QUADERNI SULL’INTELLIGENZA ARTIFICIALE NELLA PUBBLICA AMMINISTRAZIONE: SANZIONI, RESPONSABILITA’ ERARIALE, ELEMENTI RISARCITORI. II
Chi mi conosce sa bene che, quando parlo di Compliance nella Pubblica Amministrazione, tendo a concentrarmi sugli aspetti organizzativi, sulle opportunità e sulla governance. Cerco di evitare il tema delle sanzioni, perché spesso rischia di oscurare il vero obiettivo: usare le tecnologie in modo etico, trasparente e utile per i cittadini.
Tuttavia, non possiamo ignorare che il Regolamento (UE) 2024/1689 (AI Act) dedica un’attenzione precisa anche al profilo sanzionatorio: violazioni gravi delle disposizioni – ad esempio l’uso illecito di sistemi vietati o la mancata osservanza dei requisiti per quelli ad alto rischio – comportano sanzioni amministrative che possono arrivare fino al 7% del fatturato annuo globale o a 35 milioni di euro, a seconda dei casi.
Ma non è solo un tema europeo. Nella prospettiva italiana si intrecciano altri due piani:
- Responsabilità erariale, quando l’uso scorretto dell’IA da parte di funzionari pubblici genera un danno alle casse dello Stato o dell’ente;
- Attività risarcitoria in sede civile, nel caso in cui cittadini o imprese subiscano pregiudizi da decisioni automatizzate non conformi ai principi di legalità, proporzionalità e trasparenza.
Parlare di sanzioni non significa fare terrorismo normativo, ma ricordare che l’accountability nell’IA è un dovere giuridico oltre che organizzativo. Un sistema non conforme non mette solo a rischio la fiducia dei cittadini: espone a responsabilità dirette i decisori e i responsabili della gestione.
Forse il punto vero è che la compliance all’AI Act non è un orpello burocratico, ma una forma di tutela: per l’ente, per gli amministratori e, soprattutto, per i diritti delle persone.
PER CHIAREZZA VI RIPORTO L’ARTICOLO 99 DEL REG 2024/689
Articolo 99
Sanzioni
1. In conformità dei termini e delle condizioni di cui al presente regolamento, gli Stati membri stabiliscono le norme relative alle sanzioni e alle altre misure di esecuzione, che possono includere anche avvertimenti e misure non pecuniarie, applicabili in caso di violazione del presente regolamento da parte degli operatori, e adottano tutte le misure necessarie per garantirne un’attuazione corretta ed efficace, tenendo conto degli orientamenti emanati dalla Commissione a norma dell’articolo 96. Le sanzioni previste sono effettive, proporzionate e dissuasive. Esse tengono conto degli interessi delle PMI, comprese le start-up, e della loro sostenibilità economica.
2. Gli Stati membri notificano alla Commissione, senza indugio e al più tardi entro la data di entrata in applicazione, le norme relative alle sanzioni e le altre misure di esecuzione di cui al paragrafo 1, e provvedono poi a dare immediata notifica delle eventuali modifiche successive.
3. La non conformità al divieto delle pratiche di IA di cui all’articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 35 000 000 EUR o, se l’autore del reato è un’impresa, fino al 7 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
4. La non conformità a qualsiasi delle seguenti disposizioni connesse a operatori o organismi notificati, diverse da quelle di cui all’articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 15 000 000 EUR o, se l’autore del reato è un’impresa, fino al 3 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi dei fornitori a norma dell’articolo 16;
b) gli obblighi dei rappresentati autorizzati a norma dell’articolo 22;
c) gli obblighi degli importatori a norma dell’articolo 23;
d) gli obblighi dei distributori a norma dell’articolo 24;
e) gli obblighi dei deployer a norma dell’articolo 26;
f) i requisiti e gli obblighi degli organismi notificati a norma dell’articolo 31, dell’articolo 33, paragrafi 1, 3 e 4, o dell’articolo 34;
g) gli obblighi di trasparenza per i fornitori e i deployers a norma dell’articolo 50. 5. La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti per dare seguito a una richiesta è soggetta a sanzioni amministrative pecuniarie fino a 7 500 000 EUR o, se l’autore del reato è un’impresa, fino all’1 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
6. Nel caso delle PMI, comprese le start-up, ciascuna sanzione pecuniaria di cui al presente articolo è pari al massimo alle percentuali o all’importo di cui ai paragrafi 3, 4 e 5, se inferiore.
7. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l’importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e, se del caso, si tiene in considerazione quanto segue:
a) la natura, la gravità e la durata della violazione e delle sue conseguenze, tenendo in considerazione la finalità del sistema di IA, nonché, ove opportuno, il numero di persone interessate e il livello del danno da esse subito;
b) se altre autorità di vigilanza del mercato hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore per la stessa violazione;
c) se altre autorità hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore per violazioni di altre disposizioni del diritto dell’Unione o nazionale, qualora tali violazioni derivino dalla stessa attività o omissione che costituisce una violazione pertinente del presente regolamento;
d) le dimensioni, il fatturato annuo e la quota di mercato dell’operatore che ha commesso la violazione;
e) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione;
f) il grado di cooperazione con le autorità nazionali competenti al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) il grado di responsabilità dell’operatore tenendo conto delle misure tecniche e organizzative attuate;
h) il modo in cui le autorità nazionali competenti sono venute a conoscenza della violazione, in particolare se e in che misura è stata notificata dall’operatore;
i) il carattere doloso o colposo della violazione;
j) l’eventuale azione intrapresa dall’operatore per attenuare il danno subito dalle persone interessate. 8. Ciascuno Stato membro può prevedere norme che dispongano in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.
9. A seconda dell’ordinamento giuridico degli Stati membri, le norme in materia di sanzioni amministrative pecuniarie possono essere applicate in modo tale che le sanzioni pecuniarie siano inflitte dalle autorità giudiziarie nazionali competenti o da altri organismi, quali applicabili in tali Stati membri. L’applicazione di tali norme in tali Stati membri ha effetto equivalente.
10. L’esercizio dei poteri attribuiti dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e nazionale, inclusi il ricorso giurisdizionale effettivo e il giusto processo.
11. Gli Stati membri riferiscono annualmente alla Commissione in merito alle sanzioni amministrative pecuniarie inflitte nel corso dell’anno, in conformità del presente articolo, e a eventuali controversie o procedimenti giudiziari correlati.
ORA, introdotta la disciplina SANZIONATORIA cerchiamo di restare con i piedi per terra. All’inizio la sanzione potrebbe essere anche “un facere” o “non facere”, parliamo comunque di rapporti tra le PP.AA ed AAI.
Introduciamo invece qualcosa di più concreto, IL DANNO ERARIALE.
Un esempio concreto riguarda le decisioni collegiali negli enti pubblici. Che si tratti di consigli comunali, collegi dei docenti nelle scuole o di altri organi collegiali, sempre più spesso si pensa di affidare a strumenti di IA generativa – come ChatGPT – la redazione o la sintesi delle deliberazioni. In sé non vi è un divieto assoluto, ma il rischio è evidente: le deliberazioni sono atti giuridici che devono rispecchiare fedelmente le decisioni assunte e garantire motivazione, trasparenza e tracciabilità. Una sintesi automatica non validata da un controllo umano può generare errori sostanziali, omissioni o fraintendimenti.
Se da tali errori derivano annullamenti degli atti, contenziosi giudiziari o spese aggiuntive (ad esempio costi legali, rifacimento delle procedure, risarcimenti a terzi), l’ente pubblico subisce un danno all’erario. In questi casi la Corte dei conti potrebbe contestare la responsabilità ai dirigenti o funzionari coinvolti, trattandosi di una gestione negligente delle risorse e degli strumenti.
In altre parole, l’uso “disinvolto” dell’IA nelle decisioni collegiali non è soltanto una questione tecnica: diventa un problema di accountability giuridica e contabile. La soluzione non sta nel vietare la tecnologia, ma nell’integrarla responsabilmente, prevedendo validazione umana, protocolli chiari e adeguata formazione del personale. Solo così l’IA può essere un supporto, e non un rischio, nella gestione degli organi collegiali di scuole, comuni e più in generale di tutte le amministrazioni pubbliche.
In sintesi :
- Uso dell’IA per verbalizzazioni e sintesi
Non vietato, ma richiede validazione umana. - Rischi principali
• Errori o omissioni nelle deliberazioni.
• Atti non conformi o annullabili.
• Mancanza di trasparenza e motivazione adeguata. - Conseguenze concrete
• Contenziosi giudiziari con cittadini o imprese.
• Spese legali e costi di rifacimento atti.
• Risarcimenti a terzi per provvedimenti illegittimi. - Danno erariale
• L’ente subisce una perdita patrimoniale.
• La Corte dei conti può contestare responsabilità a dirigenti e funzionari per gestione negligente. - La soluzione
• Validazione umana obbligatoria.
• Protocolli chiari sull’uso dell’IA.
• Formazione del personale sugli strumenti digitali.
In queste fasi inoltre, occorre valutare bene, puntualmente e caso per caso se ci troviamo nell’alveo dell’articolo 6 e dell’allegato III del REG AI .
ALLEGATO III
Sistemi di IA ad alto rischio di cui all’articolo 6, paragrafo 2
I sistemi di IA ad alto rischio a norma dell’articolo 6, paragrafo 2, sono i sistemi di IA elencati in uno dei settori indicati di seguito.
1. Biometria, nella misura in cui il pertinente diritto dell’Unione o nazionale ne permette l’uso:a)i sistemi di identificazione biometrica remota.Non vi rientrano i sistemi di IA destinati a essere utilizzati per la verifica biometrica la cui unica finalità è confermare che una determinata persona fisica è la persona che dice di essere;b)i sistemi di IA destinati a essere utilizzati per la categorizzazione biometrica in base ad attributi o caratteristiche sensibili protetti basati sulla deduzione di tali attributi o caratteristiche;c)i sistemi di IA destinati a essere utilizzati per il riconoscimento delle emozioni.
2. Infrastrutture critiche: i sistemi di IA destinati a essere utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale o nella fornitura di acqua, gas, riscaldamento o elettricità.
3. Istruzione e formazione professionale:a)i sistemi di IA destinati a essere utilizzati per determinare l’accesso, l’ammissione o l’assegnazione di persone fisiche agli istituti di istruzione e formazione professionale a tutti i livelli;b)i sistemi di IA destinati a essere utilizzati per valutare i risultati dell’apprendimento, anche nei casi in cui tali risultati sono utilizzati per orientare il processo di apprendimento di persone fisiche in istituti di istruzione o formazione professionale a tutti i livelli;c)i sistemi di IA destinati a essere utilizzati per valutare il livello di istruzione adeguato che una persona riceverà o a cui potrà accedere, nel contesto o all’interno di istituti di istruzione o formazione professionale a tutti i livelli;d)i sistemi di IA destinati a essere utilizzati per monitorare e rilevare comportamenti vietati degli studenti durante le prove nel contesto o all’interno di istituti di istruzione e formazione professionale a tutti i livelli.
4. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo:a)i sistemi di IA destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;b)i sistemi di IA destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.
5. Accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali e fruizione degli stessi:a)i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi;b)i sistemi di IA destinati a essere utilizzati per valutare l’affidabilità creditizia delle persone fisiche o per stabilire il loro merito di credito, a eccezione dei sistemi di IA utilizzati allo scopo di individuare frodi finanziarie;c)i sistemi di IA destinati a essere utilizzati per la valutazione dei rischi e la determinazione dei prezzi in relazione a persone fisiche nel caso di assicurazioni sulla vita e assicurazioni sanitarie;d)i sistemi di IA destinati a essere utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, compresi polizia, vigili del fuoco e assistenza medica, nonché per i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza;
6. Attività di contrasto, nella misura in cui il pertinente diritto dell’Unione o nazionale ne permette l’uso:a)i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto o per loro conto, oppure da istituzioni, organi e organismi dell’Unione a sostegno delle autorità di contrasto o per loro conto, per determinare il rischio per una persona fisica di diventare vittima di reati;b)i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto o per loro conto, oppure da istituzioni, organi e organismi dell’Unione a sostegno delle autorità di contrasto, come poligrafi e strumenti analoghi;c)i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto o per loro conto, oppure da istituzioni, organi e organismi dell’Unione a sostegno delle autorità di contrasto per valutare l’affidabilità degli elementi probatori nel corso delle indagini o del perseguimento di reati;d)i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto o per loro conto, oppure da istituzioni, organi e organismi dell’Unione a sostegno delle autorità di contrasto, per determinare il rischio di commissione del reato o di recidiva in relazione a una persona fisica non solo sulla base della profilazione delle persone fisiche di cui all’articolo 3, paragrafo 4, della direttiva (UE) 2016/680 o per valutare i tratti e le caratteristiche della personalità o il comportamento criminale pregresso di persone fisiche o gruppi;e)i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto o per loro conto, oppure da istituzioni, organi e organismi dell’Unione a sostegno delle autorità di contrasto, per effettuare la profilazione delle persone fisiche di cui all’articolo 3, paragrafo 4, della direttiva (UE) 2016/680 nel corso dell’indagine, dell’accertamento e del perseguimento di reati.
7. Migrazione, asilo e gestione del controllo delle frontiere, nella misura in cui il pertinente diritto dell’Unione o nazionale ne permette l’uso:a)i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti, o per loro conto, o da istituzioni, organi e organismi dell’Unione, come poligrafi o strumenti analoghi;b)i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti o per loro conto, oppure da istituzioni, organi e organismi dell’Unione, per valutare un rischio (compresi un rischio per la sicurezza, un rischio di migrazione irregolare o un rischio per la salute) posto da una persona fisica che intende entrare o è entrata nel territorio di uno Stato membro;c)i sistemi di IA destinati a essere usati dalle autorità pubbliche competenti o per loro conto, oppure da istituzioni, organi e organismi dell’Unione, per assistere le autorità pubbliche competenti nell’esame delle domande di asilo, di visto o di permesso di soggiorno e per i relativi reclami per quanto riguarda l’ammissibilità delle persone fisiche che richiedono tale status, compresa le valutazioni correlate dell’affidabilità degli elementi probatori;d)i sistemi di IA destinati a essere usati dalle autorità pubbliche competenti o per loro conto, o da istituzioni, organi e organismi dell’Unione, nel contesto della migrazione, dell’asilo o della gestione del controllo delle frontiere, al fine di individuare, riconoscere o identificare persone fisiche, a eccezione della verifica dei documenti di viaggio.
8. Amministrazione della giustizia e processi democratici:a)i sistemi di IA destinati a essere usati da un’autorità giudiziaria o per suo conto per assistere un’autorità giudiziaria nella ricerca e nell’interpretazione dei fatti e del diritto e nell’applicazione della legge a una serie concreta di fatti, o a essere utilizzati in modo analogo nella risoluzione alternativa delle controversie;b)i sistemi di IA destinati a essere utilizzati per influenzare l’esito di un’elezione o di un referendum o il comportamento di voto delle persone fisiche nell’esercizio del loro voto alle elezioni o ai referendum. Sono esclusi i sistemi di IA ai cui output le persone fisiche non sono direttamente esposte, come gli strumenti utilizzati per organizzare, ottimizzare e strutturare le campagne politiche da un punto di vista amministrativo e logistico.
Se ci dovessimo trovare in questa situazione sarebbe obbligatoria la redazione della FRIA, articolo 27 che riporto.
Articolo 27
Valutazione d’impatto sui diritti fondamentali per i sistemi di IA ad alto rischio
1. Prima di utilizzare un sistema di IA ad alto rischio di cui all’articolo 6, paragrafo 2, ad eccezione dei sistemi di IA ad alto rischio destinati a essere usati nel settore elencati nell’allegato III, punto 2, i deployer che sono organismi di diritto pubblico o sono enti privati che forniscono servizi pubblici e i deployer di sistemi di IA ad alto rischio di cui all’allegato III, punto 5, lettere b) e c), effettuano una valutazione dell’impatto sui diritti fondamentali che l’uso di tale sistema può produrre. A tal fine, i deployer effettuano una valutazione che comprende gli elementi seguenti:
a) una descrizione dei processi del deployer in cui il sistema di IA ad alto rischio sarà utilizzato in linea con la sua finalità prevista;
b) una descrizione del periodo di tempo entro il quale ciascun sistema di IA ad alto rischio è destinato a essere utilizzato e con che frequenza;
c) le categorie di persone fisiche e gruppi verosimilmente interessati dal suo uso nel contesto specifico;
d) i rischi specifici di danno che possono incidere sulle categorie di persone fisiche o sui gruppi di persone individuati a norma della lettera c), del presente paragrafo tenendo conto delle informazioni trasmesse dal fornitore a norma dell’articolo 13;
e) una descrizione dell’attuazione delle misure di sorveglianza umana, secondo le istruzioni per l’uso;
f) le misure da adottare qualora tali rischi si concretizzino, comprese le disposizioni relative alla governance interna e ai meccanismi di reclamo. 2. L’obbligo di cui al paragrafo 1 si applica al primo uso del sistema di IA ad alto rischio. Il deployer può, in casi analoghi, basarsi su valutazioni d’impatto sui diritti fondamentali effettuate in precedenza o su valutazioni d’impatto esistenti effettuate da un fornitore. Se, durante l’uso del sistema di IA ad alto rischio, ritiene che uno qualsiasi degli elementi elencati al paragrafo 1 sia cambiato o non sia più aggiornato, il deployer adotta le misure necessarie per aggiornare le informazioni.
3. Una volta effettuata la valutazione di cui al paragrafo 1 del presente articolo, il deployer notifica all’autorità di vigilanza del mercato i suoi risultati, presentando il modello compilato di cui al paragrafo 5 del presente articolo nell’ambito della notifica. Nel caso di cui all’articolo 46, paragrafo 1, i deployer possono essere esentati da tale obbligo di notifica.
4. Se uno qualsiasi degli obblighi di cui al presente articolo è già rispettato mediante la valutazione d’impatto sulla protezione dei dati effettuata a norma dell’articolo 35 del regolamento (UE) 2016/679 o dell’articolo 27 della direttiva (UE) 2016/680, la valutazione d’impatto sui diritti fondamentali di cui al paragrafo 1 del presente articolo integra tale valutazione d’impatto sulla protezione dei dati.
5. L’ufficio per l’IA elabora un modello di questionario, anche attraverso uno strumento automatizzato, per agevolare i deployer nell’adempimento dei loro obblighi a norma del presente articolo in modo semplificato.
Contestualizzando vediamo che sempre più enti pubblici (scuole, comuni, università, aziende sanitarie, ecc.) valutano l’uso di strumenti di IA generativa– come ChatGPT – per supportare attività collegiali: sintesi di delibere, redazione di verbali, predisposizione di testi.
La regola generale è semplice:
- Se l’IA produce effetti diretti sulle persone (es. valutare uno studente, decidere l’accesso a un servizio, selezionare un candidato) → sistema ad alto rischio → FRIA obbligatoria (art. 6 e Allegato III AI Act).
- Se invece l’IA è solo di supporto documentale (es. riassumere un verbale, predisporre una bozza da rivedere umanamente) → FRIA non obbligatoria, ma comunque opportuna una valutazione interna “light” per garantire trasparenza e accountability.
Non basta “usare bene l’IA”: servono tre condizioni minime
- Evidenze documentali
– Tenere traccia dell’uso dell’IA, degli input forniti e dei controlli umani effettuati.
– Dimostrare, in caso di verifica o contenzioso, che le decisioni finali sono sempre validate da persone. - Direttive interne
– Ogni ente deve stabilire regole chiare (linee guida, ordini di servizio, regolamenti) sull’uso dell’IA negli organi collegiali.
– Questo riduce il rischio di usi “impropri” o non autorizzati. - Formazione (art. 4 AI Act)
– Il regolamento europeo obbliga a promuovere alfabetizzazione all’IA per funzionari e dipendenti pubblici.
– Senza competenze, il rischio non è solo tecnico ma anche giuridico-contabile (danno erariale, responsabilità personale).
In altre parole: non conta solo se la FRIA è obbligatoria o meno, conta dimostrare che l’uso dell’IA è governato, trasparente e consapevole. Solo così gli enti possono beneficiare della tecnologia senza esporsi a rischi di invalidità degli atti, contenziosi o danni all’erario.
AVETE FATTO TUTTO QUESTO ? allora correte ai ripari perchè oltre al danno erariale ed alla disciplina sanzionatoria c’è il più concreto rischio della disciplina risarcitoria per danno verso terzi., ora qui riporteremo solo gli istituti civilistici maggiori, ma ci saranno ulteriori approfondimenti.
Art. 2043 c.c. – Risarcimento per fatto illecito:
“Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno.”
Se l’IA genera una decisione o un atto che danneggia un cittadino (es. valutazione errata, esclusione ingiusta, atto nullo), il danneggiato può chiedere il risarcimento all’ente.
Art. 2050 c.c. – Responsabilità per l’esercizio di attività pericolose:
Alcuni autori iniziano a considerare l’uso di certi sistemi di IA come “attività pericolosa”, con inversione dell’onere della prova (spetta all’ente dimostrare di aver adottato tutte le misure idonee).
Art. 2051 c.c. – Danno cagionato da cosa in custodia:
Possibile assimilazione dei sistemi di IA a “cose in custodia”: l’ente risponde dei danni causati, salvo dimostrare il caso fortuito.
Ancora più importante, oserei dire affascinante è la disciplina dell’articolo 2049 cc, che riporto nel sottoapprofondimento
Dal servus all’algoritmo: una responsabilità antica che parla al presente
Nell’antica Roma lo schiavo (servus) non aveva personalità giuridica: era considerato una “res”, una cosa. Eppure, se causava un danno, il problema non poteva ricadere nel vuoto. Il diritto romano elaborò le actiones noxales, che consentivano al danneggiato di rivolgersi al padrone (dominus) e ottenere: o il risarcimento del danno, oppure la consegna dello schiavo (noxae deditio).
L’idea era semplice e potente: chi trae vantaggio dall’attività di un altro deve assumersi anche i rischi (cuius commoda, eius et incommoda). È la stessa logica che ritroviamo oggi nell’art. 2049 c.c., dove il datore di lavoro risponde per i danni causati dai propri dipendenti.
Oggi, di fronte all’Intelligenza Artificiale, lo scenario si ripete con strumenti diversi. L’algoritmo, come lo schiavo, non ha responsabilità propria. Ma gli effetti delle sue azioni non possono restare senza “padrone”: la responsabilità ricade su chi governa lo strumento, lo adotta e ne trae utilità.
Lo stesso principio è riaffermato dal Regolamento (UE) 2024/1689 (AI Act): non risponde mai la macchina, ma il fornitore, l’utilizzatore o l’ente pubblico che l’ha introdotta nel proprio processo decisionale. La norma europea stabilisce obblighi di trasparenza, valutazione di impatto e persino sanzioni milionarie, proprio per evitare il rischio di “scaricare” sugli algoritmi responsabilità che restano umane e giuridiche.
Così, una regola antica di duemila anni ci ricorda che l’innovazione tecnologica non elimina la responsabilità: la rinnova, la riposiziona, ma non la cancella.
ecco una tabella riassuntiva
Confronto delle responsabilità nell’uso dell’IA nella PA
| Ambito | Normativa di riferimento | Quando si applica | Conseguenze | Soggetti responsabili |
|---|---|---|---|---|
| Sanzioni UE (AI Act) | Reg. (UE) 2024/1689, art. 99 | Violazione obblighi su sistemi vietati, ad alto rischio o obblighi di trasparenza | – Fino a 35 mln € o 7% fatturato (pratiche vietate) – Fino a 15 mln € o 3% fatturato (alto rischio non conforme) – Fino a 7,5 mln € o 1% fatturato (trasparenza) | Fornitori, utilizzatori, importatori, distributori |
| Responsabilità erariale | Norme contabili nazionali (Corte dei conti) | Danno alle finanze pubbliche per uso scorretto di IA (spese inutili, sanzioni, contenziosi, perdita fondi PNRR) | – Azione di responsabilità contabile – Condanna al risarcimento in favore dell’erario | Dirigenti, funzionari, RTD, responsabili del procedimento |
| Responsabilità civile | Codice Civile: artt. 2043, 2050, 2051, 1218, 1228 c.c. | Danno subito da cittadini/imprese per decisioni illegittime o discriminatorie basate su IA | – Risarcimento del danno patrimoniale e non patrimoniale – Possibile responsabilità oggettiva (art. 2050 e 2051 c.c.) | Ente pubblico (come debitore), eventualmente anche il funzionario se dolo/colpa grave |
