Il mese scorso, il Parlamento europeo ha pubblicato in modo relativamente discreto una decisione legale che ha un impatto diretto sulle società di software e tecnologia che operano nella regione. L’UE ha stabilito che gli sviluppatori di software e le aziende tecnologiche devono assumersi la responsabilità diretta per i danni causati dai loro prodotti.
In altre parole, le aziende tecnologiche possono essere citate direttamente per danni se uno dei loro prodotti causa qualsiasi tipo di danno agli utenti.
Quali saranno le conseguenze per i consumatori e per le aziende tecnologiche? Scopriamolo insieme attraverso il parere degli esperti.
- Altro...
L’UE si rifà alla Direttiva del 1985 per ritenere responsabili le aziende tecnologiche.
Grazie alla Direttiva sulla responsabilità per danno da prodotti difettosi (85/374/CEE), l’UE ha emesso un decreto per proteggere i cittadini da prodotti difettosi e pratiche commerciali sleali. Di conseguenza, chi infrange questa legge sarà ritenuto responsabile dei danni causati.
Questo nuovo decreto dell’UE estende la normativa includendo l’intelligenza artificiale (come Apple Intelligence o Gemini), software, applicazioni e file digitali nell’elenco dei prodotti coperti dalla Direttiva.
Gli sviluppatori di prodotti open source, tuttavia, non sono inclusi nella responsabilità.
Nel settore dello sviluppo software ci si interroga su come questa novità cambierà il mercato. Jeff Williams, co-fondatore e CTO di Contrast Security, una società specializzata in sicurezza API, commenta:
“La Direttiva sulla Responsabilità del Prodotto è chiara: il software è considerato un prodotto e verrà trattato come tale per quanto riguarda la responsabilità dei difetti. Chiunque venda software nell’UE sarà responsabile di eventuali difetti, comprese le violazioni della sicurezza”.
Anche se gli sviluppatori di software open source o non commerciali non sono soggetti a questa normativa, Williams spiega che chi utilizza librerie open source nei propri prodotti a pagamento sarà comunque responsabile per eventuali vulnerabilità di sicurezza legate a tali librerie.
Williams sottolinea la necessità di un intervento governativo per correggere i fallimenti del mercato, che spesso scoraggiano lo sviluppo di software sicuro.
“Un regime di trasparenza meno invasivo sarebbe stato possibile,” conclude, “ma la responsabilità oggettiva impone alle aziende di migliorare in modo significativo le loro misure di sicurezza”.
Leggi anche: Quali sono gli asset più esposti al rischio di cyberattacchi in Italia?
Definizione di “danno” nei prodotti tecnologici
Secondo il testo dell’UE, i produttori – inclusi gli sviluppatori di software e di sistemi di intelligenza artificiale – sono ritenuti strettamente responsabili (responsabilità oggettiva) per eventuali danni causati da un prodotto difettoso. Questo tipo di danno può includere:
- Morte o lesioni personali (inclusi danni psicologici riconosciuti clinicamente);
- Danni o distruzione di proprietà;
- Distruzione o danneggiamento dei dati (come la cancellazione di file).
Kevin Surace, presidente e CTO di Appvance, azienda specializzata nella qualità del software per intelligenza artificiale generativa, ha sottolineato che il vero problema risiede nella portata dei danni contemplati, come quelli relativi alla salute mentale.
“È difficile per uno sviluppatore prevedere tutti gli utilizzi di un insieme di codici o applicazioni”, osserva Surace. “Un utente che soffre di esaurimento nervoso dovrebbe poter ritenere responsabile lo sviluppatore? Mi sembra una regolamentazione eccessiva.”
Surace aggiunge che esistono già leggi che consentono di perseguire penalmente un produttore o sviluppatore per diversi tipi di danno, come pubblicità ingannevole o danni alla proprietà.
La domanda rimane aperta: è davvero necessario regolamentare in modo così stringente?