1. La Responsabilità Civile: il Crollo dei Paradigmi Tradizionali

L'espansione esponenziale dei sistemi di intelligenza artificiale nei settori più diversi — dalla sanità alla mobilità, dalla finanza alla giustizia — ha posto con urgenza una domanda che il diritto fatica ancora a rispondere con coerenza sistematica: chi è responsabile quando un sistema autonomo causa un danno? Le categorie tradizionali del diritto, concepite per un mondo in cui l'azione umana è l'unico polo causale, si trovano oggi a confrontarsi con sistemi capaci di apprendimento autonomo, comportamenti emergenti e opacità algoritmica. Il terreno si è fatto instabile — e le soluzioni disponibili, ancora insufficienti.

1.1. L'inadeguatezza della responsabilità per colpa

Il regime ordinario di responsabilità extracontrattuale, ancorato all'art. 2043 del codice civile, presuppone la dimostrazione del dolo o della colpa dell'autore del fatto dannoso, nonché l'esistenza di un nesso causale tra condotta ed evento. Applicato al contesto dell'IA, tale modello rivela criticità strutturali: quando un sistema agisce in maniera autonoma, la catena decisionale risulta spesso opaca o indecifrabile per la vittima, che si trova nell'impossibilità pratica di individuare e provare un comportamento umano colposo. L'International AI Safety Report 2026 ha documentato come l'espansione dell'IA general-purpose abbia messo sotto pressione le categorie giuridiche tradizionali, registrando casi in cui sistemi di IA generano informazioni false, errori di ragionamento e codice difettoso anche in ambiti sensibili come la medicina o il diritto. Non si tratta di anomalie: è la natura stessa di questi sistemi, probabilistici e adattativi, a rendere strutturale il problema.

1.2. La Direttiva sulla Responsabilità da Prodotto: un Primo Adeguamento

Un passo significativo verso l'adattamento del quadro civilistico è rappresentato dalla nuova Direttiva (UE) 2024/2853 sul danno da prodotto, che ha sostituito la storica Direttiva 85/374/CEE. La normativa, entrata in vigore nel dicembre 2024 e da trasporre entro il 9 dicembre 2026, estende esplicitamente il campo di applicazione della responsabilità oggettiva anche ai prodotti digitali, inclusi quelli dotati di componenti IA, indipendentemente dalla modalità di erogazione (on-device, cloud-based o SaaS). Il punto qualificante è il nesso diretto tra conformità normativa e responsabilità: la non conformità agli obblighi regolatori — in primis l'AI Act, ma anche il Cyber Resilience Act e il Machinery Regulation — costituisce indice di difettosità del prodotto. In altri termini, il mancato rispetto degli obblighi di progettazione sicura, trasparenza e governance dei dati può tradursi in esposizione a responsabilità civile oggettiva. Il produttore che mette in commercio un sistema IA deve rispondere dei danni derivanti da difetti presenti al momento dell'immissione sul mercato, con la sola via d'uscita del cosiddetto "rischio di sviluppo": dimostrare, cioè, che il difetto non era prevedibile alla luce delle conoscenze disponibili.

1.3. Il Ritiro della Proposta di Direttiva sulla Responsabilità da IA

Nonostante questi progressi, il quadro europeo presenta ancora una lacuna sistematica che non si può sottacere. Nel 2025 la Commissione europea ha ritirato la proposta di Direttiva sulla responsabilità civile per l'intelligenza artificiale (AILD), originariamente presentata il 28 settembre 2022, per assenza di un consenso politico tra gli Stati membri. Un dato che, a mio avviso, racconta molto delle tensioni tra innovazione e tutela che attraversano l'Unione. La proposta AILD mirava a introdurre regole uniformi per la responsabilità extracontrattuale da danni causati da sistemi IA, affrontando con strumenti dedicati le specifiche difficoltà probatorie connesse alla natura algoritmica dei sistemi. Il suo ritiro ha riportato al centro del dibattito la frammentarietà del sistema europeo: senza un quadro condiviso, ogni Stato membro è lasciato a navigare da solo in acque inesplorate. Nel Parlamento europeo, il Comitato IMCO ha espresso parere negativo sulla proposta, ritenendola prematura, mentre il Comitato JURI ha proseguito i lavori, con l'obiettivo di pubblicare una relazione nel giugno 2025.

1.4. Modelli di Responsabilità a Confronto

La dottrina civilistica si è divisa tra diverse opzioni per colmare il vuoto. Vale la pena ripassarle con sguardo critico: La responsabilità per attività pericolosa ex art. 2050 c.c. è sostenuta da chi riconduce l'impiego di sistemi IA ad attività rischiose per natura, configurando una responsabilità oggettiva con onere probatorio inverso: l'utilizzatore si libera solo dimostrando di aver adottato tutte le misure idonee ad evitare il danno. La responsabilità per cosa in custodia ex art. 2051 c.c. è proposta in via analogica, estendendo il concetto di "cosa" ai sistemi intelligenti autonomi. Una soluzione che ha il pregio della semplicità, ma che forza categorie pensate per oggetti fisici privi di autonomia decisionale. Un approccio alternativo, più sofisticato, individua come responsabile non il soggetto negligente in senso classico, ma colui che — in determinate circostanze — è in grado di minimizzare i rischi: tipicamente il produttore o il deployer del sistema. Una logica che sposta il fuoco dalla colpa individuale alla gestione del rischio strutturale. In via complementare, è stata ipotizzata la creazione di sistemi assicurativi dedicati e fondi di garanzia: strumenti utili a garantire l'effettività della tutela risarcitoria nei casi in cui nessun soggetto risulti agevolmente imputabile.

2. La Responsabilità Penale: tra Colpa Umana e Autonomia Algoritmica

Se la responsabilità civile si confronta con un problema di imputazione del danno, quella penale pone una questione ancora più radicale: può una macchina essere colpevole? La risposta, allo stato attuale, è no — e le ragioni di questo "no" hanno implicazioni profonde per tutto il sistema.

2.1. Il Problema dell'Imputazione

La responsabilità penale si fonda sull'attribuzione del rimprovero a un soggetto consapevole delle proprie azioni, capace di distinguere tra giusto e sbagliato. I sistemi di IA, allo stato attuale, non possiedono coscienza o intelligenza morale comparabile a quella umana: le loro decisioni autonome sono il risultato di regole predefinite da programmatori umani. La mancanza di coscienza rende impossibile ascrivere responsabilità penale diretta alle macchine — il sistema penale è progettato per orientare il comportamento umano attraverso la minaccia della punizione, un concetto privo di efficacia nei confronti di entità prive di volontà.

2.2. La Colpa del Programmatore e del Produttore

Se la macchina non può essere imputata, l'attenzione si sposta inevitabilmente sui soggetti umani a monte della catena causale: programmatori, produttori, utilizzatori e supervisori dei sistemi IA. Ed è qui che il diritto penale incontra le sue sfide più interessanti. L'AI Act impone obblighi di progettazione sicura, trasparenza, robustezza e governance dei dati per i sistemi ad alto rischio. La violazione di tali obblighi, qualora determini un evento lesivo, può fondare la responsabilità penale per colpa. Tuttavia — come osserva lucidamente la dottrina — la portata cautelare di tali requisiti è individuabile soltanto in un'ottica complessiva: non è agevole identificare la portata predittiva ed impeditiva di ciascun singolo requisito. Nei casi di incidenti con veicoli a guida autonoma, la giurisprudenza statunitense ha già affrontato profili di responsabilità penale del conducente-supervisore e, in sede civile, del produttore per difetto del prodotto. In Italia, la dottrina penalistica ha approfondito il tema in numerosi contributi monografici, concentrandosi sulla gestione del "rischio stradale" nell'era dell'IA. Siamo ancora in una fase di costruzione teorica: le risposte definitive devono ancora venire. Va poi considerato l'impiego di sistemi IA per automatizzare attacchi informatici, generare malware o condurre campagne di phishing con deepfake avanzati: un terreno in cui la responsabilità penale degli abusatori è chiara, ma restano aperti gli interrogativi sulla responsabilità dei fornitori che non abbiano implementato adeguate misure di sicurezza.

2.3. La Black Box Algoritmica come Ostacolo Probatorio

L'opacità dell'algoritmo — la cosiddetta black box — incide significativamente sulla delimitazione della sfera di dominio dei programmatori rispetto all'attività del dispositivo. Non essendo in grado di spiegare le singole scelte operate dagli algoritmi, i programmatori incontrano notevoli difficoltà nel comprendere se un determinato output lesivo sia il frutto di un errore ordinario — essendo gli algoritmi basati su tecniche probabilistiche — o se si tratti di un problema effettivo e persistente nel funzionamento del sistema. Questa opacità si ripercuote anche sul nesso causale: nel diritto penale, l'accertamento del legame tra violazione delle regole cautelari ed evento lesivo risulta particolarmente complesso quando il comportamento del sistema è imprevedibile o emergente. È uno degli snodi più delicati del dibattito attuale — e uno di quelli su cui mi aspetto che la giurisprudenza dei prossimi anni sia chiamata a pronunciarsi con forza.

3. Il Quadro Normativo Europeo: AI Act e Sistema di Governance

3.1. Il Regolamento AI Act come Benchmark di Sicurezza

Il Regolamento (UE) 2024/1689 — l'AI Act — non disciplina direttamente la responsabilità civile o penale, ma stabilisce un sistema di governance e requisiti di conformità che influenzano indirettamente entrambi i profili. I sistemi IA ad alto rischio sono soggetti a obblighi stringenti in materia di qualità dei dati, documentazione tecnica, registrazione dei log, trasparenza, supervisione umana, accuratezza, robustezza e sicurezza informatica. La violazione di tali obblighi può integrare il presupposto della colpa o della difettosità del prodotto, creando un ponte fondamentale tra regolazione ex ante e responsabilità ex post. La nuova Direttiva sulla responsabilità da prodotto rende esplicito questo nesso, subordinando la valutazione della difettosità alla conformità agli standard regolatori applicabili. In questo senso, l'AI Act non è solo un regolamento sulla sicurezza: è, potenzialmente, il manuale del giudice chiamato a stabilire chi ha sbagliato.

3.2. Il Cyber Resilience Act e la Protezione dei Dati

Il Regolamento (UE) 2024/2847 sulla ciberresilienza impone obblighi di sicurezza per i prodotti con elementi digitali, sanzionando il mancato rispetto degli obblighi di progettazione sicura, aggiornamento e gestione delle vulnerabilità. Pur avendo natura essenzialmente preventiva, esso contribuisce a definire gli standard di diligenza attesi dai produttori — e ciò ha ricadute dirette sui profili di responsabilità. Parallelamente, il GDPR (Regolamento UE 2016/679) riconosce all'art. 82 il diritto al risarcimento per danni materiali e immateriali subiti a causa di violazioni della normativa sulla protezione dei dati personali, applicabile anche ai trattamenti effettuati mediante sistemi IA. Una norma già attiva, già applicabile — e già largamente sottoutilizzata nel contenzioso italiano.

4. Prospettive e Raccomandazioni

4.1. Verso un Regime di Responsabilità Oggettiva Rinforzata

Il quadro normativo attuale si presenta disomogeneo e parziale, incapace di fornire una risposta sistematica ai problemi posti dall'impiego dell'intelligenza artificiale. L'adozione di un modello di responsabilità oggettiva, rafforzato da presunzioni legali di imputabilità e integrato da strumenti assicurativi o fondi di garanzia, appare la soluzione preferibile per garantire certezza giuridica, effettività della tutela e bilanciamento tra innovazione e diritti fondamentali. Non si tratta di frenare l'innovazione: si tratta di darle un perimetro entro cui possa svilupparsi senza sacrificare la tutela delle persone.

4.2. La Necessità di un Intervento Normativo Armonizzato

Il ritiro della proposta AILD non deve tradursi in un'immobilizzazione del dibattito. Al contrario, richiede un intervento normativo esplicito, sia a livello nazionale che europeo, volto a colmare il vuoto lasciato e a fornire un quadro coerente. Come suggerisce la dottrina più avanzata, occorre considerare la transizione da una direttiva focalizzata sull'IA a una regolamentazione più ampia sulla responsabilità da software, per prevenire la frammentazione del mercato interno e, soprattutto, per non lasciare le vittime dei danni algoritmici senza tutela effettiva.

4.3. Il Ruolo della Trasparenza e della Documentazione

Per rendere effettiva la responsabilità, è indispensabile che i sistemi IA siano progettati con requisiti di trasparenza e tracciabilità fin dalla fase di sviluppo. La documentazione tecnica, i log di funzionamento e le valutazioni d'impatto previste dall'AI Act costituiscono strumenti essenziali per superare l'opacità algoritmica e consentire l'accertamento dei fatti in sede giudiziaria. Senza tracciabilità, non c'è responsabilità. È un principio antico del diritto — e vale anche per le macchine che imparano.

Conclusioni

La responsabilità civile e penale nell'era dell'intelligenza artificiale rappresenta una delle sfide più complesse per il diritto contemporaneo. Le categorie tradizionali, costruite attorno alla centralità dell'agente umano, mostrano i propri limiti di fronte a sistemi autonomi, opachi e in continua evoluzione. Il quadro europeo, pur avendo compiuto passi significativi con l'AI Act e la nuova Direttiva sulla responsabilità da prodotto, presenta ancora lacune sistemiche evidenziate dal ritiro della proposta AILD. Per gli operatori del diritto — avvocati, giudici, consulenti, legislatori — la sfida consiste nell'interpretare gli strumenti normativi esistenti in chiave evolutiva, valorizzando i ponti tra conformità regolatoria e responsabilità, e nel promuovere un dibattito politico che porti a un regime di responsabilità armonizzato, capace di bilanciare l'incentivazione all'innovazione con la tutela effettiva delle vittime. Come spesso accade con le grandi trasformazioni tecnologiche, il diritto insegue.

Ma non può permettersi di perdere il passo. Solo un approccio integrato — che coniughi regolazione preventiva, responsabilità oggettiva e strumenti di mitigazione del rischio — potrà offrire risposte adeguate alla complessità della rivoluzione algoritmica. Il percorso di studio che ho intrapreso — tra Python, API e architetture di LLM — mi ha convinto di una cosa: la rivoluzione dell'IA non è solo tecnologica. È, prima di tutto, una rivoluzione giuridica. E il diritto, per essere all'altezza, deve capire la macchina. Non per obbedirle, ma per governarla.