IA e Sanità, una questione di responsabilità: ecco perché

Sistemi di intelligenza artificiale (IA) più o meno sofisticati si stanno diffondendo in maniera crescente nel contesto dell’assistenza sanitaria e nella fornitura di servizi medici di varia natura.

Da un lato abbiamo software che sono progettati per assistere e coadiuvare i professionisti sanitari nelle loro attività, si pensi a quei software in grado di processare dati e informazioni sanitarie per fornire suggerimenti diagnostici o raccomandazioni di trattamento, anche integrati in apparecchiature hardware medicali. O, ancora, software che aiutano il professionista nell’interpretazione di risultati di esami, come gli oramai diffusi software di analisi e interpretazione dell’ECG.

Dall’altro lato, numerose piattaforme e applicazioni che sfruttano l’IA sono fornite direttamente ai pazienti, consentendo loro di raggiungere diversi gradi di autonomia nella gestione del percorso di cura. Di frequente sono installate su smartphone e funzionano in connessione con device esterni, come quelle applicazioni che, attraverso l’analisi di dati e parametri, calcolano, di volta in volta, il corretto dosaggio di un medicinale e forniscono un input al device esterno (come una pompa per insulina) ai fini della somministrazione. Altri software, molto diffusi, sono utilizzati per monitorare in maniera costante lo stato di salute del paziente e generare notifiche se determinati valori soglia siano superati, permettendo così l’intervento tempestivo del medico.

In base alla destinazione d’uso impressa dal fabbricante, questi software, inclusi quelli stand-alone^[1], possono essere classificati come dispositivi medici ai sensi del Regolamento (UE) 2017/745 “MDR”^[2]. Tale regolamento però non fornisce particolari indicazioni in tema di responsabilità, limitandosi a prevedere una responsabilità generale del fabbricante nel caso di malfunzionamenti e danni derivanti dallo stesso, con annesso obbligo di garantire una copertura finanziaria sufficiente in relazione a tale responsabilità, tipicamente sotto forma di assicurazione.

Software sotto il controllo del professionista sanitario

In alcuni casi, l’utilizzo di tecnologie di IA nell’erogazione di servizi di cura permette al medico di controllare e validare il risultato fornito dal software, sia perché il professionista è chiamato a indirizzare in tempo reale il funzionamento dell’algoritmo, sia perché esiste un momento di verifica del risultato prodotto dal software, che permette al clinico di correggere eventuali errori prima che il trattamento sia erogato al paziente. Questo è tanto più vero quanto più le logiche di funzionamento dell’algoritmo – i.e. la sua trasparenza – sono conoscibili e possono essere ripercorse da parte del professionista per individuare potenziali distorsioni.

Si pensi ad esempio ai già menzionati software per la lettura e interpretazione dell’ECG, addestrati con enormi set di dati e in grado di individuare alterazioni negli esiti dell’esame, che talvolta sfuggono all’occhio umano, e rendono possibile la diagnosi precoce e il monitoraggio di alcune patologie cardiache.

In queste situazioni il professionista potrebbe essere tenuto ad assumersi la responsabilità per il trattamento sanitario erogato con l’ausilio di strumenti che utilizzano l’IA e che sono sotto il suo diretto controllo. Ogni questione derivante da eventuali danni ai pazienti potrà essere risolta mediante l’applicazione degli ordinari rimedi codicistici e previsti da norme speciali, come quella sulla responsabilità medica di cui alla Legge n. 24/2017, c.d. Gelli-Bianco.

Nello specifico, il paziente danneggiato potrà agire in via contrattuale nei confronti del singolo professionista e/o nei confronti della struttura sanitaria alla quale appartiene il professionista, che garantisce una maggior capienza economica, rimanendo quest’ultimo in ogni caso responsabile in via extracontrattuale ex art. 2043 c.c.^[3]. L’azione contrattuale promossa dal paziente rimette nei fatti al convenuto – medico o struttura sanitaria – l’onere di dimostrare di avere agito correttamente.

Software con elevato grado di autonomia

Diverso è il caso in cui il software operi con un alto grado di autonomia, anche intervenendo in via diretta e immediata sul paziente, ad esempio a fini diagnostici oppure terapeutici. Tale scenario diviene maggiormente complesso nel caso di software che, a causa della loro progettazione e sviluppo, non consentono di tracciarne con precisione le logiche di funzionamento.

In queste situazioni, va capito se il medico possa essere ritenuto responsabile dei danni cagionati dall’algoritmo pur non avendo la concreta possibilità di intervenire per indirizzare e correggere l’operato del software. Infatti, non si possono escludere potenziali malfunzionamenti e relativi danni per i pazienti, tanto più che i sistemi di IA, soprattutto se di tipo generativo, sono soggetti per loro natura a evoluzioni, aggiornamenti e mutamenti che ne influenzano il funzionamento, sempre più spesso in maniera non prevedibile dagli sviluppatori.

La questione dell’allocazione delle responsabilità ha una rilevanza dirompente sia sotto il profilo economico (senz’altro software sempre più complessi e autonomi faranno il loro ingresso sul mercato nel prossimo futuro) che sociale (l’attribuzione di responsabilità potrebbe ingenerare un meccanismo di medicina difensiva, in base al quale i medici, pur di non incorrere in responsabilità, rifiutano di utilizzare sistemi di IA di cui non hanno il pieno controllo, con il paradosso che questi sono però quelli che promettono i migliori risultati).

Sotto quest’ultimo profilo, il fatto che tali software sono (e saranno) soggetti in molti casi alle norme sui dispositivi medici rappresenta una forte garanzia, atteso che le prestazioni e la sicurezza dell’algoritmo dovranno essere verificate nell’ambito delle procedure di valutazione della conformità previste dal MDR. Ed anzi, si potrebbe sostenere che proprio la certificazione del software come dispositivo medico permetta al medico di fare pieno affidamento sulle prestazioni del dispositivo, non solo in punto di sicurezza, ma anche di performance e idoneità a conseguire la relativa destinazione d’uso. Ciò non vale di per sé ad escludere automaticamente la responsabilità del professionista in ogni caso di utilizzo di sistemi di AI certificati secondo l’MDR: dipenderà infatti dal caso concreto e dalla strumentalità dell’uso del device in relazione al trattamento sanitario in favore del paziente.

Su questi temi, il disegno di legge in materia di intelligenza artificiale approvato lo scorso aprile dal Consiglio dei Ministri^[4] si limita a prevedere che “i sistemi di intelligenza artificiale nell’ambito sanitario costituiscono un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando impregiudicata la decisione, che è sempre rimessa alla professione medica”. Tuttavia, è evidente che, nel caso di software – dispositivi medici, la responsabilità del fabbricante assume un ruolo centrale.

Bisognerà poi capire in concreto come la responsabilità del fabbricante verrà fatta valere laddove l’utilizzo del software sia mediato o prescritto da un medico o utilizzato nell’ambito di una struttura sanitaria.  Ad esempio, il paziente potrebbe comunque agire, in via contrattuale, nei confronti della struttura sanitaria, lamentando un danno derivante da “cattiva organizzazione” della struttura, chiamata a garantire un livello adeguato di erogazione delle cure anche con riferimento alle soluzioni software utilizzate. Se tuttavia il danno fosse dovuto a un malfunzionamento o difetto di fabbricazione del software non rilevabile dalla struttura con l’ordinaria diligenza, anche la struttura potrebbe essere ritenuta esente da responsabilità nei confronti del paziente e il fabbricante potrebbe essere chiamato in via di regresso.

… e software utilizzati in autonomia dai pazienti

Simili considerazioni possono essere fatte per quegli applicativi messi a diretta disposizione dei pazienti da parte delle aziende, come le applicazioni per smartphone o altri programmi utilizzati tramite pc. Ne esistono già oggi numerosi esempi, come le app per monitorare processi e parametri fisiologici, anche utilizzate in connessione con hardware esterni, o applicazioni che sfruttano l’IA per fornire informazioni e raccomandazioni sul decorso della propria patologia, partendo dall’analisi di dati e informazioni raccolti dall’utente/paziente.

Nel caso di malfunzionamenti che dovessero causare un danno, l’utilizzatore potrebbe fare valere anche in questo caso la responsabilità del fabbricante del software avvalendosi degli strumenti previsti dal Codice del Consumo^[5] per i danni dovuti da difetto del prodotto, strada che tuttavia, come già detto, potrebbe richiedere un notevole sforzo in termini di prova degli elementi costituitivi dell’azione, in particolare il difetto e la sua idoneità causale a determinare il danno.     

Trasparenza e interpretabilità del software

Più un software è progettato e sviluppato in modo tale da permettere agli utilizzatori di interpretare i risultati forniti dall’algoritmo e ricostruire il percorso decisionale che ha portato alla generazione di tali output, maggiori sono le possibilità per l’operatore sanitario di controllarne l’operato, di validarne gli esiti e di intervenire per correggere eventuali malfunzionamenti. Ma non solo, la comprensione delle logiche di funzionamento del software e l’interpretabilità dei risultati rende più agevole provare in giudizio l’eventuale difetto di funzionamento dell’algoritmo.

Non è un caso che lo stesso AI Act – oramai giunto alla sua versione definitiva e in attesa di formale adozione – imponga ai fornitori di sistemi di IA classificabili ad “alto rischio” di progettare e sviluppare gli algoritmi in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire di interpretare l’output del sistema e utilizzarlo adeguatamente (art. 13).

Sul punto si ricorda che, in base all’AI Act, software basati su IA classificati come dispositivi medici in base alla normativa di settore (ossia l’MDR) che richiedono – sempre in base alla medesima normativa – la validazione di un organismo notificato ai fini dell’immissione in commercio, sono classificati come “sistemi ad alto rischio”.

Il quadro normativo che va delineandosi a livello europeo

Sul tema delle responsabilità derivanti dall’utilizzo di sistemi di IA sono attese importanti novità a livello europeo, destinate ad impattare anche il settore sanitario. Infatti, sono in discussione due diverse proposte di direttiva: una, volta a rinnovare la disciplina sulla responsabilità per danno da prodotto difettoso, che dovrebbe sostituire l’attuale Direttiva 85/374/CEE anche per adattarla al nuovo contesto digitale; l’altra, volta ad introdurre ex novo una disciplina unitaria per la responsabilità extracontrattuale per danni da IA.

Per quanto riguarda la proposta di direttiva sulla product liability, ora al vaglio del Parlamento Europeo, è chiaro l’intento di aggiornare l’attuale impianto, particolarmente datato, per renderlo compatibile con il nuovo contesto digitale. Spicca in primo luogo la ridefinizione del concetto di “prodotto”, che ora include espressamente anche il software (con l’esclusione di quello open source)^[6]. Di notevole interesse, inoltre, le disposizioni introdotte per agevolare l’onere della prova per il danneggiato attraverso (i) l’attribuzione al giudice del potere di ordinare al convenuto, su richiesta del danneggiato che abbia “presentato fatti e prove sufficienti a sostenere la plausibilità della domanda di risarcimento”, di divulgare gli elementi di prova di cui dispone; e (ii) l’introduzione di alcuni meccanismi presuntivi riguardo al carattere difettoso di un prodotto, qualora siano soddisfatte talune condizioni^[7].

Riguardo invece alla proposta di direttiva sulla responsabilità extracontrattuale per danni cagionati dall’IA, l’intento del legislatore europeo è quello di uniformare i requisiti in punto di onere della prova a livello dei diversi Stati Membri, introducendo (i) obblighi di disclosure a carico del convenuto nel giudizio promosso dal danneggiato, similmente alla proposta di direttiva sulla product liability, ma solamente per i sistemi di IA “ad alto rischio”^[8]; (ii) presunzioni riguardo l’onere della prova a carico del danneggiato nel giudizio di risarcimento, in particolare per la prova del nesso di causalità tra condotta colposa e danno prodotto dal sistema di IA, a talune condizioni^[9].

Dunque, il quadro normativo, già complesso per la presenza della pluralità di regimi di responsabilità visti sopra, si va ancor più complicando con l’introduzione di due ulteriori direttive. D’altro canto, l’intervento su più fronti è giustificato dal legislatore con l’intento di garantire che l’utente possa rivalersi nei confronti dell’intera filiera. E questa, specialmente in campo medico, è particolarmente complessa. A fianco alla figura del paziente e del medico o della struttura sanitaria intervengono, infatti, ulteriori categorie, come il fabbricante, lo sviluppatore del software, il programmatore dell’algoritmo, ecc. Dunque, se è vero che un testo unico e coordinato sarebbe stato preferibile in un’ottica di semplificazione di un sistema già complesso, è anche vero che il campo di possibile applicazione dell’IA è in potenza sterminato. E quindi non sorprende, almeno in questa fase, la scelta di intervenire su più fronti.

[1] Ovvero quei software che esercitano invece la loro funzione senza necessità di alcun supporto hardware.

[2] E infatti, nei casi di utilizzo di algoritmi di IA nel contesto sanitario è molto frequente che tale software sia qualificabile come un dispositivo medico a sé stante, con una propria destinazione d’uso medica specifica secondo i ben noti criteri delineati, in particolare, dalle linee guida del Medical Device Coordination Group  e della Commissione Europea ; in altri casi, il software è comunque soggetto alle norme sui medical device, seppur in misura differente, perché qualificabile come accessorio di dispositivo medico ai sensi del MDR. Tali considerazioni sono valide anche per le c.d. digital therapeutics, ovvero quelle terapie finalizzate a prevenire o curare malattie o altri stati patologici (obesità, ansia, depressione) intervenendo sul paziente per modificarne i comportamenti disfunzionali. Come noto, infatti, anche tali software rientrano a pieno titolo fra i dispositivi medici, nonostante il loro meccanismo di funzionamento che li differenzia dai device più tradizionali.

[3] Ai sensi della Legge n. 24/2017, art. 7, “La struttura sanitaria o sociosanitaria pubblica o privata che, nell’adempimento della propria obbligazione, si avvalga dell’opera di esercenti la professione sanitaria, anche se scelti dal paziente e ancorché non dipendenti della struttura stessa, risponde, ai sensi degli articoli 1218 e 1228 del codice civile, delle loro condotte dolose o colpose”; mentre l’esercente la professione sanitaria “risponde del proprio operato ai sensi dell’articolo 2043 del codice civile, salvo che abbia agito nell’adempimento di obbligazione contrattuale assunta con il paziente”.

[4] Disegno di legge “Norme di principio in materia di intelligenza artificiale”, il cui testo è stato approvato nella riunione del Consiglio dei Ministri del 23 aprile 2024.

[5] D.Lgs. n. 206/2005.

[6] È una modifica che a livello nazionale non dovrebbe avere un particolare impatto, atteso che il Codice del Consumo già prevede una ampia definizione di “prodotto”, idonea a ricomprendere anche il software.

[7] Art. 10 della proposta di direttiva sulla responsabilità per danno da prodotti difettosi, che abroga la direttiva 85/374/CEE del Consiglio.

[8] La definizione di “sistema di IA ad alto rischio” rimanda a quella fornita dall’AI Act, all’articolo 6.

[9] Art. 4 della proposta di direttiva relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale.