Sta occupando i discorsi estivi, almeno sui social network, la Direttiva UE 2024/2853, pubblicata sulla Gazzetta Ufficiale dell'Unione Europea il 18 novembre 2024 e che entrerà in vigore a dicembre 2026: essa prevede infatti di equiparare i programmi informatici ai prodotti fisici in termini di responsabilità civile per danni. Qquesta normativa, che sostituisce la precedente Direttiva 85/374/CEE, stabilisce che i produttori di software - inclusi sistemi operativi, app, firmware, software in cloud e sistemi di intelligenza artificiale - saranno responsabili per eventuali danni causati dai loro prodotti, come perdite di dati, danni materiali o lesioni fisiche e psicologiche certificate. La responsabilità si estende fino a 10 anni dall'immissione del prodotto sul mercato, con un limite eccezionale di 25 anni per i danni alla persona che si manifestano tardivamente.

La direttiva introduce un concetto di responsabilità oggettiva, semplificando l'onere della prova per i consumatori. Chi subisce un danno dovrà dimostrare solo il difetto del software e il nesso causale con il danno, senza dover provare la colpa o la negligenza del produttore. Questo approccio si applica a un'ampia definizione di "prodotto", che include software standalone, sistemi SaaS (Software-as-a-Service), firmware integrato in dispositivi come automobili o elettrodomestici smart e persino sistemi di intelligenza artificiale. La normativa considera «fabbricante» non solo chi sviluppa il software, ma anche chi lo integra in un prodotto commerciale o lo distribuisce, apponendo il proprio marchio o autorizzandone l'uso. Ciò significa che aziende che incorporano componenti software di terzi, inclusi quelli open source, saranno responsabili per eventuali difetti, senza possibilità di rivalersi sugli sviluppatori originari se questi operano senza fini commerciali.

Un aspetto centrale della direttiva riguarda proprio il trattamento del software open source. I programmi sviluppati e distribuiti senza scopo di lucro sono esentati dalla responsabilità, a patto che non vengano monetizzati o utilizzati per raccogliere dati personali al di là di scopi legati a sicurezza, compatibilità o interoperabilità. Tuttavia, se un software open source viene integrato in un prodotto commerciale, come un'app o un dispositivo IoT, il produttore del prodotto finale sarà ritenuto responsabile per i danni causati, anche se il componente difettoso proviene da una libreria open source. Questo aspetto potrebbe scoraggiare le piccole aziende e gli sviluppatori indipendenti, che potrebbero non avere le risorse per affrontare i rischi legali o per ottenere coperture assicurative adeguate. Inoltre, la direttiva preclude l'uso di disclaimer o clausole di esclusione di responsabilità nelle licenze software, rendendo i produttori vulnerabili a richieste di risarcimento per danni ai dati, come la perdita di file, o per lesioni psicologiche certificate.

La normativa si inserisce in un contesto nato per rafforzare la sicurezza e la tutela dei consumatori nell'era digitale, anche se in questo caso sembra voler penalizzare gli sviluppatori ben oltre il lecito: la direttiva sul software solleva infatti non poche preoccupazioni per il suo potenziale impatto sull'innovazione. La responsabilità estesa potrebbe disincentivare le piccole realtà e le startup, che potrebbero non essere in grado di sostenere i costi legati a eventuali contenziosi o alla gestione del rischio. L'impossibilità di limitare la responsabilità tramite licenze potrebbe spingere alcune aziende a riconsiderare la commercializzazione di software in Europa, favorendo mercati con normative meno restrittive.

Per approfondire:

Le IA vendute come oracoli sono solo fuffa: ecco perché

L'intelligenza artificiale era un esercito di programmatori umani

Amazon, la IA ha trasformato la programmazione in una catena di montaggio

Si riducono tempi e costi, e tutto sembra funzionare

Dal punto di vista pratico, la direttiva facilita i consumatori nel richiedere risarcimenti. Per esempio, in caso di perdita di dati causata da un bug in un'app o di un malfunzionamento di un sistema AI che provoca un danno fisico, come un incidente con un veicolo autonomo, l'utente dovrà solo dimostrare il difetto e il danno subito. La normativa considera risarcibili anche danni immateriali come lesioni psicologiche certificate: un aspetto che amplia significativamente la portata della responsabilità rispetto al passato. Per i prodotti importati da Paesi extra-UE, la responsabilità ricade su importatori o rappresentanti autorizzati nell'Unione, garantendo che anche i software sviluppati al di fuori dell'Europa siano soggetti alle stesse regole.

Le implicazioni per l'industria sono molteplici. Le grandi aziende tecnologiche, come Microsoft o Google, potrebbero adattarsi più facilmente, grazie a risorse finanziarie e legali adeguate per gestire i rischi. Le piccole imprese e gli sviluppatori indipendenti potrebbero invece trovarsi in seria difficoltà, soprattutto se utilizzano software di terzi senza la capacità di verificarne l'integrità. La direttiva potrebbe anche influenzare l'ecosistema open source, spingendo gli sviluppatori a limitare la distribuzione gratuita dei loro codici per evitare che vengano integrati in prodotti commerciali, con conseguenze sulla collaborazione e sull'innovazione aperta. La responsabilità a catena implica che un produttore che integra un componente difettoso, come una libreria open source vulnerabile, venga ritenuto responsabile senza poter coinvolgere lo sviluppatore originale, a meno che quest'ultimo non operi a scopo di lucro.

Per approfondire:

Cursor, la IA si inventa una nuova policy e fa scappare gli utenti

Abbandonarsi alle vibrazioni e programmare senza toccare la tastiera

Vibe coding: creare programmi senza saper programmare

C++, appello ai programmatori per salvare il linguaggio