Il danno da prodotti difettosi entra nel mondo digitale: è in vigore la nuova Direttiva UE

Lo scorso 8 dicembre 2024 è entrata in vigore la nuova Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi, che ha abrogato la precedente Direttiva 85/374/CEE.

Alla luce delle sfide delle moderne tecnologie digitali e dei nuovi modelli di business dei player del mercato, la Direttiva amplia in modo significativo l’ambito di applicazione della responsabilità per danno da prodotti difettosi: dallo scorso 8 dicembre il regime di responsabilità oggettiva si applica a tutti i beni mobili, tra cui sono annoverati anche – a mero titolo esemplificativo – i software, i file per la fabbricazione digitale, le applicazioni o i sistemi di intelligenza artificiale.

Gli Stati membri avranno tempo fino al 9 dicembre 2026 per recepire la Direttiva e per tale ragione, al fine di garantire la certezza del diritto, le nuove disposizioni si troveranno applicazione solo rispetto ai prodotti immessi sul mercato o messi in servizio dopo tale data. Inoltre, con l’obiettivo di garantire il massimo livello di armonizzazione e ridurre al minimo le disparità, la Direttiva impedisce agli Stati membri di mantenere o adottare disposizioni nazionali diverse da quelle stabilite dalla stessa Direttiva, siano esse più o meno rigorose.

Come già anticipato, tra le principali novità non si può non menzionare la definizione più ampia di “prodotto”, ora comprensiva del software (a prescindere dalle modalità con cui viene fornito o usato, sia esso integrato in un dispositivo o fornito attraverso un modello SaaS) e dei servizi digitali integrati o interconnessi (che contribuiscono alla sicurezza di un prodotto, permettendo al prodotto stesso di svolgere le sue funzioni – come, ad esempio, i servizi di assistenza vocale che consentono di controllare uno o più prodotti tramite i comandi vocali).

È interessante peraltro notare che la Direttiva troverà applicazione anche nei casi in cui il software venga fornito in cambio di un prezzo o di dati personali nel corso di un’attività commerciale – ovvero uno scenario in cui i dati personali non sono trattati esclusivamente con l’obiettivo di migliorare la sicurezza, la compatibilità o l’interoperabilità del software in questione.

Sotto un ulteriore profilo, è interessante anche notare come – conscia dei recenti sviluppi tecnologici – la Direttiva chiarisca che un prodotto deve intendersi come sotto il controllo del relativo produttore anche dopo la sua immissione sul mercato, ove questo mantenga la capacità di fornire aggiornamenti o migliorie del software direttamente o tramite terzi.

Oltre alla nuova definizione di prodotto, la Direttiva introduce anche condizioni più favorevoli per i consumatori che mirano a ottenere un risarcimento. Da un lato, il legislatore europeo amplia la definizione di danno risarcibile al fine di includere i danni psicologici e la distruzione o la corruzione dei dati (da intendersi, ad esempio, come la cancellazione dei file digitali da un disco rigido). Dall’altro lato, stante l’uso sempre più frequente dei beni a fini sia personali che professionali, la risarcibilità è ora estesa ai beni a uso misto – rimanendo esclusa, invece, la possibilità di ottenere il risarcimento del danno asseritamente causato a beni utilizzati a fini esclusivamente professionali.

In questo contesto, un’altra novità fondamentale è il nuovo meccanismo di divulgazione degli elementi di prova, che alleggerisce l’onere della prova per gli attori nei casi maggiormente complessi. A fronte della mancata condivisione da parte del convenuto delle informazioni ritenute pertinenti, il carattere difettoso del prodotto in questione potrà essere oggetto di presunzioni da parte delle competenti autorità.

La Direttiva introduce inoltre chiari (e distinti) termini per richiedere il risarcimento di un danno rientrante nell’ambito di applicazione della stessa: tre anni dal giorno in cui il consumatore ha avuto conoscenza (o avrebbe ragionevolmente dovuto avere conoscenza) del danno, del carattere difettoso e dell’identità dell’operatore economico che può essere ritenuto responsabile di tale danno; dieci anni dalla data in cui il prodotto difettoso che ha causato il danno è stato immesso sul mercato o messo in servizio o, in caso di modifiche sostanziali, dalla data in cui il prodotto modificato è stato messo a disposizione sul mercato o in servizio.
Per i danni alla persona con effetti latenti, tale termine si estende invece a 25 anni.

La Direttiva chiarisce che un prodotto può essere considerato difettoso anche in ragione della sua vulnerabilità in termini di cybersicurezza (ad esempio, se non soddisfa i requisiti di sicurezza informatica). A tal proposito, essendo la Direttiva complementare al regolamento sulla cyber resilienza (il Regolamento (UE) 2024/2847) (pubblicato sulla Gazzetta ufficiale dell’UE lo scorso 20 novembre 2024), i produttori dovranno, tra l’altro, rispettare gli obblighi relativi alla fornitura di aggiornamenti di sicurezza dei prodotti previsti da tale regolamento.

Sempre nell’ottica di rimanere al passo ai recenti sviluppi digitali e alla luce del ruolo sempre più significativo dei soggetti che operano (del tutto o in parte) nel mondo digitale, la Direttiva amplia la categoria degli “operatori economici” al fine di includervi anche i fornitori di servizi di logistica, coloro che modificano sostanzialmente i prodotti e, da ultimo, le piattaforme online.

Per quanto riguarda specificamente le piattaforme online, la Direttiva cerca di mantenere un equilibrio con il regime di responsabilità introdotto dalla Direttiva E-Commerce e ribadito dal Regolamento DSA (Regolamento (UE) 2022/2065). In particolare, è prevista una responsabilità in capo ai fornitori di piattaforme online quando questi assumano ruoli che vanno oltre la semplice intermediazione (i.e. produttore, importatore, rappresentante autorizzato, fornitore di servizi di adempimento o distributore di un prodotto difettoso). Al contrario, ove tali piattaforme fungano esclusivamente da intermediari nelle transazioni tra commercianti e consumatori e non diano l’impressione ai consumatori di essere invece i venditori dei prodotti considerati o i relativi rappresentanti autorizzati, la loro responsabilità continua ad essere disciplinata dal Regolamento DSA

Da ultimo, l’intento del legislatore europeo di adattare la normativa sul danno da prodotto difettoso all’era digitale, nonché di creare un sistema omogeneo tra i diversi regolamenti e direttive in vigore, si può osservare anche rispetto al recente AI Act (Regolamento (UE) 2024/1689), a cui la Direttiva rimanda in maniera più o meno esplicita.

In tale contesto, un il legislatore europeo, riconoscendo il potenziale di trasformazione dell’IA, ha voluto creare un quadro giuridico completo, integrando le regole introdotte con l’AI Act in tema di sistemi e modelli e relativi obblighi con solidi meccanismi di protezione dei consumatori. Merita ad esempio di essere evidenziato che anche i fornitori di sistemi di IA rientrano a loro volta nella categoria dei “produttori”, con tutto ciò che ne consegue.

La Direttiva, inoltre, riconosce espressamente il software di IA come “prodotto” e, prendendo in considerazione il funzionamento di tali tecnologie, chiarisce che alle modifiche effettuate mediante un aggiornamento o una miglioria del software dovrebbero applicarsi gli stessi principi applicati alle modifiche effettuate in altri modi – evidenziando inoltre che una modifica sostanziale debba ritenersi apportata non solo mediante un aggiornamento o una miglioria del software, ma anche a causa dell’apprendimento continuo di un sistema di IA. In tali casi, il prodotto modificato in maniera sostanziale dovrebbe essere considerato come messo a disposizione sul mercato o messo in servizio al momento in cui è effettivamente apportata la modifica.

Infine, considerata la complessità per gli attori di provare i danni causati da prodotti difettosi, compresi i sistemi di intelligenza artificiale, la Direttiva introduce misure per facilitare la divulgazione delle prove nei procedimenti giudiziari. In un procedimento avente ad oggetto un sistema di IA, il consumatore non sarà quindi tenuto a spiegare le caratteristiche specifiche del sistema o il modo in cui tali caratteristiche complicano la prova del nesso di causalità; al contrario, il consumatore dovrà dimostrare esclusivamente che è probabile che il prodotto fosse difettoso o, nel caso in cui non riesca a provare il nesso di causalità, soltanto che il carattere difettoso del prodotto è una probabile causa del danno. 

La Direttiva si prefigge quindi di ampliare la regolamentazione dell’intelligenza artificiale anche nel contesto del danno da prodotti difettosi. Proprio per tale ragione, alla luce dell’ambito di applicazione della Direttiva ora esteso, si fa sempre più forte l’opinione secondo la quale la AI Liability Directive – proposta nel 2022 e di recente criticata apertamente da numerosi Stati membri – non sarebbe neppure più necessaria.

L’obiettivo generale della Direttiva è chiaro: migliorare la protezione dei consumatori nell’era digitale creando un quadro più completo per affrontare i danni dovuti ai prodotti difettosi. L’ulteriore complessità posta dalla Direttiva – che comunque dovrà trasposta da ciascuno Stato membro – agli operatori del mercato sarà quella di dover navigare tra le potenziali intersezioni con l’AI Act, il DSA e le normative esistenti in materia di cybersecurity e protezione dei dati, nonché quella di garantire il rispetto di tutti gli obblighi da una prospettiva olistica e integrata.

______

*A cura di Massimiliano Masnada, Ambra Pacitti e Cecilia Canova - Hogan Lovells

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più