L’AI Act all’italiana rischia di trasformarsi in una trappola per chi usa l’intelligenza artificiale

Nel dibattito sul decreto legislativo che dovrebbe adeguare l’ordinamento italiano all’AI Act europeo, l’attenzione si è concentrata quasi esclusivamente sul riconoscimento facciale e sui nuovi poteri attribuiti alle forze di polizia. Ne ho scritto su queste pagine qualche giorno fa. È comprensibile. Le immagini delle telecamere intelligenti e dei sistemi biometrici evocano immediatamente il tema della sorveglianza e delle libertà individuali.

Esiste però un’altra disposizione, meno appariscente ma forse destinata ad avere effetti ancora più profondi. Si trova nell’articolo 20 del medesimo schema di decreto legislativo e riguarda la responsabilità civile per i danni causati dall’intelligenza artificiale. La norma è di una semplicità disarmante: quando il danno deriva dalla violazione di uno o più obblighi previsti dall’AI Act, il nesso di causalità tra la violazione e il danno si presume esistente, salvo prova contraria. A prima vista potrebbe sembrare una regola ragionevole. L’intelligenza artificiale è spesso opaca, tecnicamente complessa e difficile da comprendere per chi subisce un danno. Alleggerire l’onere della prova a favore del cittadino potrebbe apparire una scelta di equilibrio. Il problema nasce quando si guarda più da vicino al sistema europeo. L’AI Act non è una disciplina della responsabilità civile. È una disciplina della conformità. Stabilisce requisiti tecnici, obblighi organizzativi, procedure di controllo e meccanismi di governance destinati a garantire che i sistemi di intelligenza artificiale siano progettati e utilizzati in modo sicuro. Non contiene, però, una presunzione generale di responsabilità.

Non è un caso. Quando la Commissione europea aveva tentato di costruire una disciplina specifica della responsabilità civile per l’intelligenza artificiale attraverso la proposta di AI Liability Directive, aveva previsto una presunzione del nesso causale molto più circoscritta. Occorreva dimostrare non soltanto la violazione di un obbligo normativo, ma anche che quella violazione fosse concretamente idonea a influenzare il comportamento del sistema e che esistesse una plausibile connessione con il danno verificatosi. Quella proposta è stata successivamente abbandonata. Lo schema italiano sembra invece recuperare la parte più incisiva della direttiva mai approvata, eliminando gran parte delle condizioni che ne limitavano l’applicazione. La differenza non è soltanto teorica.

L’AI Act impone obblighi molto diversi tra loro. Alcuni riguardano i fornitori dei sistemi, dati spesso dalle grandi big tech che alimentano Claude, ChatGpt o Copilot… Si pensi alla qualità dei dati utilizzati per l’addestramento, alla gestione del rischio, alla documentazione tecnica, alla robustezza e alla cybersicurezza. In questi casi il collegamento con un eventuale danno è relativamente intuitivo: un sistema progettato male può produrre risultati errati e causare conseguenze pregiudizievoli. Ma altri obblighi riguardano i deployer, cioè coloro che utilizzano il sistema. Tra questi vi è anche il nuovo obbligo di alfabetizzazione sull’intelligenza artificiale previsto dall’articolo 4 dell’AI Act. Imprese, enti pubblici e amministrazioni devono assicurare che il personale possieda un adeguato livello di competenza nell’uso degli strumenti di AI. Si tratta di un obbligo fondamentale. Ma è davvero ragionevole presumere automaticamente il nesso causale tra una carenza formativa e qualsiasi danno successivamente verificatosi? Il rischio è che obblighi profondamente diversi vengano trattati allo stesso modo. Una violazione puramente documentale, organizzativa o formativa potrebbe finire per produrre conseguenze processuali analoghe a quelle derivanti da un difetto strutturale dell’algoritmo. Paradossalmente, il risultato potrebbe essere una forma di responsabilità aggravata proprio per quei soggetti che l’AI Act considera essenziali per una governance responsabile della tecnologia, ovvero i deployer: pubbliche amministrazioni, università e imprese potrebbero trovarsi esposti a un regime probatorio più severo di quello che emerge dal quadro europeo.

L’obiettivo di tutelare il danneggiato è certamente condivisibile. Ma una regolazione efficace richiede precisione. Se ogni violazione dell’AI Act diventa automaticamente il punto di partenza per presumere il nesso causale, il rischio è quello di trasformare un regolamento pensato per governare il rischio tecnologico in uno strumento di responsabilità quasi oggettiva. L’Europa ha scelto di regolare l’intelligenza artificiale senza demonizzarla. Sarebbe singolare se il legislatore italiano, nel tentativo di dare attuazione a quel modello, finisse per costruire un sistema più severo di quello che Bruxelles ha effettivamente deciso di adottare. L’Italia rischia di aggiungere nuovi ostacoli all’adozione delle nuove tecnologie.