Cosa succede se un sistema di intelligenza artificiale prende una decisione errata che causa un danno? Chi è legalmente responsabile? L’azienda che ha sviluppato l’algoritmo, quella che lo utilizza, o entrambe?

Con la diffusione dell’AI in settori ad alto impatto — sanità, finanza, trasporti, selezione del personale — queste domande non sono più teoriche. Un errore algoritmico può compromettere la diagnosi di un paziente, discriminare un candidato, generare una perdita finanziaria, o provocare un incidente fisico. Tuttavia, il diritto tradizionale fatica a fornire risposte chiare quando il danno non è causato direttamente da una persona fisica, ma da un sistema complesso, autonomo e spesso opaco.

In questo contesto, l’Unione Europea ha avviato una serie di interventi normativi – tra cui la Direttiva sulla responsabilità dell’AI e l’aggiornamento della Product Liability Directive – per garantire che le vittime possano ottenere un risarcimento, senza ostacoli legati alla complessità tecnologica. In parallelo, l’AI Act introduce obblighi di trasparenza, supervisione e gestione del rischio, che influenzano anche il regime di responsabilità.

Ma in attesa dell’entrata in vigore di queste norme, le aziende devono già oggi affrontare il problema con gli strumenti disponibili: contrattualistica, audit tecnici, assicurazioni, e responsabilità ex codice civile.

Questa guida approfondisce:

  • I principali scenari di rischio legati all’uso dell’AI
  • Le difficoltà giuridiche attuali e le risposte della normativa UE
  • Il quadro italiano in materia di responsabilità civile
  • Le strategie legali e operative per prevenire contestazioni e richieste di risarcimento

1. Quando l’AI causa un danno – esempi concreti

L’intelligenza artificiale non è infallibile. Sebbene offra vantaggi in termini di efficienza e precisione, può anche produrre errori gravi e conseguenze dannose per individui o imprese. Questi errori, quando causano un danno ingiusto, possono attivare una richiesta di risarcimento civile.

Ecco alcuni scenari emblematici che stanno già generando interrogativi legali e contenziosi:

1.1. Sanità: diagnosi automatizzata errata

Un algoritmo di supporto diagnostico consiglia una terapia inadatta, provocando un peggioramento dello stato di salute del paziente.
Chi è responsabile: il produttore del software, l’ospedale, il medico?

1.2. Risorse umane: selezione discriminatoria

Un sistema AI esclude sistematicamente candidati in base al genere, all’origine etnica o all’età.
Possibile violazione di norme antidiscriminatorie e dei principi del GDPR.

1.3. Finanza: credito negato ingiustamente

Un algoritmo di credit scoring assegna un punteggio errato a un cliente affidabile, impedendogli di ottenere un prestito.
Conseguenze economiche per l’utente, reputazionali per la banca.

1.4. Veicoli autonomi: incidente stradale

Un sistema di guida assistita non reagisce correttamente a un ostacolo e provoca un incidente.
Responsabilità del costruttore, del software, o del conducente?

1.5. Attacchi e manipolazioni: avvelenamento dei dati (data poisoning)

Un modello AI viene manipolato tramite l’inserimento di dati corrotti, che ne alterano il comportamento.
Chi deve rispondere se il danno deriva da una vulnerabilità non gestita?

Questi casi non sono ipotetici: si tratta di situazioni già emerse nella prassi o oggetto di contenzioso in diversi Paesi. Il problema comune è che la catena della responsabilità è spesso distribuita tra più soggetti, e la natura opaca dell’AI complica l’individuazione del responsabile effettivo.

L’uso dell’AI in ambiti critici può generare danni materiali, morali o reputazionali. Capire chi risponde è il primo passo per costruire modelli legali e contrattuali solidi.

2. Le difficoltà nel modello tradizionale di responsabilità

Il diritto civile classico si basa sull’idea che un danno sia causato da una condotta umana, volontaria o negligente. Tuttavia, con l’intelligenza artificiale questo paradigma entra in crisi. L’AI agisce in modo autonomo, spesso sulla base di logiche statistiche non immediatamente comprensibili, e può generare conseguenze dannose anche in assenza di un errore umano diretto.

Ecco i principali nodi critici che rendono difficile applicare i modelli tradizionali:

2.1. L’AI non è (ancora) un soggetto giuridico

L’intelligenza artificiale non ha personalità giuridica. Non può essere direttamente ritenuta responsabile, né essere parte in giudizio. Questo significa che ogni danno causato da un sistema AI deve essere ricondotto a una persona fisica o giuridica: sviluppatore, fornitore, integratore, utilizzatore.

Ma questa attribuzione non è sempre lineare, soprattutto nei sistemi distribuiti e nelle filiere complesse.

2.2. Opacità e imprevedibilità del comportamento

Molti sistemi AI, in particolare quelli basati su deep learning, sono tecnicamente opachi. Anche gli sviluppatori possono non essere in grado di spiegare in modo esaustivo perché il sistema ha prodotto un certo risultato.

Questa mancanza di trasparenza rende difficile:

  • Dimostrare il nesso causale tra l’errore e il danno
  • Stabilire se il danno era prevedibile o evitabile
  • Valutare se vi è stata colpa o negligenza da parte di chi ha progettato o usato il sistema

2.3. Catena di responsabilità frammentata

Nei progetti AI complessi, sono coinvolti più attori:

  • Chi sviluppa il modello
  • Chi lo addestra con dati specifici
  • Chi lo integra nel prodotto finale
  • Chi lo utilizza in un contesto applicativo

Attribuire la responsabilità a uno solo di questi soggetti può essere arbitrario o ingiusto. In molti casi, il danno nasce da una combinazione di fattori lungo la catena del valore.

2.4. Limitazioni probatorie per il danneggiato

Nel modello classico, l’onere della prova è a carico della vittima. Ma in ambito AI, chi subisce un danno potrebbe non avere:

  • Accesso al codice sorgente o ai dataset
  • Capacità tecniche per analizzare il comportamento del sistema
  • Strumenti per dimostrare il difetto o la responsabilità

Questo squilibrio rende difficile far valere i propri diritti in giudizio.

Il modello tradizionale di responsabilità civile si confronta con una tecnologia che agisce in modo autonomo, distribuito e spesso opaco. Per colmare questo gap, sono necessarie nuove regole, che riconoscano le specificità dell’AI.

3. Le soluzioni normative proposte in Europa

Per affrontare le lacune del diritto civile tradizionale di fronte all’intelligenza artificiale, l’Unione Europea ha avviato una strategia normativa articolata. Oltre all’AI Act, sono state proposte due direttive complementari: una sulla responsabilità civile specifica per l’AI e l’altra sulla responsabilità da prodotto difettoso, aggiornata per includere tecnologie intelligenti.

L’obiettivo comune è duplice:

  • Garantire un livello adeguato di protezione per chi subisce danni
  • Fornire certezza giuridica agli operatori economici che sviluppano e utilizzano AI

3.1. Direttiva sulla responsabilità per l’intelligenza artificiale (2022)

Questa proposta introduce un quadro armonizzato per la responsabilità civile extracontrattuale nei casi in cui il danno sia causato da un sistema di AI.

I punti chiave:

  • Inversione dell’onere della prova: nei sistemi ad alto rischio, la vittima potrà beneficiare di una presunzione di nesso causale se sussistono determinati elementi (es. violazione degli obblighi previsti dall’AI Act)
  • Obbligo di collaborazione per il produttore o l’utilizzatore del sistema AI: dovranno fornire alla vittima informazioni tecniche per agevolare la prova
  • Applicabilità anche in ambito B2B, con effetto diretto su relazioni contrattuali e responsabilità tra imprese

La direttiva non crea una responsabilità oggettiva, ma mira a rendere più agevole la prova della colpa e del nesso causale in contesti tecnicamente complessi.

3.2. Riforma della Product Liability Directive (2023)

La Commissione Europea ha proposto una revisione della Direttiva 85/374/CEE, per aggiornare il concetto di “prodotto difettoso” e includere:

  • Software, inclusi sistemi AI e modelli algoritmici
  • Difetti derivanti da aggiornamenti, istruzioni inadeguate o mancanza di sicurezza
  • Danni causati da interazione tra componenti hardware/software complessi

Novità rilevanti:

  • L’AI può essere considerata difettosa anche in assenza di un guasto tecnico, se non offre le garanzie di sicurezza che l’utente può legittimamente aspettarsi
  • La vittima può ottenere il risarcimento senza dover provare la colpa, ma solo il difetto e il nesso causale

La logica è quella della responsabilità oggettiva del produttore, analoga a quanto già previsto per farmaci o beni fisici.

3.3. L’impatto dell’AI Act sulla responsabilità

Pur non disciplinando direttamente la responsabilità civile, l’AI Act stabilisce una serie di obblighi tecnici e organizzativi (documentazione, audit, trasparenza, supervisione umana) che influiscono indirettamente sulla valutazione della responsabilità.

Infatti, il mancato rispetto di questi obblighi può essere:

  • Un indizio di colpa o negligenza in sede civile
  • Una violazione contrattuale
  • Un fattore rilevante nella gestione del contenzioso o delle richieste di risarcimento

L’Europa sta costruendo un ecosistema normativo che, pur senza creare un soggetto giuridico per l’AI, attribuisce responsabilità chiare ai soggetti coinvolti. Le nuove direttive puntano a riequilibrare il rapporto tra vittime e operatori tecnologici, semplificando l’accesso al risarcimento e incentivando la gestione responsabile dei rischi.

Stai integrando sistemi di Intelligenza Artificiale?

Contattaci per una consulenza legale personalizzata sull’AI compliance.

4. Il quadro italiano: responsabilità contrattuale, extracontrattuale e oggettiva

In attesa dell’adozione e recepimento delle nuove direttive europee, la responsabilità civile per danni causati da sistemi di intelligenza artificiale in Italia si fonda sulle norme generali del codice civile. Pur non essendo pensate per affrontare le peculiarità dell’AI, queste norme sono già oggi utilizzate per risolvere controversie in materia.

4.1. Responsabilità extracontrattuale (art. 2043 c.c.)

Secondo l’art. 2043 c.c., “qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto obbliga colui che ha commesso il fatto a risarcire il danno”.
Nel caso dell’AI, il problema è identificare chi ha commesso il fatto: chi ha progettato l’algoritmo, chi l’ha addestrato, chi lo ha messo in funzione?

L’applicazione di questo articolo richiede comunque di dimostrare:

  • L’esistenza del danno
  • Il nesso causale tra il comportamento del sistema e il danno
  • L’elemento soggettivo (colpa o dolo) di un soggetto riconoscibile

Questa prova può essere molto difficile da ottenere, specie se l’algoritmo ha operato in autonomia o su basi tecniche non documentate in modo sufficiente.

4.2. Responsabilità oggettiva per attività pericolosa (art. 2050 c.c.)

Una possibile alternativa è l’art. 2050 c.c., che disciplina la responsabilità oggettiva per chi esercita un’attività pericolosa, anche in assenza di colpa.

Secondo un’interpretazione in via di consolidamento, l’utilizzo di sistemi AI complessi, autonomi e non completamente controllabili potrebbe rientrare tra le attività pericolose, specie in settori come:

  • Sanità e dispositivi medici intelligenti
  • Sistemi di guida assistita
  • Infrastrutture critiche automatizzate

In questo caso, spetta all’operatore dimostrare di aver adottato tutte le misure idonee a evitare il danno.

4.3. Responsabilità contrattuale (art. 1218 c.c.)

Nel contesto B2B o nei rapporti con consumatori, la responsabilità può anche derivare da inadempimento contrattuale.
L’art. 1218 c.c. prevede che il debitore (es. fornitore di un sistema AI) risponda del danno derivante dalla mancata esecuzione della prestazione, salvo che provi l’impossibilità per causa a lui non imputabile.

Questo tipo di responsabilità:

  • È più facile da dimostrare, perché basata su obblighi specifici
  • Può essere limitata o ampliata da clausole contrattuali
  • Rende fondamentale la definizione chiara dei livelli di servizio, delle garanzie e dei limiti di utilizzo dell’AI


Il diritto italiano offre già oggi strumenti per tutelare le vittime di danni causati dall’intelligenza artificiale, ma presenta limiti probatori e interpretativi. In assenza di una disciplina organica, è essenziale adottare misure preventive e contrattuali specifiche.

5. Come tutelarsi: strategie legali e operative

L’evoluzione normativa sull’intelligenza artificiale è in corso, ma la prevenzione giuridica non può attendere. Le imprese e gli enti che sviluppano o utilizzano sistemi AI devono attivarsi con una strategia integrata, che combini misure legali, tecniche e organizzative. L’obiettivo è ridurre i rischi di contenzioso, assicurare la compliance e dimostrare la propria diligenza in caso di danno.

5.1. Clausole contrattuali specifiche

Nei contratti con fornitori o partner tecnologici è fondamentale introdurre:

  • Clausole di responsabilità e manleva, per delimitare le rispettive responsabilità in caso di danni causati dal sistema AI
  • Obblighi di trasparenza tecnica, che impongano la consegna di documentazione e strumenti di audit
  • Garanzie di conformità alla normativa vigente (AI Act, GDPR, sicurezza informatica)
  • Previsioni assicurative: chi deve stipulare e mantenere copertura per i rischi tecnologici

Nei rapporti B2B, queste clausole sono spesso oggetto di negoziazione, ma diventano essenziali per definire una ripartizione dei rischi equa e sostenibile.

5.2. Due diligence sui fornitori e sul modello AI

Prima di adottare o integrare un sistema AI, è consigliabile effettuare una verifica legale e tecnica preventiva, che includa:

  • Analisi del modello utilizzato (trasparenza, explainability, bias)
  • Verifica dei dataset e delle fonti di addestramento
  • Revisione delle metriche di performance e dei casi limite
  • Conformità agli standard di audit, logging e supervisione richiesti dalla normativa europea

Questa attività va documentata e integrata nei flussi di procurement, in particolare per progetti pubblici o in ambiti regolamentati.

5.3. Supervisione umana significativa

Il principio di human-in-the-loop, richiesto anche dall’AI Act, prevede che l’output del sistema AI sia sottoposto a:

  • Valutazione da parte di un operatore umano qualificato
  • Possibilità di modifica, sospensione o annullamento della decisione automatica
  • Responsabilità dell’operatore in caso di mancato intervento

Questa forma di controllo umano riduce il rischio di danni irreversibili e può costituire una difesa importante in caso di contenzioso.

5.4. Coperture assicurative dedicate

Il mercato assicurativo offre oggi prodotti specifici per la copertura dei danni da AI, che possono includere:

  • Responsabilità professionale del fornitore tecnologico
  • Responsabilità civile per danni a terzi causati da sistemi automatizzati
  • Protezione contro errori nei processi decisionali automatizzati

La stipula di queste polizze deve essere valutata in funzione del livello di rischio, del contesto normativo e della complessità del sistema.

5.5. Governance interna e responsabilità aziendale

Ogni organizzazione dovrebbe prevedere:

  • Un referente interno per la governance dell’AI (es. “AI risk manager” o funzione compliance)
  • Il coinvolgimento del DPO e del team legale nella valutazione dei progetti AI
  • Procedure di gestione delle non conformità, con meccanismi di escalation e revisione periodica
  • Tracciamento continuo delle performance del sistema e aggiornamento dei modelli


La tutela giuridica contro i rischi dell’intelligenza artificiale passa da una strategia multilivello, che combina clausole contrattuali, audit tecnici, assicurazioni e controllo umano. Agire oggi significa non solo prevenire danni e contenziosi, ma anche costruire un uso dell’AI più responsabile e sostenibile.

In breve: AI e responsabilità civile 

  • L’uso dell’intelligenza artificiale può causare danni a persone, aziende o beni.
  • Il diritto tradizionale fatica a identificare con precisione chi risponde legalmente.

  • L’UE ha proposto nuove regole per semplificare il risarcimento.

  • In Italia si applicano le norme generali di responsabilità civile, con possibili adattamenti (es. art. 2043, 2050, 1218 c.c.).
  • Le imprese devono tutelarsi con clausole contrattuali, due diligence, assicurazioni e supervisione umana.

Stai integrando sistemi di Intelligenza Artificiale?

Contattaci per una consulenza legale personalizzata sull’AI compliance.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide, Nuove tecnologie

NDA nel mondo tech: come proteggere dati, codice e progetti digitali

Guide, Nuove tecnologie

DPIA e FRIA: guida pratica alla compliance AI e GDPR

Guide, Nuove tecnologie

Selezione del personale tra AI e GDPR: guida alla gestione conforme dei dati HR

Guide, Nuove tecnologie

Responsabilità civile dell’AI: chi risponde in caso di errore o danno?

Guide, Nuove tecnologie

AI spiegabile: guida alla trasparenza algoritmica e agli audit obbligatori

Guide, Nuove tecnologie

Dataset AI: guida legale alla raccolta e uso conforme dei dati

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Legal – Innovation – Business

Il nostro approccio al lavoro

Ti guidiamo passo dopo passo con soluzioni legali su misura che rispondono alle tue esigenze specifiche.

Step 1

Videocall conoscitiva gratuita

La sessione iniziale ci permette di identificare i punti chiave e delineare un piano d’azione.

Step 2

Preventivo chiaro

Dopo aver compreso le Tue necessità, Ti forniremo un preventivo dettagliato di ogni costo.

Step 3

Iniziamo la collaborazione

Una volta firmato l’incarico, daremo inizio alla collaborazione con un approccio strutturato.