodotto nel corso di un’attività commerciale ed è quindi immesso sul mercato, la direttiva prevede, però, che il fabbricante debba essere considerato responsabile dei danni causati dagli eventuali difetti.

Servizi digitali integrati

Un altro aspetto importante su cui interviene la direttiva è quello della integrazione o interconnessione dei software. I servizi digitali, infatti, sono sempre più integrati nei prodotti, tanto che la loro assenza impedisce talvolta al prodotto di svolgere una delle sue funzioni fondamentali. 

I servizi digitali integrati rientrano in questa nuova normativa perché pur essendo immateriali, svolgono un ruolo fondamentale nel funzionamento e nella sicurezza di molti prodotti che utilizziamo quotidianamente. Ad esempio, un sistema di navigazione satellitare è essenziale per il funzionamento di un'automobile, mentre un'app per monitorare la salute può influenzare direttamente il benessere di un utente.

Le auto moderne sono sempre più connesse, grazie a sistemi di infotainment, assistenza alla guida e diagnostica remota. Il software che gestisce queste funzioni è fondamentale per la sicurezza del veicolo. Se un bug software causa un incidente, il produttore del software potrebbe essere ritenuto responsabile.

I pacemaker e altri dispositivi medici impiantabili sono controllati da software. Un malfunzionamento del software potrebbe mettere a rischio la vita del paziente.

I frigoriferi intelligenti, le termocamere e altri elettrodomestici connessi utilizzano software per monitorare e regolare le proprie funzioni. Se un difetto software provoca un incendio o un allagamento, il produttore del software potrebbe essere responsabile.

Le app che monitorano l'attività fisica o i parametri vitali possono influenzare le decisioni mediche di un utente. Se un'app fornisce dati errati, il produttore potrebbe essere responsabile per i danni causati.

La direttiva estende quindi la responsabilità oggettiva del “prodotto” software a servizi digitali integrati o interconnessi allorché contribuiscano alla sicurezza di un prodotto tanto quanto lo fanno i relativi componenti fisici o digitali. 

Il carattere difettoso

Detto che l’obiettivo della direttiva è quello di rendere disponibile il risarcimento solo alle persone fisiche e che i danni a beni usati esclusivamente per fini professionali sono esclusi dalle disposizioni che stiamo vedendo, un altro aspetto rilevante è relativo alla qualificazione della difettosità di un prodotto.

Un prodotto è considerato difettoso quando presenta una mancanza di sicurezza che il pubblico può legittimamente attendersi. 

In altre parole il prodotto non offre il livello di sicurezza che un consumatore ragionevole si aspetterebbe da un prodotto di quel tipo.

La valutazione del carattere difettoso è, evidentemente, un'operazione complessa che richiede di considerare diversi fattori:

• l’aspettativa: la sicurezza che il pubblico può legittimamente attendersi varia a seconda del tipo di prodotto; da un'apparecchiatura medica o da una app con trattamenti medicali mi aspetto standard di sicurezza più elevati rispetto a un giocattolo;
• l’uso ragionevolmente prevedibile: devono essere considerati non solo gli usi “normali”, ma anche gli usi che, pur non essendo corretti, sono ragionevolmente prevedibili (è ragionevolmente prevedibile, ad esempio, che un bambino possa mettersi in bocca un giocattolo);
• le caratteristiche del prodotto: valuteremo la sua finalità, la sua presentazione, le sue caratteristiche oggettive e la sua durata di vita prevista;
• le possibili vulnerabilità alla cybersicurezza: nel caso di prodotti connessi, si dovrà valutare anche la possibile vulnerabilità agli attacchi informatici;
• l’evoluzione del prodotto: deve essere considerata anche la possibilità che un prodotto possa sviluppare comportamenti inattesi nel tempo, ad esempio a causa di aggiornamenti software o dell'apprendimento automatico.

Una tale valutazione dovrà in ogni caso essere oggettiva, basata sulle aspettative di un consumatore ragionevole e non sulle aspettative di un singolo individuo.

Le avvertenze e le istruzioni per l'uso non potranno escludere la responsabilità se il prodotto è intrinsecamente pericoloso.

Trasparenza e accesso

Infine, vale la pena sottolineare che la direttiva pone particolare attenzione al fatto che molto spesso l’utente che debba agire in giudizio per ottenere un risarcimento sia, nei fatti, in estrema difficoltà nell’ottenere documentazione a supporto delle proprie tesi: la direttiva interviene anche in tali ambiti, prevedendo, per i produttori, la necessità di garantire l’accesso alla documentazione tecnica per facilitare le azioni dei privati.

Per quanto riguarda sistemi di AI la disposizione è, con tutta evidenza, estremamente importante: la difficoltà di interpretare, capire e sondare come il modello ha preso determinate decisioni è spesso enorme, talvolta anche per gli sviluppatori.

La direttiva pone alcune linee guida che i singoli legislatori dovranno tenere in attenta considerazione.

Recepimento

La direttiva dovrà essere recepita nei singoli paesi entro la fine del 2026. 

Staremo a vedere.

👾 👾 👾 👾 👾

Questa newsletter si propone di esaminare le principali disposizioni in arrivo con un linguaggio semplice e chiaro, accompagnato il più possibile da esempi concreti.

Se sei interessato, iscriviti. 👾