Nuova Direttiva Responsabilità Prodotti (PLD): Danni da Software e IA 2026
Nuova Direttiva UE sulla responsabilità per danno da prodotti difettosi (2024/2853): software e sistemi AI esplicitamente inclusi. Obblighi per produttori, importatori, marketplace. Onere probatorio, danni da dati e scadenze per il recepimento in Italia.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. La Direttiva (UE) 2024/2853 (Product Liability Directive) è entrata in vigore l'8 dicembre 2024. Gli Stati membri devono recepirla entro il 9 dicembre 2026. L'applicazione decorre dal 9 dicembre 2026 per i prodotti immessi sul mercato successivamente a tale data. La Direttiva 85/374/CEE rimane applicabile per i prodotti immessi sul mercato prima del 9 dicembre 2026. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: Direttiva UE 2024/2853 (nuova PLD), EUR-Lex · EU Commission, PLD explained · 1985 PLD (Dir. 85/374/CEE), EUR-Lex
Un produttore di software o sistemi AI può essere ritenuto responsabile per danni causati dal suo prodotto? Cosa cambia con la nuova Direttiva?
Sì, la nuova Direttiva sulla responsabilità per danno da prodotti difettosi (UE 2024/2853) include esplicitamente il software, incluse applicazioni, sistemi operativi e sistemi di intelligenza artificiale, nella definizione di 'prodotto'. Questo significa che un produttore di software può essere chiamato a rispondere per i danni causati da un difetto del suo prodotto, anche quando il difetto si manifesta dopo un aggiornamento o come conseguenza dell'apprendimento automatico del sistema. La direttiva attuale (1985) già copriva il software (interpretazione Commissione UE 1988), ma la nuova versione chiarisce e rafforza la responsabilità per l'era digitale. Il recepimento in Italia deve avvenire entro il 9 dicembre 2026.
1. Perché la nuova PLD è rilevante per produttori di software e AI
La Direttiva 85/374/CEE del 1985, che stabiliva il principio di responsabilità oggettiva del produttore per i danni causati da prodotti difettosi, era stata concepita per l'era dei beni materiali. Sebbene la Commissione avesse chiarito già nel 1988 che la direttiva copriva anche il software, l'evoluzione tecnologica ha reso evidenti i limiti del regime originario.
La nuova Direttiva (UE) 2024/2853, pubblicata il 18 novembre 2024 e in vigore dall'8 dicembre 2024, risolve le ambiguità e introduce norme specifiche per:
- Software e AI come "prodotti" espliciti (Art. 4): non solo il software embedded in un dispositivo fisico, ma anche il software standalone, le app, i sistemi operativi e i sistemi di intelligenza artificiale, inclusi i modelli GPAI
- Difetti post-market: aggiornamenti, upgrade, modifiche sostanziali e, per l'AI, l'evoluzione del modello tramite machine learning dopo l'immissione sul mercato
- Danni da dati: la distruzione o corruzione di dati è una nuova categoria autonoma di danno risarcibile
2. Cosa si intende per "prodotto difettoso" nel software
Ai sensi della nuova PLD (Art. 6), un prodotto è difettoso quando non offre la sicurezza che una persona ha il diritto di attendersi, tenendo conto di:
- La presentazione del prodotto e le istruzioni per l'uso
- L'uso ragionevolmente prevedibile
- Il momento dell'immissione sul mercato o, per il software, del rilascio dell'aggiornamento
- I requisiti di sicurezza previsti dalla legge o da regolamenti applicabili (es. AI Act, GDPR, CRA, NIS2)
Per il software e l'AI, la difettosità può derivare da:
| Fonte del difetto | Esempio concreto |
|---|---|
| Errore di progettazione | Algoritmo di credit scoring che discrimina sistematicamente una categoria protetta |
| Errore di implementazione | Bug nel codice che causa la perdita di dati personali o il malfunzionamento di un dispositivo medico |
| Aggiornamento difettoso | Una patch di sicurezza che introduce una vulnerabilità o rompe funzionalità critiche |
| Modello ML non supervisionato | Sistema di raccomandazione che, dopo l'addestramento continuo, inizia a suggerire contenuti nocivi |
| Mancanza di cybersicurezza adeguata | Vulnerabilità sfruttabile che causa danni a terzi (es. IoT device utilizzato in un attacco DDoS) |
3. Chi può essere chiamato a rispondere
La catena di responsabilità si estende oltre il produttore tradizionale:
| Soggetto | Condizione di responsabilità |
|---|---|
| Produttore del software/AI | Responsabilità oggettiva per difetto del prodotto (Art. 7 PLD) |
| Importatore UE | Se il produttore non è stabilito nell'UE (Art. 8 PLD) |
| Rappresentante autorizzato | Se designato dal produttore extra-UE |
| Fulfilment service provider | In assenza di importatore o rappresentante (Art. 8.2 PLD) |
| Marketplace online | Se agisce come intermediario e non identifica il produttore entro 1 mese dalla richiesta del danneggiato (Art. 8.3 PLD) |
| Distributore | In assenza di altri soggetti responsabili UE (Art. 8.4 PLD) |
| Soggetto che modifica sostanzialmente | Se il prodotto è stato rimanufatturato o modificato sostanzialmente (Art. 7.2 PLD) |
Per le startup SaaS e software house italiane, la conseguenza è chiara: il produttore del software è direttamente responsabile per i difetti, anche se il cliente è un'altra impresa e il danno è subito da un terzo (es. un paziente che subisce un danno da un dispositivo medico SaaS).
4. L'onere della prova: facilitazioni per il danneggiato
Uno degli ostacoli principali nelle cause per danno da prodotti tecnologici è la difficoltà per la vittima di dimostrare il nesso causale tra il difetto del software e il danno subito. La nuova PLD interviene sull'onere probatorio (Art. 9) con meccanismi di alleggerimento:
- Accesso alle prove: il giudice può ordinare al produttore di esibire documentazione e dati pertinenti (log, codice sorgente, risultati di test), se proporzionato e necessario
- Presunzione di difettosità: se il danneggiato dimostra che il prodotto non è conforme ai requisiti obbligatori di sicurezza (es. violazione dell'AI Act, del GDPR o del CRA)
- Divulgazione delle prove: le informazioni ottenute devono essere protette come segreto commerciale (Art. 9.4), ma possono essere utilizzate nel procedimento
5. Danni risarcibili: anche la perdita di dati
La nuova PLD amplia le categorie di danno risarcibile (Art. 6) includendo:
| Categoria di danno | Cosa copre |
|---|---|
| Morte o lesioni personali | Danni fisici e psicologici (inclusi quelli causati da software medico difettoso) |
| Danno a proprietà | Danni a beni di uso privato di valore superiore a €500 |
| Distruzione o corruzione di dati | Categoria nuova: perdita di dati personali o aziendali causata da un difetto del prodotto, anche in assenza di danno fisico |
| Danni morali | Come da prassi nazionale (in Italia, risarcimento del danno non patrimoniale) |
L'inclusione della distruzione o corruzione di dati come danno autonomo è particolarmente rilevante per il software: un bug che cancella il database di un cliente o un attacco informatico reso possibile da una vulnerabilità del software può generare un'obbligazione risarcitoria diretta a carico del produttore.
6. Tempistiche e coordinamento con AI Act
| Evento | Data |
|---|---|
| Entrata in vigore PLD 2024 | 8 dicembre 2024 |
| Termine recepimento Stati membri | 9 dicembre 2026 |
| Applicazione ai nuovi prodotti | 9 dicembre 2026 |
| Direttiva 85/374/CEE applicabile | Per prodotti immessi sul mercato prima del 9 dicembre 2026 |
La nuova PLD si coordina con l'AI Act su due piani:
- Conformità all'AI Act come standards di sicurezza: la violazione degli obblighi dell'AI Act (es. mancata supervisione umana su sistema ad alto rischio) può far scattare la presunzione di difettosità del sistema
- Responsabilità del provider AI Act: il provider di un sistema AI ad alto rischio è anche produttore del software ai sensi della PLD. Le stesse condotte (es. mancata governance dei dati, mancata documentazione tecnica) possono configurare sia una violazione dell'AI Act sia un difetto del prodotto
7. Cosa fare subito
- Mappare i prodotti software e AI commercializzati: individuare quali software e sistemi AI sono immessi sul mercato UE come prodotti standalone o embedded
- Documentare i requisiti di sicurezza: la conformità ad AI Act, CRA, GDPR e standard di settore costituisce un elemento di difesa contro la presunzione di difettosità
- Rivedere le clausole di limitazione di responsabilità: la PLD stabilisce un regime di responsabilità oggettiva inderogabile: alcune limitazioni contrattuali (es. esclusione della responsabilità per danni da dati) potrebbero essere inefficaci
- Prevedere copertura assicurativa adeguata: verificare che la polizza RC Prodotto copra i rischi del software e dell'AI, inclusi danni da dati e danni da aggiornamenti post-vendita
Domande Frequenti (FAQ)
La PLD si applica anche al software open source? La Direttiva si applica a tutti i prodotti immessi sul mercato UE, indipendentemente dal modello di licenza. Tuttavia, il software open source sviluppato e distribuito al di fuori di un'attività commerciale (Art. 2.2 PLD) può beneficiare di esenzioni se non configura un'attività economica. Il software open source distribuito da un'impresa a scopo di lucro o come servizio (SaaS) è coperto dalla direttiva.
Un'azienda che integra API di terze parti in un prodotto SaaS è responsabile per difetti dell'API? Sì, ai sensi della PLD, il produttore del prodotto finale può essere ritenuto responsabile anche per difetti derivanti da componenti di terze parti (Art. 8.1), ferma la possibilità di rivalsa verso il fornitore della componente difettosa. Questo rende essenziale la due diligence contrattuale sui fornitori di API, librerie e modelli AI incorporati nel prodotto.
Qual è la differenza tra la PLD e la proposta di AI Liability Directive (AILD)? La PLD disciplina la responsabilità oggettiva del produttore per danno da prodotto difettoso (inclusi software e AI). L'AI Liability Directive (AILD), proposta nel settembre 2022 ma ancora in fase di negoziazione al giugno 2026, riguarda invece la responsabilità extracontrattuale per danni causati con il coinvolgimento di sistemi AI, con specifiche facilitazioni probatorie per la vittima. Le due direttive si applicano cumulativamente.
La PLD copre i danni causati da un sistema AI generativo (es. output diffamatorio)? Un output di un sistema AI generativo che causa un danno (es. diffamazione, violazione del diritto d'autore, danno reputazionale) configura un difetto del prodotto se il sistema non ha fornito la sicurezza che ci si poteva legittimamente attendere. La valutazione dipenderà dalle misure di mitigazione adottate dal produttore (filtri, guardrail, supervisione umana) e dalla conformità agli standard di sicurezza dell'AI Act. La distruzione o corruzione di dati come danno autonomo (Art. 6.2.c) è particolarmente rilevante per i sistemi AI che operano su dati personali.
Approfondimenti consigliati:
- AI Act: Guida Completa al Regolamento Europeo IA
- DSA: Obblighi per Piattaforme e Startup
- Data Act: Obblighi per Aziende Tech e IoT
- Spiegabilità Algoritmica: Obblighi Legge 132/2025
Fonti: Direttiva UE 2024/2853, EUR-Lex; EU Commission, Product Liability Directive; Proposta AI Liability Directive (2022).
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze