The Future of EOSH/4 – Safety e Liability delle nuove tecnologie. Le sfide per la normativa europea

Antonella Mauro

L’Intelligenza artificiale, l’Internet of things (IA e IoT) e la robotica sono forieri di significativi vantaggi in termini di produttività, efficienza e sicurezza dei prodotti. Possono tuttavia costituire fonte di rischio per interessi legalmente protetti, sia materiali che immateriali.

Con un recente report, la Commissione europea fornisce un quadro sintetico della cornice legale che regola a livello europeo gli aspetti di sicurezza e responsabilità con riferimento a tali nuove tecnologie, interrogandosi sulla sua completezza rispetto alle questioni emergenti e relative alle caratteristiche inedite delle stesse, e alla sua adeguatezza a garantire da un lato le giuste tutele ai consumatori e, dall’altro, la certezza del diritto in termini di obblighi e responsabilità dei produttori; aspetto fondamentale per favorire la diffusione e lo sviluppo delle tecnologie basate su IA e IoT.

I profili sulla base dei quali si analizza la normativa europea rilevante in materia sono due: la sicurezza (safety) e la responsabilità (liability).

Safety

La Commissione, nella comunicazione relativa a Building Trust in Human-Centric Artificial Intelligence, aveva sottolineato la necessità di incorporare nei sistemi di IA strumenti di garanzia della sicurezza per il consumatore (sotto il duplice profilo psico- fisico) by design, vale a dire personalizzata in base alle caratteristiche del caso specifico.

La valutazione condotta nel report in esame ha lo scopo di verificare se la legislazione europea contenga ad oggi disposizioni che assicurino la c.d. safety e security-by-design delle nuove tecnologie, in particolare quelle basate sull’IA.

Vengono prese in considerazione soprattutto la Direttiva 2001/95/EC (General Product Safety Directive) e la c.d. “New Legislative Framework” (“Union product safety legislation or framework”), composta dal Regolamento EC n. 2008/765 e dalla Decisione (EC) n. 2008/768.

Una parte significativa di quest’ultimo impianto regolatorio è precedente all’avvento dell’IA, dell’IoT e della robotica e, per questa ragione, spesso non contiene riferimenti espliciti a tali tecnologie. Tuttavia è anche caratterizzato da una certa neutralità rispetto alla tecnologia di riferimento, il che consente che le regole ivi contenute si possano adottare anche con riferimento a contesti differenti con specificità e criticità peculiari rispetto a al contesto nativo della disciplina.

Inoltre, la legislazione successiva che può essere ricondotta a questo quadro normativo (ad esempio quella relativa ai dispositivi medici), ha invece esplicitamente preso in considerazione alcuni aspetti legati all’adozione delle tecnologie digitali (decisioni automatizzate, software come prodotto separato e connettività).

Il report di cui si discute, dopo tali considerazioni preliminari, prende in considerazione alcuni aspetti problematici specifici delle tecnologie digitali emergenti dai quali potrebbero derivare delle minacce per la salute e la sicurezza dell’utenza e esamina come la normativa europea vigente considerata per lo scopo del report stesso affronti tali tematiche.

Per quanto riguarda la connettività la legislazione comunitaria non prevede disposizioni specifiche relative a misure o requisiti che tutelino l’utente da attacchi informatici, anche se alcune disposizioni relative alla sicurezza sono contemplate in alcune sedi (come ad esempio il Regolamento (EU) 2017/745, la Direttiva 2014/32/EU, la Direttiva 2014/53/EU).

Un ulteriore aspetto preso in considerazione e quello dei rischi connessi all’autonomia delle nuove tecnologie e alla relativa regolamentazione. Se in generale sono previste degli obblighi per i produttori in materia di risk assessment e di informativa circa i rischi connessi all’uso delle tecnologie, la destinazione di utilizzo e le caratteristiche del prodotto potrebbero cambiare nel corso del tempo e presentare quindi anche dei rischi inediti. Secondo le disposizioni attuali, in questi casi, il produttore è tenuto ad informare le autorità competenti e mettere in atto azioni preventive per garantire la sicurezza dell’utenza. Potrebbe rendersi inoltre necessario far condurre la valutazione del rischio a soggetti qualificati nonché l’adempimento di obblighi informativi rinforzati.

Il tema della sorveglianza umana nel contesto dei prodotti e dei sistemi di autoapprendimento dell’IA non è invece preso in considerazione in maniera esplicita.

Le tecnologie basate sull’IA possono presentare a lungo andare anche dei rischi per la salute mentale dell’utente. La cornice normativa attuale non sembra prendere in considerazione questo aspetto. 

Analogamente non vengono dettate disposizioni specifiche in materia di rischi che possano derivare dalla integrità e l’esattezza dei dati, il cui impiego rappresenta l’essenza strutturale e identitaria delle nuove tecnologie digitali (anche se viene evidenziato come sia possibile per il produttore prevedere in fase di progettazione misure di sicurezza by design per prevenire questo genere di rischi).

Lo stesso vuoto normativo si riscontra con riferimento ai rischi che possono derivare dalla opacità del funzionamento dei processi di autoapprendimento delle tecnologie o della struttura degli algoritmi. Si ipotizza a questo proposito la possibilità di introdurre obbligazioni specifiche in capo al produttore di disclosure dei meccanismi di funzionamento.

La normativa europea esaminata tiene già conto in una certa misura della complessità dei prodotti o dei sistemi per far fronte ai rischi che possono avere un impatto sulla sicurezza degli utenti, pur essendo necessaria una integrazione con riferimento ai c.d. stand alone software.

Infine, la legislazione comunitaria prende in considerazione la complessità delle catene di valore, prevedendo sistemi di responsabilità condivisa tra vari operatori economici. Tuttavia sarebbero necessarie specifiche previsioni per potenziare la cooperazione tra operatori economici della supply chain e consumatori.

Liability

In maniera speculare rispetto alle nuove sfide in termini di sicurezza, si sviluppano quelle relative al regime di responsabilità per i danni causati dai prodotti. In particolare, si presenta la necessità di assicurare un adeguato livello di protezione per i danni causati da nuove tecnologie, al pari di quelli che trovano origine in tecnologie già note e consolidate, che possa favorire la diffusione delle nuove tecnologie e assicurare stabilità.

Il regime di responsabilità per danni da prodotto è dettato dalla Product Liability Directive (Directive 85/374/EEC) che si affianca alle tutele previste dalle legislazioni nazionali.

In questo report, la commissione indaga quali siano le principali sfide per il regime di responsabilità delineato a livello comunitario rispetto alle caratteristiche delle nuove tecnologie.

Si sottolinea innanzitutto come la definizione di prodotto contenuta nella direttiva sia ampia. Tuttavia sarebbe possibile definire meglio il suo ambito di applicazione in modo tale da intercettare la complessità delle tecnologie emergenti e assicurare la tutela necessaria. In questo modo sarebbe anche possibile definire con più precisione l’ambito di applicazione soggettiva individuando in maniera più puntuale il produttore.

La Commissione sta inoltre vagliando delle soluzioni per alleviare o invertire il sistema dell’onere della prova previsto dalle legislazioni nazionali e per revisionare alcune nozioni e dizioni contenute nella Product Liability Directive per una più agevole allocazione delle responsabilità, soprattutto nel caso in cui il prodotto dovesse essere modificato nel tempo. Analogamente sono in corso riflessioni relative alla estensione di regimi di responsabilità oggettiva e di sistemi assicurativi che potenzino l’effettività delle tutele risarcitorie.

Brevi osservazioni conclusive

Il lavoro condotto dalle istituzioni europee nell’ottica di definire e assicurare standard di sicurezza e di responsabilità all’avanguardia è ancora più rilevante se si considerano le applicazioni di molte tecnologie di nuova generazione in contesti produttivi, sia con finalità produttivo-organizzative che prevenzionistiche o assistive.

Un quadro di regole chiare è utile sicuramente a favorire la diffusione delle nuove tecnologie che consentano di modernizzare le produzioni a vantaggio di produttività e competitività. Ma garantire la sicurezza e la chiarezza ed effettività del regime di responsabilità per danni da prodotto contente anche di realizzare dei sensibili miglioramenti in termini di qualità del lavoro e di tutela della salute e della sicurezza della persona che lavora, con effetti certamente virtuosi per l’economia generale. La salute del lavoratore infatti, oltre ad essere elemento essenziale della dignità della persona, è condizione imprescindibile per la produttività della stessa e di sostenibilità degli interventi di cura a carico del servizio sanitario nazionale e del sistema assicurativo pubblico.