Camera dei deputati - Legislatura - Dossier di documentazione (Versione per stampa)
Autore: Servizio Studi - Dipartimento Attività Produttive
Titolo: Disposizioni concernenti l’impiego di sistemi di intelligenza artificiale nel settore del commercio elettronico nonché delega al Governo in materia di disciplina delle funzioni di vigilanza
Riferimenti: AC N.1940/XIX
Serie: Progetti di legge   Numero:
Data: 04/11/2024
Organi della Camera: X Attività produttive


+ maggiori informazioni sul dossier
+ maggiori informazioni sugli atti di riferimento

Disposizioni concernenti l’impiego di sistemi di intelligenza artificiale nel settore del commercio elettronico nonché delega al Governo in materia di disciplina delle funzioni di vigilanza

4 novembre 2024
Schede di lettura


Indice
Premessa|Contenuto|


Premessa

Commercio elettronico e intelligenza artificiale: il quadro europeo

Il commercio elettronico costituisce una forma di sviluppo delle tecnologie digitali. Il primo intervento normativo, in sede europea, va ricondotto alla Direttiva 2000/31/UE del Parlamento europeo e del Consiglio dell'8 giugno 2000, «relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno», c.d. Direttiva sul commercio elettronico, che ha recato una prima definizione di commercio elettronico e a cui è stata data attuazione con il Decreto legislativo 9 aprile 2003, n. 70, diretto a promuovere la libera circolazione dei servizi della società dell'informazione, fra i quali il commercio elettronico.

Si tratta di una disciplina tutt'ora vigente, sulla quale, non di meno, ha inciso il recente "pacchetto legislativo sui servizi digitali".

Specificamente, come si descriverà meglio nel prosieguo, l'articolo 89 del Regolamento n. 2022/2065/UE, cd. Regolamento sui servizi digitali (DSA – Digital Service Act) ha abrogato l'intera Sezione IV del Capo II (articoli 12-15) della Direttiva sul commercio elettronico, relativa alla responsabilità dei prestatori intermediari, disponendo che i richiami gli articoli della suddetta Sezione IV debbano ora essere sostituiti con i richiami alla nuova disciplina in materia (di portata più generale), contenuta negli articoli 4, 5, 6 e 8 nel Regolamento.

La Direttiva 2000/31/UE è  stata adottata con l'obiettivo di favorire la libera circolazione e lo sviluppo dei "servizi della società dell'informazione", vale a dire  seguendo la relativa definizione contenuta nel considerando 17 a sua volta mutuata dal diritto comunitario già vigente – qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione (compresa la compressione digitale) e di memorizzazione di dati, e a richiesta individuale di un destinatario di servizi (vale a dire la persona fisica o giuridica che utilizzi il servizio della società di informazione).

Si tratta della definizione contenuta nella Direttiva 2015/1535/UE che prevede una procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione e a sua volta richiamata nel Regolamento sui servizi digitali.

Il commercio elettronico, costituisce, dunque, uno di tali servizi, e consiste (cfr. Comunicazione della Commissione europea "Un'iniziativa europea in materia di Commercio Elettronico" COM (97)157)) nello svolgimento per via elettronica di servizi commerciali di varia natura: commercializzazione di beni e servizi, anche attraverso piattaforme elettroniche di intermediazione tra destinatario del servizio e venditore, distribuzione di contenuti digitali, effettuazione di operazioni finanziarie e di borsa.

A tale riguardo, appare opportuno rammentare la definizione di servizio intermediario contenuta nell'articolo 3, par. 1) lett. g) del Regolamento sui servizi digitali. È «servizio intermediario» uno dei seguenti servizi della società dell'informazione:

  1. un servizio di semplice trasporto (cosiddetto «mere conduit»), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio o nel fornire accesso a una rete di comunicazione;
  2. un servizio di memorizzazione temporanea (cosiddetto «caching»), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite dal destinatario del servizio, che comporta la memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficiente il successivo inoltro delle informazioni ad altri destinatari su loro richiesta;
  3. un servizio di memorizzazione di informazioni (cosiddetto «hosting»), consistente nel memorizzare informazioni fornite da un destinatario del servizio su richiesta dello stesso.

La disciplina sulla responsabilità dei prestatori di servizi intermediari, «mere conduit», «caching» e «hosting» è ora contenuta nel Regolamento e sostituisce quella, come detto, già contenuta nella Direttiva sul commercio elettronico.

In particolare, ai sensi dell'articolo 4 del Regolamento, nella prestazione di «mere conduit», il prestatore del servizio non è responsabile delle informazioni trasmesse o a cui si è avuto accesso a condizione che: a) non dia origine alla trasmissione; b) non selezioni il destinatario della trasmissione; e c) non selezioni né modifichi le informazioni trasmesse. Le attività del prestatore includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che essa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario allo scopo.

Ai sensi dell'articolo 5, nella prestazione di un servizio di «caching», il prestatore non è responsabile della memorizzazione automatica, intermedia e temporanea delle informazioni effettuata al solo scopo di renderne più efficiente o più sicuro il successivo inoltro ad altri destinatari del servizio su loro richiesta, a condizione che detto prestatore: a) non modifichi le informazioni; b) si conformi alle condizioni di accesso alle stesse; c) si conformi alle norme sull'aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore; d) non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull'impiego delle informazioni; e e) agisca prontamente per rimuovere le informazioni memorizzate, o per disabilitarne l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni all'origine della trasmissione sono state rimosse dalla rete o che l'accesso alle stesse è stato disabilitato, o che vi è un siffatto ordine da parte di un organo giurisdizionale o di un'autorità amministrativa.

Ai sensi dell'articolo 6, nella prestazione di «hosting», il prestatore del servizio – a meno che agisca sotto l'autorità o il controllo del prestatore - non è responsabile delle informazioni memorizzate su richiesta di un destinatario del servizio, a condizione che: a) non sia effettivamente a conoscenza delle attività o dei contenuti illegali e, per quanto attiene a domande risarcitorie, non sia consapevole di fatti o circostanze che ne rendono manifesta l'illegalità; oppure b) non appena venga a conoscenza di tali attività o contenuti illegali, agisca immediatamente per rimuoverli o per disabilitarne l'accesso.

Quanto sopra non si applica in relazione alla responsabilità prevista dalla normativa in materia di protezione dei consumatori per le piattaforme online che consentono agli stessi di concludere contratti a distanza con operatori commerciali, qualora le piattaforme presentino informazioni specifiche o rendano altrimenti possibile indurre un consumatore medio a ritenere che il prodotto o il servizio oggetto dell'operazione, siano forniti dalla piattaforma stessa o da un destinatario del servizio che agisce sotto la sua autorità o il suo controllo.

Ai sensi dell'articolo 8, ai prestatori di servizi intermediari non è imposto alcun obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano, né di accertare attivamente fatti o circostanze che indichino la presenza di attività illegali.

La direttiva sul commercio elettronico è stata recepita nel nostro ordinamento con il decreto legislativo n. 70 del 9 aprile 2003, in attuazione della delega al Governo contenuta nell'articolo 31 della legge 1°; marzo 2002, n. 39 (legge comunitaria 2001).

Sul decreto legislativo è recentemente intervenuto il D.lgs. 25 marzo 2024, n. 50, che, all'articolo 3, comma 4, in esecuzione del Regolamento sui servizi digitali, ne ha abrogato gli articoli da 14 a 17, sulla responsabilità dei prestatori intermediari. Tali articoli costituivano, infatti, il recepimento dell'abrogata Sezione IV del Capo II (articoli 12-15) della Direttiva sul commercio elettronico.

Il quadro giuridico sul commercio elettronico sopra delineato non affronta, né regolamenta in qualche modo, l'uso della tecnologia, in particolare, delle tecnologie di Intelligenza Artificiale, da parte del prestatore del servizio della società dell'informazione. A ciò soccorre il nuovo Regolamento 2024/1689/UE del Parlamento europeo e del Consiglio del 13 giugno 2014 che stabilisce regole armonizzate a livello europeo sull'intelligenza artificiale, cd. AI Act.

La regolamentazione dell'impiego di sistemi di intelligenza artificiale, che nel citato atto legislativo UE trova la sua cornice generale, assume particolare rilievo per il commercio elettronico. 

In particolare, il Regolamento, che si applicherà a decorrere dal 2 agosto 2026, adotta un approccio "basato sul rischio": maggiore è il rischio di causare danni alla società, più severe sono le regole. I diversi tipi di intelligenza artificiale sono quindi  classificati in base al rischio (minimo, limitato, alto, inaccettabile): i sistemi di IA che presentano solo un rischio limitato sarebbero soggetti a obblighi di trasparenza meno stringenti, mentre i sistemi di IA ad alto rischio sarebbero autorizzati, ma soggetti a una serie di requisiti e obblighi per ottenere l'accesso al mercato dell'UE. I sistemi di intelligenza artificiale come, ad esempio la manipolazione cognitivo comportamentale e il punteggio sociale, saranno banditi dall'UE perché il loro rischio è ritenuto inaccettabile. La legge vieta inoltre l'uso dell'intelligenza artificiale per politiche predittive basate sulla profilazione e sistemi che utilizzano dati biometrici per classificare le persone in base a categorie specifiche come razza, religione o orientamento sessuale.

In generale, l'AI Act mira a promuovere lo sviluppo e l'adozione di sistemi di IA sicuri e affidabili nel mercato unico dell'UE da parte di attori sia pubblici che privati. Allo stesso tempo, mira a garantire il rispetto dei diritti fondamentali dei cittadini dell'UE e a stimolare gli investimenti e l'innovazione nel campo dell'intelligenza artificiale in Europa. La legge sull'IA si applica solo ad ambiti soggetti al diritto dell'UE e prevede esenzioni, ad esempio, per i sistemi utilizzati esclusivamente per scopi militari e di difesa, nonché per scopi di ricerca.

Alla luce di quanto esposto, quindi, le nuove regole richiedono ai siti e-commerce che utilizzano sistemi di intelligenza artificiale di garantire trasparenza e conformità con standard elevati di sicurezza e di attenersi ai requisiti previsti in base alla classificazione del sistema di AI. Nello specifico, i siti di e-commerce dovranno, ai fini della trasparenza, informare chiaramente gli utenti dell'utilizzo di sistemi IA, in particolare nei servizi di assistenza clienti, suggerimenti di acquisto, personalizzazione di contenuti o processi di marketing automatizza. Qualora sistemi di IA dovessero essere utilizzati per processi critici classificati quindi come "ad alto rischio", ad esempio sistemi di IA per la gestione delle transazioni o la determinazione di offerte personalizzate, saranno soggetti ai relativi requisiti ed obblighi, come le valutazioni di conformità e alla supervisione umana per prevenire decisioni automatizzate scorrette o discriminatorie. Infine, le piattaforme di e-commerce dovranno implementare misure che garantiscano il corretto utilizzo dei dati e prevengano trattamenti illeciti o invasivi della privacy per conformarsi all'AI Act e il GDPR. 

Come evidenziato in sede di audizioni tenutesi nel corso dell'Indagine conoscitiva sull'intelligenza artificiale: opportunità e rischi per il sistema produttivo italiano, tenutasi nella XIX legislatura presso la X Commissione Attività produttive della Camera dei deputati, l'IA interviene dinamicamente nei principali aspetti della vendita online, digitalizzando processi e fornendo un considerevole supporto rispetto all'intero processo di vendita, a partire dall'individuazione dell'acquirente potenziale fino all'assistenza dinamica nel post-vendita. Un utilizzo particolarmente interessante dell'intelligenza artificiale sarà quello applicato alla customer experience. I servizi nell'e-commerce presentano poi notevoli prospettive di sviluppo di tecniche di IA già esistenti, quali automazioni basate su chatbox ed assistenti virtuali.

Nel documento conclusivo dell' Indagine conoscitiva, approvato dalla X Commissione attività produttive della Camera dei deputati il 24 aprile 2024, si mette in evidenza come il settore del commercio elettronico abbia conosciuto una forte ascesa, soprattutto in coincidenza con la crisi pandemica. I dati contenuti nel report Istat, Cittadini e Ict 2022, segnalano che nel 2022 in Italia una persona su due ha usato internet per effettuare un acquisto online, con una certa omogeneità in base al sesso e alla distribuzione geografica, con una prevalenza da parte dei giovani. A livello europeo, il report sull'e-commerce 2023 pubblicato da E-commerce Europe ed Euro Commerce stima il valore del fatturato del commercio elettronico rivolto ai consumatori finali in 89 miliardi di euro nel 2021 e in 899 miliardi di euro nel 2022.

In questo campo, l'IA è in grado di supportare l'ottimizzazione dell'esperienza di navigazione, ad esempio attraverso il potenziamento dei motori semantici di ricerca e consente l'adozione di una politica dei prezzi dinamica. Permette, poi, di raggiungere efficacemente nuovi mercati, abbattendo le barriere territoriali, anche linguistiche, e di migliorare la sicurezza delle aziende con una presenza online attraverso, ad esempio, la prevenzione di frodi sui pagamenti digitali. L'intelligenza artificiale può anche offrire soluzioni per la personalizzazione dell'esperienza generando offerte su misura e contenuti promozionali specifici per ogni target di mercato. In particolare l'IA consente di acquisire ed elaborare moltissime informazioni sul cliente, sfruttando anche la combinazione di più canali, fondamentali per la maggiore conversione delle campagne promozionali. I servizi di vendita, soprattutto nel commercio elettronico, grazie alle elevate capacità analitiche e predittive connesse a tali sistemi, sono quindi sempre più fondati sulla centralità del cliente, sviluppando la capacità di proporre ai consumatori ciò che intercetta le sue esigenze.

Appare opportuno rilevare in questa sede come l'AI Act sia parte di una cornice regolatoria più ampia e lasci impregiudicate altre discipline orizzontali e verticali che insistono sulla materia, quali quelle relative alla protezione dei dati personali, tutela dei consumatori, diritti fondamentali, occupazione e protezione dei lavoratori e sicurezza dei prodotti (Cfr. Considerando n. 9).

In funzione complementare al Regolamento, e per quanto qui più rileva ai fini della proposta di legge qui in esame, la Commissione europea ha elaborato due proposte di Direttive in tema di responsabilità per i danni che possono derivare, tra l'altro, da sistemi di intelligenza artificiale. Si tratta della:

  • Proposta di Direttiva COM (2022) 495 final sulla responsabilità per danno da prodotti difettosi, ivi inclusi i sistemi di IA e i prodotti basati sull'IA, e della
  • Proposta di Direttiva COM (2022) 496 final relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale).

L'obiettivo è agevolare l'esercizio delle azioni risarcitorie da parte dei danneggiati (cfr. sul punto, l'analisi del Regolamento sull'IA di Assonime, Circolare 14 del 26 luglio 2024).

In particolare, nella relazione di accompagnamento alla COM (2022) 495 final sulla responsabilità per danno da prodotti difettosi si evidenzia, per quanto riguarda l'IA, che i sistemi di IA e i beni basati sull'IA sono "prodotti" e pertanto rientrano nell'ambito di applicazione della direttiva sulla responsabilità per danno da prodotti difettosi, il che implica, come per qualsiasi altro prodotto, che il danneggiato può chiedere il risarcimento del danno causato da un sistema di IA difettoso senza dover provare la colpa del fabbricante. In secondo luogo la proposta chiarisce che possono essere ritenuti responsabili, oltre ai fabbricanti di hardware, anche i fornitori di software e di servizi digitali che incidono sul funzionamento del prodotto (come nel caso del servizio di navigazione in un veicolo autonomo). In terzo luogo la proposta garantisce che i fabbricanti possano essere ritenuti responsabili per le modifiche da essi apportate a prodotti che hanno già immesso sul mercato, anche quando tali modifiche sono dovute ad aggiornamenti del software o all'apprendimento automatico. In quarto luogo, si alleggerisce l'onere della prova nei casi complessi, tra cui possono figurare determinati casi relativi a sistemi di IA, e nei casi in cui i prodotti non sono conformi ai requisiti di sicurezza. Ciò consente di rispondere in ampia misura agli inviti del Parlamento europeo a garantire che le norme in materia di responsabilità siano adattate all'IA (si rinvia alla Risoluzione del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale (2020/2014(INL)).

L'iter di approvazione della proposta di Direttiva (che segue la procedura legislativa ordinaria) è molto avanzato. Il 12 marzo 2024 il Parlamento europeo ha adottato la sua posizione in prima lettura sulla proposta (senza tuttavia il previo esame giuridico-linguistico), recependo l'accordo raggiunto con il Consiglio, che pertanto dovrà approvare definitivamente l'atto. Il testo con revisione giuridico-linguistica e le eventuali modifiche di traduzione dovranno essere approvate dalla plenaria del Parlamento europeo. Solo in seguito il testo può essere formalmente adottato dal Consiglio dell'UE.

Ad integrazione della proposta di Direttiva sopra citata, vi è la proposta di direttiva COM (2022) 496 final, relativa all'adeguamento delle norme in materia di responsabilità civile extracontrattuale all'intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale). La relazione di accompagnamento alla proposta di Direttiva evidenzia il collegamento con l'IA ACT e con il Digital Service Act. Questo reca norme volte a ridurre i rischi per la sicurezza e a tutelare i diritti fondamentali. Sicurezza e responsabilità sono due facce della stessa medaglia: si applicano in momenti diversi e si rafforzano a vicenda. Le norme dell'IA ACT sono volte a garantire la sicurezza i rischi dell'impiego di sistemi di IA, senza tuttavia eliminarli del tutto. Da tali rischi, qualora dovessero concretizzarsi, possono comunque scaturire dei danni. In tali casi si applicheranno le norme in materia di responsabilità previste dalla proposta. Norme efficaci in materia di responsabilità costituiscono inoltre un incentivo a rispettare le norme di sicurezza, contribuendo a prevenire il verificarsi di danni. La proposta agevola l'applicazione dei requisiti per i sistemi di IA ad alto rischio imposti dalla legge sull'IA, in quanto il mancato rispetto di tali requisiti costituisce un elemento importante che rende possibile un alleggerimento dell'onere della prova e lascia impregiudicate le norme stabilite dal Regolamento sui servizi digitali, che prevede, come accennato, un quadro esaustivo e pienamente armonizzato degli obblighi in materia di dovere di diligenza per il processo decisionale algoritmico da parte delle piattaforme online, compresa la relativa esenzione dalla responsabilità dei prestatori di servizi intermediari (sopra descritta).

L'iter di approvazione della proposta è in corso. I servizi della Commissione europea stanno predisponendo un aggiornamento del testo della proposta alla luce dei cambiamenti introdotti con l'approvazione del regolamento UE sull'intelligenza artificiale

Disciplina nazionale vigente sul commercio elettronico: Il D.lgs. n. 70/2003
Il D.lgs. n. 70/2003, come da ultimo modificato, interviene dunque nei seguenti settori:
  • la disciplina giuridica dello stabilimento dei prestatori di beni o servizi della società dell'informazione;
  • il regime delle comunicazioni commerciali; la disciplina dei contratti per via elettronica;
  • i codici di condotta;
  • la composizione extragiudiziaria delle controversie,
  • i ricorsi giurisdizionali e la cooperazione tra Stati membri.
La responsabilità degli intermediari, è bene ribadirlo, è ora contenuta nel Regolamento europeo sui servizi digitali, direttamente applicabile nell'ordinamento nazionale.
In via preliminare, occorre ricordare che l'articolo 1 del decreto legislativo, nell'enunciare le finalità del provvedimento, fa espressamente salva l'applicazione delle disposizioni sulla tutela della salute pubblica e dei consumatori e la normativa in materia di ordine pubblico, riciclaggio e traffici illeciti. Fa salva, altresì, la disciplina in materia bancaria, finanziaria, assicurativa e dei sistemi di pagamento, nonché le funzioni di vigilanza e controllo, di competenza degli organi di polizia.
Tra le materie escluse dal campo di applicazione del provvedimento si segnalano: gli aspetti fiscali del commercio elettronico; le questioni relative alla tutela dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare, del diritto alla vita privata, con specifico riguardo al trattamento dei dati personali nel settore delle telecomunicazioni; le intese restrittive della concorrenza; le prestazioni di servizi effettuate da soggetti stabiliti in Paesi non appartenenti allo spazio economico europeo; le attività dei notai o di altre professioni equivalenti, nella misura in cui implicano un nesso diretto e specifico con l'esercizio dei pubblici poteri; la rappresentanza e la difesa processuali; i giochi d'azzardo, ove ammessi, che implicano una posta pecuniaria in giochi di fortuna, comprese le lotterie e le scommesse.
I due principi di ordine generale stabiliti dalla direttiva, ossia l'assoggettamento dei servizi della società dell'informazione al diritto nazionale dello Stato membro di stabilimento del prestatore e il divieto di limitazione di libera circolazione dei servizi provenienti da un altro Stato, sono recepiti dall'articolo 3.
Per accedere all'attività di servizi della società dell'informazione, il prestatore di servizi deve fare riferimento alla disciplina e all'ambito dell'attività del Paese in cui è stabilito; pertanto, le attività economiche on line costituenti servizi forniti da un prestatore stabilito all'interno del territorio italiano soggiacciono, oltre che alle norme dettate dal decreto legislativo in commento, anche alle disposizioni nazionali applicabili all'ambito regolamentato. Queste, a loro volta, non possono limitare la libera circolazione dei servizi on line provenienti da un prestatore stabilito in un altro Stato membro a meno che non si versi in una delle materie tassativamente escluse da queste disposizioni (diritto d'autore, emissione di moneta elettronica, attività assicurativa ecc.) (art. 4).
In deroga al principio della libera circolazione dei servizi, il decreto legislativo (art. 5) consente l'adozione, da parte dell'autorità giudiziaria, o degli organi amministrativi di vigilanza o delle autorità indipendenti di settore, di specifici provvedimenti limitanti la circolazione dei servizi provenienti da un altro Stato membro. Sono indicati, altresì, i casi e le condizioni in cui l'obbligo di non creare ostacoli alla libera circolazione dei servizi della società dell'informazione possa essere derogato. Si tratta di deroghe di carattere generale dovute a motivi di ordine pubblico, di tutela della salute pubblica, di pubblica sicurezza e di tutela dei consumatori. I provvedimenti di salvaguardia degli interessi lesi possono essere adottati a condizione che siano necessari e proporzionati.
In caso di controversie riguardanti il prestatore stabilito (colui che offre i servizi attraverso una installazione stabile e per un tempo indeterminato) si applicano le disposizioni del regolamento n. 1215/2012, concernente la competenza giurisdizionale, il riconoscimento, l'esecuzione delle decisioni in materia civile e commerciale.
Nel decreto viene ribadito il principio introdotto dalla direttiva 2000/31/UE (art. 6) in ordine al regime di stabilimento, in base al quale l'accesso all'attività di prestazione dei servizi della società dell'informazione non può essere subordinato ad alcuna forma di autorizzazione preventiva.
Gli articoli 7, 8, 9, 10 e 12 del decreto legislativo definiscono gli obblighi posti a carico delle persone che forniscono servizi della società dell'informazione in ordine a:
  • fornitura delle informazioni generali obbligatorie di base sul servizio ai destinatari di questo e alle autorità competenti (articolo 7);
  • specifica evidenziazione del carattere commerciale delle comunicazioni, quando questo ricorra, tipicamente nel caso di offerte, concorsi o giochi promozionali (articolo 8);
  • specifica evidenziazione, per le comunicazioni commerciali non sollecitate trasmesse per posta elettronica, della loro natura e della facoltà per il destinatario di opporsi al ricevimento, in futuro, di analoghe comunicazioni (articolo 9);
  • conformità dell'uso delle comunicazioni commerciali da parte di appartenenti a professioni regolamentate alle relative regolamentazioni in materia di deontologia professionale (articolo 10);
  • fornitura delle informazioni tecniche preordinate alla conclusione del contratto per via elettronica cui il prestatore è tenuto prima dell'inoltro dell'ordine da parte del destinatario. Tali informazioni riguardano: le varie fasi tecniche da seguire per concludere il contratto; il modo di archiviazione del contratto concluso; i mezzi tecnici l'individuazione e la correzione di errori da parte del destinatario prima dell'inoltro dell'ordine al prestatore; gli eventuali codici di condotta cui aderisce il prestatore e i modi per accedervi per via telematica; le lingue a disposizione per la conclusione del contratto, oltre alla lingua italiana.
Il fornitore ha altresì l'obbligo di informare il consumatore sui suoi dati identificativi, sulle caratteristiche essenziali del bene o del servizio offerto e del loro costo, nonché delle modalità di esecuzione del contratto, pagamento e consegna del bene.
Sono comunque fatti salvi gli obblighi previsti dalla normativa nazionale in materia di protezione dei consumatori nei contratti a distanza e di tutela della vita privata nel settore delle telecomunicazioni. La comunicazione commerciale effettuata nell'ambito di una professione regolamentata deve comunque avvenire nel rispetto delle norme etiche e dei codici di condotta di categoria.
Il decreto legislativo individua le categorie di contratti che non possono essere concluse per via elettronica.
Oltre ad essere esclusi i contratti conclusi esclusivamente tramite posta elettronica, non possono essere oggetto di commercio elettronico i contratti:
a) che istituiscono o trasferiscono diritti su beni immobili diversi dalla locazione;
b) che richiedono per legge l'intervento di organi giurisdizionali, o soggetti che esercitano pubblici poteri;
c) di fideiussione o di garanzie prestate da persone che agiscono a fini che esulano dalle loro attività commerciali, imprenditoriali o professionali;
d) disciplinati dal diritto di famiglia o di successione (art. 11).
Per quanto concerne la fase di conclusione del contratto il decreto legislativo prevede che il prestatore, senza ingiustificato ritardo e per via telematica, accusi ricevuta dell'ordine del destinatario, contenente un riepilogo delle condizioni applicabili al contratto e una serie di informazioni relative a: caratteristiche del bene o del servizio, prezzo, mezzi di pagamento, recesso, costi di consegna e imposte (art. 13).
Da ultimo gli articoli 18, 19, 20 e 21 attuando le disposizioni del capo III della direttiva (Applicazione) riguardano: l'elaborazione volontaria di codici di condotta da parte delle organizzazioni imprenditoriali, professionali o di consumatori; la composizione extragiudiziale delle controversie anche in via informatica e i ricorsi giurisdizionali; la diffusione delle informazioni sulla normativa in esame dal parte del Ministero delle imprese e del made in Italy che funziona da "punto di contatto nazionale"; le sanzioni.
L'articolo 21 prevede che le violazioni degli obblighi definiti dagli articoli 7, 8, 9, 10 e 12 testé richiamati siano punite, salvo che il fatto non costituisca reato, con una sanzione amministrativa pecuniaria da 103 a 10.000 euro.

Contenuto

La proposta di legge A.C. 1940, costituita da otto articoli, reca disposizioni relative alla regolamentazione e al sostegno dell'impiego di sistemi di intelligenza artificiale (IA) nel settore del commercio elettronico, nonché una delega legislativa al Governo in materia di disciplina delle funzioni di vigilanza sull'utilizzo dell'IA nel settore in parola.

L'articolo 1 dispone che il provvedimento definisce il quadro normativo nazionale in relazione all'impiego dell'intelligenza artificiale nel settore del commercio elettronico, al fine di assicurare che lo stesso avvenga nel rispetto della Costituzione e dai princìpi previsti dalla normativa dell'Unione europea.

L'articolo 2 definisce:

  1. «intelligenza artificiale»: l'abilità di una macchina di mostrare capacità umane quali il ragionamento, l'apprendimento, la pianificazione e la creatività tali da consentire ai sistemi la comprensione del proprio ambiente, di mettersi in relazione con quello che percepisce, di risolvere problemi e di agire verso un obiettivo specifico;
  2. «sistema di intelligenza artificiale»: un sistema automatizzato progettato per funzionare con diversi livelli di autonomia che può mostrare capacità di adattamento dopo l'installazione e che, per obiettivi espliciti o impliciti, deduce dagli input che riceve come generare gli output, quali le previsioni, i contenuti, le raccomandazioni o le decisioni che possono influenzare ambienti fisici o virtuali;
  3. «IA bias»: i sistemi di intelligenza artificiale che producono sistematicamente e ingiustificatamente risultati meno favorevoli, ingiusti o dannosi per i membri di specifici gruppi sociali;
  4. «commercio elettronico»: l'attività di vendita automatizzata di beni e servizi realizzata tramite sistemi elettronici in rete.

L'articolo 3 reca taluni obblighi di trasparenza in capo alle imprese che utilizzano l'intelligenza artificiale, e, in particolare:

  • ai sensi del comma 1, l'obbligo di pubblicare informazioni complete, chiare, accessibili e comprensibili dagli utenti, riguardanti le funzionalità degli algoritmi utilizzati, compreso il processo decisionale da essi applicato, nonché i dati, i processi di prova e di convalida utilizzati e il sistema di gestione dei rischi;
  • ai sensi del comma 2, l'obbligo di fornire agli utenti idonee informazioni sul funzionamento delle tecnologie di intelligenza artificiale utilizzate nonché sulle modalità con cui vengono influenzate le decisioni di acquisto dei prodotti o la fruizione di servizi da esse offerti.

L'articolo 4 dispone che i dati raccolti tramite sistemi di intelligenza artificiale devono essere gestiti in conformità con il Regolamento (UE) 2016/679 (cd. GDPR), e con il codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

L'articolo 5 prevede, al comma 1, che i risultati prodotti dalle applicazioni di intelligenza artificiale devono rispettare i princìpi di uguaglianza e non discriminazione, trasparenza, proporzionalità, sicurezza e protezione dei dati personali, riservatezza, accuratezza e sostenibilità.

Ai sensi del comma 2, le imprese eseguono periodicamente regolari valutazioni etiche per identificare e mitigare gli IA bias negli algoritmi utilizzati.

L' articolo 6, al comma 1, attribuisce le funzioni di vigilanza sull'utilizzo dell'intelligenza artificiale nel settore del commercio elettronico all'Agenzia per la cybersicurezza nazionale di cui all'articolo 5 del D.L. n. 82/2021 (L. n. 109/2021), e all'Agenzia per l'Italia digitale di cui all'articolo 19 del D.L. n. 83/2012 (L. n. 134/2012).

Il comma 2 reca una delega legislativa al Governo per la definizione dei criteri di riparto dei poteri di vigilanza delle Agenzie di cui al comma 1, degli strumenti, anche cautelari, finalizzati a inibire la diffusione e a rimuovere contenuti generati illecitamente con sistemi di IA, nonché di un sistema sanzionatorio effettivo, proporzionato e dissuasivo.

Il decreto legislativo deve essere adottato entro centottanta giorni dalla data di entrata in vigore della legge, nel rispetto dei seguenti principi e criteri direttivi, indicati al comma 3:

  1. specificità delle competenze e leale collaborazione tra le Agenzie coinvolte;
  2. tipicità delle sanzioni, anche cautelari e inibitorie, con preminente finalità dissuasiva.

Il comma 4 dispone che il decreto legislativo sia adottato su proposta del Presidente del Consiglio dei ministri e successivamente trasmesso alle Camere per il parere delle Commissioni parlamentari competenti. Decorsi sessanta giorni dalla data della trasmissione, i decreti possono essere emanati anche in mancanza dei pareri. Qualora il termine (per l'espressione del parere) venga a scadere nei trenta giorni antecedenti alla scadenza del termine previsto per l'esercizio della delega o successivamente, quest'ultimo è prorogato di sessanta giorni.

Ai sensi del comma 5, lo schema del decreto legislativo è corredato di relazione tecnica, è trasmesso alle Camere ai fini dell'espressione del parere da parte delle Commissioni parlamentari competenti per materia e per i profili finanziari, che si pronunciano nel termine di trenta giorni dalla data di trasmissione, decorso il quale il decreto legislativo può essere comunque adottato.

Si valuti di coordinare il disposto del comma 4 e del comma 5, il cui contenuto potrebbe generare elementi di incertezza nelle procedure di attuazione della delega.

L'articolo 7 prevede, al comma 1, l'istituzione, nello stato di previsione del Ministero delle imprese e del made in Italy, del Fondo per l'innovazione e lo sviluppo tecnologico con una dotazione di 10 milioni di euro per l'anno 2025.

Il Fondo è destinato a fornire supporto alle imprese fino a 50 dipendenti e con un fatturato annuo o un totale di bilancio non superiore a 10 milioni di euro, per l'adozione di sistemi di intelligenza artificiale finalizzati all'efficientamento dei processi logistici.

Il comma 2 demanda ad un decreto del Ministro delle imprese e del made in Italy, da adottare di concerto con il Ministro dell'economia e delle finanze entro novanta giorni dalla data di entrata in vigore della legge, la definizione dei criteri e delle modalità di erogazione del Fondo, attribuendo priorità alle imprese che adottano soluzioni tecnologiche di intelligenza artificiale etiche, sicure e sostenibili.

Agli oneri derivanti dal comma 1, si provvede, ai sensi del comma 3, mediante corrispondente riduzione del Fondo per far fronte ad esigenze indifferibili che si manifestano nel corso della gestione (di cui all'articolo 1, comma 200, Legge di stabilità 2015 (L. n. 190/2014).

L'articolo 8 demanda allo Stato, alle regioni e agli enti locali il compito di promuovere programmi formativi destinati a sviluppare competenze digitali sull'intelligenza artificiale e favorire la formazione digitale continua per i lavoratori coinvolti nell'utilizzo di tali tecnologie, anche mediante la collaborazione con università e centri di formazione (lett.a)); nonchè il compito di favorire modelli di cooperazione tra piccole e medie imprese, volti a costituire reti di impresa al fine di accrescere l'innovazione e la competitività del sistema produttivo nazionale (lett.b)).