Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Danno da algoritmo: chi risponde nell'era dell'AI Act - Studio Legale MP - Verona

Un algoritmo nega un mutuo, sbaglia una diagnosi oncologica, produce un atto giudiziario pieno di sentenze inesistenti. Chi ne risponde? La domanda non è più accademica: è già sul tavolo di alcuni tribunali italiani, e le risposte che emergono dalla giurisprudenza più recente rivelano un sistema normativo in costruzione, costellato di zone d'ombra che i professionisti del diritto non possono permettersi di ignorare.

Il contesto normativo di riferimento si è infittito nel giro di pochi mesi. Il quadro regolatorio: AI Act, Direttiva prodotti difettosi e legge italiana

Summum ius summa iniuria: il massimo rigore del diritto può produrre la massima ingiustizia. Questo brocardo ciceroniano — richiamato già da Ulpiano nel Digesto — fotografa con precisione il rischio che corre un ordinamento che applica meccanicamente categorie vecchie a fenomeni nuovi. L'intelligenza artificiale è esattamente questo: un fatto nuovo che le categorie esistenti stentano a contenere.

Il Regolamento (UE) 2024/1689, noto come AI Act, è stato adottato il 13 giugno 2024, pubblicato nella Gazzetta ufficiale dell'Unione europea il 12 luglio 2024 ed è entrato in vigore il 1° agosto 2024. Non è una legge sulla responsabilità civile: è un atto di compliance, che classifica i sistemi di IA per livello di rischio e impone obblighi su progettazione, trasparenza, supervisione umana. Ma ha un effetto indiretto, e dirompente, sulla responsabilità: la violazione degli obblighi che esso pone può costituire — nel giudizio civile risarcitorio — indice forte di negligenza o di antigiuridicità della condotta.

A questo si affianca la nuova Direttiva (UE) 2024/2853 sul danno da prodotto difettoso, che ha sostituito la storica Direttiva 85/374/CEE. La normativa, entrata in vigore nel dicembre 2024 e da trasporre entro il 9 dicembre 2026, estende esplicitamente il campo di applicazione della responsabilità oggettiva anche ai prodotti digitali, inclusi quelli dotati di componenti IA, indipendentemente dalla modalità di erogazione (on-device, cloud-based o SaaS). Il principio è di portata storica: per la prima volta, un software — un modello di linguaggio, un sistema decisionale automatizzato — può essere giuridicamente trattato alla stregua di un prodotto difettoso, con tutto ciò che ne consegue in termini di onere della prova e legittimazione passiva.

Sul piano nazionale, la legge del 23 settembre 2025, n. 132 ha introdotto una disciplina organica sull'intelligenza artificiale nel nostro ordinamento, muovendosi in coerenza con l'AI Act europeo: centralità del controllo umano, tracciabilità, responsabilità, esclusione di automatismi decisori nei settori che incidono sui diritti fondamentali. A questa legge si affiancano ora due decreti attuativi approvati nel giugno 2026: l'approvazione preliminare dei due decreti legislativi sull'applicazione dell'intelligenza artificiale segna una svolta nella regolamentazione nazionale, rendendo l'Italia uno dei primi Paesi europei a dotarsi di un impianto organico e coerente sulle regole per l'impiego dell'IA nei settori chiave della società. I testi sono stati adottati in attuazione della legge n. 132/2025, che ha definito i principi basilari per l'utilizzo di questi sistemi, richiamando l'impostazione dell'AI Act europeo e integrandone le prescrizioni sul territorio italiano. Tra le novità di rilievo civile, la legge 132/2025 ha delegato il Governo ad adottare, entro l'ottobre del 2026, uno o più decreti legislativi per definire una disciplina organica relativa all'utilizzo di dati, algoritmi e metodi matematici per l'addestramento di sistemi di intelligenza artificiale, attribuendo alle sezioni specializzate in materia di impresa la competenza a decidere delle istanze, di carattere risarcitorio o inibitorio, a tutela dei diritti gravanti sulla parte che intenda procedere all'utilizzo di tali sistemi.

Come osserva Nassim Nicholas Taleb in Antifragile, i sistemi complessi nascondono rischi che si manifestano solo nell'evento estremo. L'opacità algoritmica è esattamente questo: un rischio sistemico invisibile finché non produce il danno.

Il nodo irrisolto: "scatola nera", nesso causale e ripartizione dell'onere probatorio

Il problema più acuto per chi voglia ottenere un risarcimento da un sistema di IA è la prova. Il regime ordinario dell'art. 2043 c.c. esige la dimostrazione del dolo o della colpa dell'autore del fatto dannoso, nonché l'esistenza di un nesso causale tra condotta ed evento. Quando un sistema agisce in maniera autonoma, la catena decisionale risulta spesso opaca o indecifrabile per la vittima, che si trova nell'impossibilità pratica di individuare e provare un comportamento umano colposo. È il problema della black box: l'algoritmo ha preso una decisione, ma nessuno — nemmeno il suo sviluppatore — è in grado di spiegare esattamente perché.

Qui la giurisprudenza italiana, pur in assenza di fattispecie direttamente afferenti all'IA, ha elaborato strumenti utilizzabili per analogia. La Cassazione civile, con ordinanza n. 11950 del 2024, ha ribadito che la responsabilità ex art. 2051 c.c. ha natura oggettiva, in quanto si fonda unicamente sulla dimostrazione del nesso causale tra la cosa in custodia e il danno, non già su una presunzione di colpa del custode. Questo principio assume particolare rilevanza per i sistemi di IA, che possono essere considerati "cose" in custodia del loro utilizzatore o proprietario. Il trasferimento concettuale non è indolore, ma è percorribile: il deployer di un sistema di IA che causa danni potrebbe rispondere a titolo di responsabilità del custode, salvo prova del caso fortuito.

Sul versante della responsabilità amministrativa, occorre richiamare anche il recente intervento del legislatore: la legge 7 gennaio 2026, n. 1, che introduce modifiche alla legge 14 gennaio 1994, n. 20, tipizza la nozione di colpa grave, restringendone l'ambito applicativo. Entrambe le discipline che tipizzano la colpa grave tendono a restringere l'ambito dell'elemento soggettivo della responsabilità erariale, con la conseguenza che risulterà difficile dimostrare tale livello di colpa nelle ipotesi di danno erariale derivante dall'impiego di sistemi di intelligenza artificiale.

Di grande impatto pratico è poi la questione della responsabilità del professionista legale che usa l'IA in modo acritico. I tribunali italiani stanno costruendo un orientamento sempre più netto. Il Tribunale di Siracusa, con sentenza del 20 febbraio 2026, n. 338, ha affrontato il caso di un atto processuale redatto con il supporto dell'intelligenza artificiale, contenente allegazioni tardive e mal strutturate, confermando i limiti di ammissibilità di prospettazioni introdotte in memorie non appropriate e ribadendo la piena responsabilità del difensore per il contenuto degli scritti difensivi a prescindere dallo strumento utilizzato.

Ancora più esplicita è la posizione del Tribunale di Torino, che — citato dalla stessa dottrina processualcivilistica più recente — ha affermato che un atto redatto col supporto dell'intelligenza artificiale con citazioni inconferenti o inesistenti integra i presupposti della responsabilità aggravata ex art. 96, comma 3, c.p.c., con condanna al pagamento di una somma equitativamente determinata in favore della controparte.

Non è un caso isolato: i sistemi attuali "inventano, in alcuni casi, riferimenti di sentenze inesistenti". Un errore macroscopico che spalanca le porte a gravi responsabilità verso il cliente, oltre che a sanzioni deontologiche. E come ricorda Giacomo Travaglino, già presidente emerito della terza sezione civile della Cassazione, sul tema causalità e danno, i criteri del risarcimento, se si affidassero all'IA, andrebbero incontro a falsificazioni.

Il quadro si complica ulteriormente sul piano dell'imputazione soggettiva nei confronti della pubblica amministrazione che adotta decisioni algoritmiche. La giurisprudenza amministrativa e lo stesso legislatore hanno mantenuto un orientamento antropocentrico dell'IA, ritenendo necessario individuare un centro di imputazione e di responsabilità che sia in grado di verificare la legittimità e la logicità della decisione dettata dall'algoritmo. In virtù del principio di immedesimazione organica, la pubblica amministrazione che si avvale dell'algoritmo sarà responsabile del danno patito dal soggetto sul quale si producono gli effetti negativi del provvedimento algoritmico, ferma restando la possibilità di rivalersi sui singoli responsabili.

Sul piano della compliance aziendale, entra in gioco anche il GDPR: il Regolamento UE 2016/679 riconosce all'art. 82 il diritto al risarcimento per danni materiali e immateriali subiti a causa di violazioni della normativa sulla protezione dei dati personali, applicabile anche ai trattamenti effettuati mediante sistemi IA. Una norma già attiva, già applicabile — e già largamente sottoutilizzata nel contenzioso italiano.

Cosa deve fare, dunque, chi oggi opera con sistemi di IA o ne subisce le conseguenze? La strada è ancora stretta. Sul versante dell'impresa e del professionista che usa l'IA, la regola fondamentale è quella del controllo umano effettivo e documentato: ogni output algoritmico deve essere verificato prima di produrre effetti giuridici verso terzi, pena l'impossibilità di invocare l'autonomia della macchina come esimente. Sul versante del danneggiato, la chiave di accesso al risarcimento passa per la ricostruzione del ciclo di vita del sistema: chi lo ha sviluppato, chi lo ha reso disponibile, chi ne ha supervisionato il funzionamento e — crucialmente — se siano stati rispettati gli obblighi di trasparenza e documentazione previsti dall'AI Act. Il combinato disposto tra la presunzione di causalità che la nuova Direttiva prodotti difettosi introduce e gli obblighi documentali dell'AI Act crea, per la prima volta, uno spazio probatorio percorribile per la vittima.

Il vero cambio di paradigma non è tecnologico, ma giuridico: non si tratta più di capire se una macchina possa essere considerata responsabile, ma di stabilire quale essere umano — tra sviluppatore, fornitore, deployer e utilizzatore finale — abbia omesso il controllo che avrebbe dovuto esercitare. La risposta, sentenza dopo sentenza, sta emergendo: e dice che il controllo umano non è facoltativo. È l'unica risposta sensata a un sistema che, per sua natura, non può rispondere di sé.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP