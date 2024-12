L’approvazione definitiva, da parte del Consiglio europeo Giustizia e Affari interni, della nuova direttiva sulla responsabilità da prodotti difettosi (che sostituisce la direttiva 85/374/CEE) e l’introduzione del regolamento sulla cybersicurezza per i prodotti definiti IoT (Internet of things, Internet delle cose, ossia tutti quei prodotti collegati in rete che non siano smartphone o computer) determina una revisione sostanziale del quadro giuridico esistente. Il risultato è un insieme di norme coerenti con le caratteristiche attuali delle tecnologie, con particolare attenzione all’inclusione del software nella definizione di “prodotto” e all’estensione dei danni risarcibili, nonché all’obbligo di conformarsi a specifici requisiti di cyber-resilienza nell’ambito dell’Internet of Things (IoT). Per esplorare il tema delle AI, consigliamo il volume Ai Act -Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024 nonché il corso di formazione “AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”

1. Revisione della nozione di “prodotto” e ambito soggettivo della responsabilità

La nuova direttiva mira a superare l’impostazione originaria, orientata alla produzione industriale tradizionale, integrando una definizione di “prodotto” che comprende, in modo espresso, il software, indipendentemente dalla modalità di fornitura (installato localmente, fruito tramite servizi cloud o basato su modelli as-a-service). Vengono ricondotti nell’ambito della responsabilità del produttore i sistemi di intelligenza artificiale e i firmware, con estensione del perimetro di responsabilità anche agli aggiornamenti successivi alla prima immissione in commercio. L’obiettivo è riconoscere che lo sviluppatore o l’integratore conserva un controllo effettivo sul funzionamento del prodotto digitale, potendo intervenirvi anche dopo la fase di commercializzazione, e che tale controllo incide sulla sicurezza e sull’affidabilità dell’articolo.

Il produttore, così inteso, risponde quindi non solo per difettosità “originarie” del bene materiale, ma anche per vizi derivanti da componenti immateriali, come algoritmi di apprendimento automatico e update che modifichino le prestazioni del prodotto. Occorre rilevare che la direttiva esclude in maniera esplicita il software open source non rientrante in un’attività di carattere economico, evitando di ostacolare lo sviluppo di soluzioni libere e collaborative. Per esplorare il tema delle AI, consigliamo il volume Ai Act -Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024

2. Estensione della gamma dei danni risarcibili

La nuova disciplina innova anche in riferimento all’oggetto del risarcimento. Oltre ai danni materiali tradizionali e a quelli fisici, vengono inclusi: Danni psicologici , purché clinicamente rilevanti, riconoscendo le conseguenze che un malfunzionamento può avere sull’integrità psichica della persona.

, purché clinicamente rilevanti, riconoscendo le conseguenze che un malfunzionamento può avere sull’integrità psichica della persona. Perdita di dati, nel riconoscimento del valore economico e personale che i dati rivestono. L’eliminazione o la corruzione di file rappresenta un danno distinto e autonomamente risarcibile. Viene inoltre eliminata la soglia minima di 500 euro di danno materiale prevista dalla vecchia direttiva. I nuovi testi normativi affrontano anche i danni con manifestazione ritardata, prevedendo un periodo di responsabilità esteso sino a 25 anni in casi eccezionali.

3. Alleggerimento dell’onere della prova e obbligo di cooperazione del produttore

Un elemento di rilievo è la maggiore tutela del danneggiato sotto il profilo probatorio. Nei casi di difficoltà tecniche o scientifiche nel dimostrare la difettosità del prodotto o il nesso causale tra difetto e danno, il giudice può ricorrere a presunzioni a favore del ricorrente. Questo non elimina il principio dell’onere della prova, ma ne attenua gli effetti in situazioni ove la complessità tecnologica renda particolarmente gravoso dimostrare la responsabilità.

La direttiva prevede inoltre la possibilità per il tribunale di ordinare all’azienda produttrice o a soggetti nella sua sfera di controllo di fornire informazioni utili a stabilire l’esistenza e l’entità del difetto. Ciò attribuisce al giudice un potere di discovery temperato, finalizzato a riequilibrare le asimmetrie informative e a garantire un accesso effettivo alla tutela risarcitoria.

4. Responsabilità per produttori extra-UE e individuazione di un operatore nell’Unione

Per i prodotti fabbricati fuori dall’Unione Europea, è prevista la necessità di individuare un operatore economico stabilito nel territorio dell’UE che possa rispondere dei danni eventualmente causati dal prodotto difettoso. Questa disposizione mira ad evitare che il consumatore europeo si trovi privo di un interlocutore responsabile, garantendo che siano sempre rintracciabili soggetti in grado di rispondere del danno. Il nuovo regime obbliga, pertanto, gli importatori o i rappresentanti autorizzati a svolgere un ruolo attivo nel controllo della catena di fornitura.



5. Coordinamento con l’economia circolare e due anni per il recepimento interno

La direttiva, una volta pubblicata nella Gazzetta Ufficiale dell’Unione Europea, entrerà in vigore e gli Stati membri avranno due anni per il recepimento nel diritto nazionale. L’adeguamento normativo interno dovrà tener conto di un contesto in cui i prodotti possono essere riutilizzati, riparati, modificati o aggiornati nel corso della loro vita utile, superando il concetto classico di bene “statico”. In particolare, l’integrazione dei servizi digitali e la circolazione di prodotti usati, rinnovati o rigenerati impongono una valutazione costante delle responsabilità lungo l’intero ciclo di vita del prodotto.

6. Il regolamento sulla cybersicurezza per l’IoT: requisiti uniformi e marcatura CE

Accanto alla direttiva sulla responsabilità, il Consiglio ha approvato anche il regolamento sulla cybersicurezza dei prodotti con componenti digitali. Si tratta di un atto normativo direttamente applicabile, che introdurrà, a partire da 36 mesi dopo l’entrata in vigore, requisiti tecnici uniformi in materia di cybersicurezza per prodotti hardware e software connessi.

Il regolamento prevede che tali prodotti rispettino standard di sicurezza by design e security by default, imponendo ai produttori l’implementazione di procedure per la gestione delle vulnerabilità, il rilascio di aggiornamenti di sicurezza e il monitoraggio costante delle minacce. La conformità sarà attestata tramite la marcatura CE, che certificherà la rispondenza ai requisiti posti dal regolamento.

Vengono così superate le frammentazioni normative a livello statale, offrendo un quadro chiaro degli obblighi in materia di protezione del prodotto lungo l’intero ciclo di vita. Il regolamento stabilisce, inoltre, criteri di trasparenza e informazioni destinate agli utenti, affinché possano valutare in modo consapevole i rischi connessi all’utilizzo di determinati dispositivi.

7. Prodotti esclusi dal regolamento

Alcune categorie di prodotti, già sottoposte a normative settoriali sulla sicurezza informatica, non ricadono nel perimetro del nuovo regolamento. Si pensi, ad esempio, ai dispositivi medici, ai prodotti aeronautici o ad altri comparti già coperti da standard specifici. Questa scelta evita sovrapposizioni e ridondanze, armonizzando le disposizioni settoriali con quelle orizzontali.

8. Implicazioni pratiche per le imprese

Le imprese europee, e tutte quelle che intendono operare sul mercato dell’UE, devono prepararsi a un mutamento significativo nell’approccio alla responsabilità civile e alla gestione del rischio informatico. Sotto il profilo della responsabilità da prodotto, sarà necessario adottare procedure interne per garantire la disponibilità di informazioni tecniche in caso di controversie, integrare valutazioni del rischio tecnologico già in fase di progettazione, e prevedere meccanismi di aggiornamento e manutenzione del software che tengano conto dell’impatto potenziale sulla sicurezza del prodotto finale.

Sul versante della cybersicurezza, i produttori di dispositivi IoT, software, firmware e servizi correlati dovranno strutturare politiche di prevenzione delle vulnerabilità e attivare piani di intervento rapido per la gestione degli incidenti, oltre ad assicurarsi che la documentazione tecnica sia conforme ai requisiti di trasparenza e informazione previsti dal regolamento.

In prospettiva, la combinazione di queste misure darà origine a un ecosistema più controllato, in cui le responsabilità sono chiaramente definite e gli utenti possono contare su una maggiore tutela, sia dal punto di vista del risarcimento del danno, sia sotto il profilo della sicurezza dei dispositivi che utilizzano nella quotidianità.

9. Conclusioni

La nuova direttiva e il regolamento sulla cybersicurezza connessa ai prodotti digitali rappresentano un adeguamento coerente alle mutate condizioni di mercato e all’evoluzione tecnologica. L’estensione del concetto di prodotto al software, la previsione di danni non solo materiali ma anche relativi a dati e integrità psicologica, l’inversione di determinate presunzioni probatorie e l’imposizione di standard comuni di cybersicurezza delineano un contesto in cui la tutela del consumatore e la sicurezza informatica non sono più semplici corollari, ma elementi centrali nell’orientamento del legislatore europeo.

I prossimi mesi vedranno le imprese impegnate nell’adeguamento interno e nell’aggiornamento delle proprie strutture di compliance. Il mutato quadro normativo richiede un approccio metodico e una visione prospettica: i produttori dovranno non soltanto conformarsi alle nuove regole, ma incorporare sistematicamente criteri di responsabilità, sicurezza, trasparenza e accesso alla prova fin dalle prime fasi di progettazione e sviluppo dei prodotti. Questo cambiamento normativo assume la forma di un nuovo standard di riferimento, che inciderà sulle dinamiche commerciali, sulla definizione delle clausole contrattuali e sulla pianificazione degli investimenti in ricerca, sviluppo e cyberdefense.

