Se un sistema basato su elementi di Intelligenza Artificiale provoca un danno, di chi è la responsabilità? Questo è sempre stato un problema da teorici dell'AI, perché di norma gli algoritmi di Intelligenza Artificiale e machine learning non spiegano i motivi per cui prendono una decisione piuttosto che un'altra. La mancanza di una cosiddetta "explainable AI" rende molti sistemi basati su AI delle "scatole nere" il cui funzionamento non è chiaro.

La questione però non è più solo da teoria dell'AI ma anche da avvocati. Ci sono sempre più prodotti e servizi smart che usano l'AI. Se questi provocano un danno, come può il danneggiato chiedere un risarcimento? E a chi? Secondo la Commissione Europea, di fatto in questo momento il danneggiato è in una posizione molto difficile, perché la normativa sulla responsabilità civile non è stata certo fatta tenendo conto di evoluzioni tecnologiche innovative come l'Intelligenza Artificiale. Ecco quindi che la UE mette in campo la AI Liability Directive, una nuova norma che cerca di armonizzare la gestione dei "danni da AI" con quella dei danni convenzionali.

AI Liability Directive: a difesa dei cittadini

Le innovazioni tecnologiche avanzate - è il presupposto della UE - non devono mai andare a scapito delle garanzie per i cittadini. Le normative in generale servono a questo. E se ci sono vuoti normativi, vanno colmati. Nel campo dell'AI questo vuoto c'è, spiega la Commissione, perché nelle azioni di responsabilità per colpa il danneggiato deve identificare chi citare in giudizio e spiegare in dettaglio la colpa, il danno e il nesso di causalità tra i due. Ma quando si tratta di sistemi basati su AI, farlo è difficile. "I sistemi possono spesso essere complessi, opachi e autonomi, rendendo eccessivamente difficile, se non impossibile, il soddisfacimento dell'onere della prova da parte del danneggiato", si spiega. E così, non c'è giustizia.

La AI Liability Directive, per equlibrare le cose, introduce due novità a garanzia dei cittadini. La prima è la cosiddetta "presunzione di causalità", che alleggerisce l'onere della prova. Se chi è stato danneggiato può dimostrare sia che esiste una colpa (qualcuno non ha rispettato un determinato obbligo collegato al danno), sia che è ragionevolmente probabile un nesso di causalità con le prestazioni dell'AI, allora un giudice "può presumere che tale inosservanza abbia causato il danno". Il danneggiato non deve quindi dimostrare direttamente la causalità tra una colpa e il suo danno, cosa che per un sistema di AI è difficile.

La Commissione sottolinea che la norma è a garanzia sia dei potenziali danneggiati, sia delle aziende che sviluppano sistemi di AI. Nello scenario previsto dalla AI Liability Directive il danneggiato non è più obbligato a provare ciò che è spesso impossibile da dimostrare (la causalità). Ma, d'altro canto, non c'è una inversione dell'onere della prova, ossia non c'è una presunzione di colpevolezza di chi sviluppa o gestisce sistemi basati su AI. Che quindi non rischia di essere messo in crisi da richieste di risarcimento troppo "fantasiose".

Una seconda garanzia riguarda la possibilità che il danneggiato ha di ricavare informazioni (e prove) sulla sequenza degli eventi che ha portato, alla fine, a un danno. Un generico sistema o servizio basato su AI comprende, molto probabilmente, tasselli diversi forniti e gestiti da operatori differenti, con buona parte dei quali un cittadino non ha rapporti diretti. In caso di danno, questi può però - con la AI Liability Directive - chiedere a un giudice di ottenere e divulgare informazioni su questa "supply chain" dell'AI, per capire in dettaglio cosa non ha funzionato e chi potrebbe esserne ritenuto responsabile.

Spiegare la catena dei servizi basati su AI

Facciamo un esempio un po' estremo: una ipotetica Società A stabilisce periodicamente l'affidabilità di chi usufruisce di vari servizi finanziari, applicando ai dati che le vengono forniti dai suoi clienti (banche e altre istituzioni finanziarie) degli algoritmi di AI propri, che però si basano sui servizi di machine learning di un fornitore tecnologico terzo, l'Operatore C. Tra i clienti della Società A c'è anche la Banca B.

L'Azienda Rossi, cliente della Banca B, ritiene plausibilmente di aver subito un danno - ad esempio l'interruzione di una linea di credito, con conseguenze materiali importanti per la sua attività - a causa di una valutazione errata del suo stato finanziario e di solvibilità. Grazie alla AI Liability Directive, può chiedere di scoprire cosa c'è effettivamente dietro il servizio di valutazione che l'ha penalizzata. Chi fa cosa, cioè, nella catena tra Banca B, Società A, Operatore C. Catena lungo la quale diventa ora possibile recuperare prove. Il tutto, sottolinea comunque la Commissione, con "garanzie adeguate per proteggere le informazioni sensibili, come i segreti commerciali".

La AI Liability Directive si applica ai danni causati da qualsiasi tipo di sistema di Intelligenza Artificiale. E, secondo la Commissione, farà bene a tutto il mercato AI (che la UE, peraltro, spinge). La nuova norma intende infatti rendere più certo e garantista per tutti lo scenario legale collegato all'AI. "Le imprese saranno maggiormente in grado di prevedere le modalità di applicazione delle norme vigenti in materia di responsabilità e, di conseguenza, valutare la loro esposizione alla responsabilità e stipulare la relativa copertura assicurativa", si spiega.

La Commissione pare infatti aver posto particolare attenzione nel considerare la posizione delle aziende che non "fanno" direttamente AI ma sfruttano, nei propri prodotti o servizi, le funzioni di Intelligenza Artificiale sviluppate da altri. In caso di danno, la posizione di questi operatori intermedi può farsi rischiosa e difficile da difendere, in particolare quando si tratta di piccole-medie realtà senza le metaforiche "spalle larghe". Aggiornare le norme dovrebbe aiutare tutti, permettendo anche - anzi, in particolare - alle PMI europee di avvicinarsi all'AI con maggiori certezze.