Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-06-177 min read

Responsabilità per Output AI: Chi Paga se l'Intelligenza Artificiale Sbaglia?

Analisi della responsabilità legale per output di sistemi AI: danni da contenuti generati, diffamazione, violazione copyright da parte di LLM e sistemi AI. PLD 2024/2853, AI Act, AI Liability Directive e clausole contrattuali per startup.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026 e si basa sulla Direttiva UE 2024/2853 (nuova PLD), sul Reg. UE 2024/1689 (AI Act), sulla proposta di AI Liability Directive (2022, in fase di negoziazione), sul Reg. UE 2016/679 (GDPR) e sulla giurisprudenza disponibile in materia di responsabilità per output di sistemi AI. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.

Fonti primarie: Direttiva UE 2024/2853 (PLD) - EUR-Lex - AI Act Art. 50 - Trasparenza - Proposta AILD 2022 - GDPR

Uno dei problemi giuridici più dibattuti del 2026 è chi risponde quando un sistema di intelligenza artificiale produce un output dannoso: diffamazione, violazione del diritto d'autore, discriminazione, errore diagnostico, danno economico.

La risposta non è univoca e dipende da diversi fattori: tipo di sistema AI (alto rischio o non), ruolo del soggetto (provider o deployer), origine del difetto (progettazione, dati di training, input dell'utente) e regime normativo applicabile.

1. La nuova PLD: responsabilità oggettiva del produttore di software AI

La nuova Direttiva sulla responsabilità per danno da prodotti difettosi (UE 2024/2853) include espressamente il software e i sistemi AI nella definizione di "prodotto" (Art. 4). Il produttore del sistema AI risponde oggettivamente per i danni causati da un difetto del sistema.

Difetto del sistema (Art. 6.4 PLD): il difetto può risultare anche da aggiornamenti successivi all'immissione sul mercato o da modifiche derivanti dall'apprendimento automatico (machine learning). Questo significa che un modello AI che evolve dopo il deployment può essere considerato difettoso anche se al momento del rilascio era conforme.

Responsabilità del deployer: la PLD si applica al "produttore" del sistema. Il deployer (chi utilizza il sistema AI per fornire un servizio) può essere chiamato a rispondere in base alle norme generali sulla responsabilità civile (Art. 2043 c.c. per fatto illecito) o contrattuale, a seconda del rapporto con la persona danneggiata.

2. AI Act: obblighi che influenzano la responsabilità

L'AI Act non stabilisce direttamente regole di responsabilità civile, ma i suoi obblighi influenzano la valutazione della colpa in sede giudiziale:

  • Trasparenza (Art. 50) : il deployer deve informare l'utente che sta interagendo con un sistema AI. La mancata informativa può configurare colpa
  • Supervisione umana (Art. 14) : per i sistemi ad alto rischio, la mancanza di supervisione umana adeguata è un elemento di valutazione della responsabilità
  • Documentazione tecnica (Art. 11) : la mancata documentazione dei test e dei dataset può rendere difficile per il provider difendersi in giudizio

3. Casi specifici di output dannoso

3.1. Output che viola il diritto d'autore

Se un LLM genera testo che riproduce un'opera protetta da copyright, la responsabilità può configurarsi in capo:

  • Al provider dell'API: se l'output è il risultato diretto dell'addestramento del modello su opere protette (violazione del diritto di riproduzione)
  • Al deployer: se pubblica l'output senza verificare l'originalità e la non violazione di diritti altrui

Alcuni fornitori (es. Anthropic, OpenAI) offrono indennizzo contrattuale per violazioni IP (con esclusioni). Altri no.

3.2. Output diffamatorio

Se un sistema AI genera affermazioni diffamatorie su una persona, la responsabilità ricade sul deployer che pubblica o utilizza l'output, in base ai principi generali della diffamazione (Art. 595 c.p.). Il deployer ha l'obbligo di verificare l'accuratezza degli output prima di pubblicarli (Anthropic Terms D.3: "factual assertions in Outputs should not be relied upon without independently checking their accuracy").

3.3. Output discriminatorio

Se un sistema AI produce output discriminatori (es. credit scoring che discrimina in base al genere, selezione CV che esclude candidati per etnia), la responsabilità può configurarsi per violazione della normativa antidiscriminatoria (D.Lgs. 215/2003, D.Lgs. 216/2003). La nuova PLD qualifica il sistema discriminatorio come difettoso, attivando la responsabilità oggettiva del produttore.

4. La proposta di AI Liability Directive (AILD)

La proposta di direttiva sulla responsabilità civile per AI (settembre 2022, ancora in fase di negoziazione) introduce:

  • Presunzione di nesso causale: quando la vittima dimostra che il danno è stato causato da un sistema AI e che il sistema ha violato un obbligo (es. AI Act), si presume il nesso causale
  • Accesso alle prove: la vittima può chiedere al giudice di ordinare al provider o al deployer di esibire documentazione e log del sistema
  • Responsabilità del deployer: la direttiva introdurrebbe regole specifiche per i casi in cui il sistema AI opera al di fuori del controllo diretto del produttore

Lo stato della proposta al giugno 2026 non è ancora definitivo: la negoziazione tra Commissione, Parlamento e Consiglio UE è ancora in corso.

5. Cosa fare subito

  1. Verificare la classificazione AI Act del sistema: se è ad alto rischio, gli obblighi sono più stringenti e la responsabilità per output dannosi è più facilmente configurabile
  2. Predisporre clausole contrattuali di limitazione della responsabilità per output AI nei contratti con i clienti (Terms of Service, SLA)
  3. Implementare sistemi di moderazione degli output: filtri, guardrail, verifica umana per output sensibili
  4. Documentare le misure di mitigazione: test di bias, controllo qualità degli output, log delle decisioni
  5. Verificare l'indennizzo del provider API: se usi API di terze parti, controlla se il contratto prevede indennizzo per violazione IP

Domande Frequenti (FAQ)

Un chatbot AI che fornisce una consulenza legale errata fa incorrere lo sviluppatore in responsabilità? Sì, se la consulenza errata causa un danno al cliente. La responsabilità dipende dal contesto: un chatbot che si presenta come "consulente legale AI" genera un legittimo affidamento sull'accuratezza delle risposte. È necessario disclaimare che le risposte non costituiscono consulenza legale professionale e che per questioni specifiche è necessario consultare un professionista abilitato. L'AI Act Art. 50 impone di informare l'utente che sta interagendo con un sistema AI.

Chi risponde se un sistema AI di un fornitore terzo (es. API) causa un danno? La PLD prevede la responsabilità del produttore del sistema difettoso. Il deployer (la startup che utilizza l'API) può essere responsabile per non aver adeguatamente testato il sistema o per non aver implementato la supervisione umana richiesta. La ripartizione della responsabilità dipende dal contratto tra deployer e fornitore API e dalle clausole di indennizzo.

La nuova PLD si applica anche agli output di modelli AI gratuiti (open source)? Sì, se il modello è "immesso sul mercato" o "messo in servizio" nell'ambito di un'attività commerciale. I modelli open source distribuiti al di fuori di un'attività commerciale possono beneficiare delle esenzioni previste dal considerando 12 della PLD. Tuttavia, se il modello open source è integrato in un prodotto o servizio commerciale, la responsabilità si applica al produttore del prodotto finale.

Un disclaimeredi non responsabilità negli output AI è sufficiente a escludere la responsabilità? No. Un disclaimer informa l'utente del rischio ma non esclude automaticamente la responsabilità del provider o deployer per danni causati da output difettosi. La responsabilità oggettiva prevista dalla PLD non può essere esclusa da disclaimers contrattuali (Art. 1.1 PLD). I disclaimers sono utili per gestire le aspettative dell'utente e per dimostrare trasparenza, ma non sostituiscono le misure di mitigazione sostanziali.

Approfondimenti consigliati:

Fonti: PLD 2024/2853 - EUR-Lex; AI Act Art. 50 - EUR-Lex; Proposta AILD 2022; Anthropic Commercial Terms Section D.3.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Art. 5: Pratiche Vietate, Manipolazione, Biometria, Social Scoring9 min readAziendeAI Agent Governance: Quando un Agente AI Stipula Contratti per Te6 min readAziendeAI Procurement: Come Contrattualizzare un Fornitore di API LLM9 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza