Quando un sistema di intelligenza artificiale provoca un danno, il diritto italiano non offre ancora una norma dedicata: si applicano per analogia l’art. 2050 c.c. sulle attività pericolose, l’art. 2054 c.c. per i veicoli autonomi e la disciplina del prodotto difettoso ex d.P.R. 224/1988. Sul piano penale, l’assenza di dolo o colpa direttamente imputabile alla macchina sposta il focus sull’omessa vigilanza o sulla negligenza nella progettazione e nel deployment del sistema. Il professionista che assiste un’impresa che usa AI deve mappare subito la filiera: sviluppatore, deployer e utente finale possono rispondere in solido o in via autonoma a seconda del ruolo concreto svolto.
Punti chiave
- Punto 1 — L’art. 2050 c.c. è oggi il principale aggancio normativo per i danni da sistemi AI autonomi.
- Punto 2 — Il d.P.R. 224/1988 sul prodotto difettoso responsabilizza il produttore del modello AI indipendentemente dalla colpa.
- Punto 3 — Sul piano penale, la responsabilità ricade su chi ha omesso controlli adeguati, non sulla macchina.
Chi assiste imprese che adottano sistemi AI — nella sanità, nella finanza, nella logistica — deve rispondere oggi a una domanda concreta: se il sistema causa un danno, chi finisce in giudizio e con quale fondamento normativo? La risposta non è ancora univoca, ma le coordinate si stanno definendo e costruire la difesa o la prevenzione del rischio richiede scelte immediate di posizionamento contrattuale e organizzativo.
L’avvocato Francesco Molinari affronta il tema in un approfondimento pubblicato su AvvocatoAndreani, analizzando il collasso dei paradigmi tradizionali di fronte all’autonomia decisionale dei sistemi AI e le possibili soluzioni interpretative offerte dal diritto vigente.
Il contesto normativo
Il legislatore italiano non ha ancora una norma specifica sulla responsabilità civile da AI. I giudici stanno lavorando per analogia su tre perni: l’art. 2050 c.c. (attività pericolose, con inversione dell’onere della prova a carico di chi esercita l’attività), l’art. 2054 c.c. per i veicoli a guida autonoma, e il d.P.R. 224/1988 che recepisce la direttiva europea sulla responsabilità da prodotto difettoso. Quest’ultimo è particolarmente rilevante: responsabilizza il produttore del modello AI per i difetti di progettazione o di informazione, senza che la vittima debba dimostrare la colpa. Sul fronte europeo, il Regolamento AI Act (Reg. UE 2024/1689) classifica i sistemi per livello di rischio e impone obblighi di trasparenza e conformità che, dal 2025 in poi, diventeranno parametri di diligenza nei giudizi civili. Sul piano penale, la Cassazione non ha ancora affrontato direttamente la questione, ma i principi sull’omissione impropria ex art. 40 co. 2 c.p. e sulla colpa da organizzazione applicata alla responsabilità degli enti ex d.lgs. 231/2001 rappresentano i binari più percorribili.
Cosa cambia per lo studio
- Mappare la filiera prima del contratto. In ogni operazione che coinvolge un sistema AI, individua subito tre soggetti distinti: lo sviluppatore del modello, il deployer (chi lo integra nel prodotto o servizio) e l’utente finale. La distribuzione contrattuale del rischio tra questi tre livelli è negoziabile e determina chi risponde in caso di danno.
- Inserire clausole di allocazione del rischio AI nei contratti b2b. Le clausole di manleva, i cap di responsabilità e gli obblighi di audit periodico del sistema devono diventare standard nei contratti di fornitura tecnologica. Senza di esse, il deployer risponde in via residuale per tutto ciò che lo sviluppatore non copre.
- Aggiornare i modelli organizzativi 231. Le imprese che usano AI per decisioni che incidono su terzi (credito, selezione del personale, diagnosi medica assistita) devono integrare i propri MOG con protocolli specifici sul controllo umano dei risultati del sistema, pena la responsabilità dell’ente.
- Conservare la documentazione tecnica del sistema. In un contenzioso da AI, la prova del difetto o della corretta configurazione del sistema passa dai log, dai parametri di addestramento e dai test di validazione. Consiglia ai clienti di conservare questa documentazione per almeno 10 anni.
- Monitorare l’AI Act in vigore dal 2 agosto 2024. Le prime disposizioni applicative del Reg. UE 2024/1689 riguardano i sistemi AI vietati e quelli ad alto rischio. Già oggi, un sistema classificato ad alto rischio che causa un danno espone il deployer a una presunzione di colpa difficile da vincere.
Attenzione a
Non confondere la responsabilità del produttore con quella del deployer. Un cliente che acquista un software AI chiavi in mano e lo usa senza modifiche può cercare di scaricare la responsabilità sul produttore ex d.P.R. 224/1988, ma se ha personalizzato il modello o ne ha esteso l’uso oltre le indicazioni del fornitore, diventa corresponsabile o responsabile principale. Questa distinzione è spesso trascurata in fase contrattuale e si rivela decisiva in giudizio.
Non ignorare il profilo penale per i reati colposi. Nei settori sanità e mobilità, un errore del sistema AI che provoca lesioni o morte integra potenzialmente gli artt. 589 e 590 c.p. La colpa viene attribuita a chi aveva il dovere di vigilare sul funzionamento del sistema e non lo ha fatto. Assistere oggi un’impresa del settore senza un’analisi preventiva di questi profili espone lo studio a una consulenza incompleta.
Domande frequenti
Chi risponde civilmente se un sistema AI causa un danno a un terzo?
Dipende dalla struttura della filiera. Il produttore del modello può rispondere ex d.P.R. 224/1988 per prodotto difettoso, senza bisogno di provare la colpa. Il deployer risponde ex art. 2050 c.c. se l’attività è classificabile come pericolosa, con onere della prova invertito. Se entrambi hanno contribuito al danno, la responsabilità può essere solidale.
L’AI Act europeo cambia già oggi la responsabilità delle imprese italiane?
Sì, in parte. Il Regolamento UE 2024/1689 è in vigore dal 2 agosto 2024 e le prime disposizioni sui sistemi vietati e ad alto rischio si applicano dal 2025. Gli obblighi di conformità previsti dall’AI Act diventano già oggi parametri di diligenza rilevanti nei giudizi civili italiani per stabilire se il deployer ha adottato le misure adeguate.
Un’impresa può essere condannata ex d.lgs. 231/2001 per un danno causato da un sistema AI?
La responsabilità 231 scatta se il reato-presupposto (ad esempio lesioni colpose ex art. 590 c.p. o reati informatici) è commesso nell’interesse o a vantaggio dell’ente e il modello organizzativo non prevedeva adeguati presidi sul controllo dell’AI. L’aggiornamento del MOG con protocolli specifici sull’uso dei sistemi AI è oggi la principale misura preventiva disponibile.
Fonte di riferimento: AvvocatoAndreani