La società, in questo ultimo scorcio del secondo millennio, deve
confrontarsi con la crescente complessità delle tecnologie informatiche.
I pericoli sono stati, finora, focalizzati nella vulnerabilità dei sistemi
e nella sicurezza dei dati, soprattutto con riferimento a fonti
esterne di perturbamento. La legislazione italiana nel settore informatico
che si è venuta sviluppando tra il 1992 ed il 1994 (tutela del software
e introduzione dei "delitti informatici") ha preso in considerazione,
appunto, esclusivamente i comportamenti e le condotte che vadano ad incidere sui
sistemi (informatici o telematici), sui dati (tra i quali va annoverato la nuova
entità del "documento informatico") e sui programmi.
La prospettiva legislativa è stata esclusivamente quella di sanzionare
aggressioni (provenenti dall'esterno) ai c.d. beni informatici.
Anche nei casi in cui si è presa in considerazione la qualità di un
"operatore interno del sistema" essa è stata pur sempre ricollegata
ad un abuso indebito (sempre doloso) sullo strumento o dato informatico e, come
tale, strutturalmente "esterno" al "sistema".
Va notato che non è stata introdotta alcuna norma che punisca fatti ritenuti
socialmente dannosi o pericolosi a titolo di "colpa". Neppure la
diffusione dei "virus"" informatici (art. 615-quinques del codice
penale) è stata punita a titolo di colpa, essendo sempre necessario il
"dolo" (ossia la consapevolezza dell'azione che si sta compiendo e di
tutti gli elementi che compongono la fattispecie criminosa). La scelta è,
ovviamente, di tipo legislativo in quanto non vi sarebbe alcun ostacolo
concettuale o giuridico a configurare come reato anche la diffusione colposa di
"virus" (nel codice penale è, peraltro, prevista la ipotesi di
epidemia e di avvelenamento colposo di sostanze alimentari).
Le osservazioni che precedono introducono l'argomento della vulnerabilità
della società, che si affida sempre di più a sistemi informatici, in presenza
di comportamenti che, pur non essendo dolosi, abbiano, nondimeno la capacità di
incidere gravemente sulla sicurezza delle informazioni e sui rapporti sociali
che su di esse si basano.
Va segnalato, in particolare, il problema dei danni causati da prodotti
software (ed in tale nozione accomuno sia quelli di "sistema", che
quelli "applicativi" e di "telecomunicazioni") in seguito ed
a causa di un loro difettoso funzionamento.
L'argomento che non è stato, finora, affrontato dagli esperti del diritto in
maniera adeguatamente approfondita ed analitica. Il limite dei contributi
dottrinari, che fin qui sono intervenuti nel panorama giuridico italiano, è
strutturalmente legato da una scarsa statistica di casi concreti a cui poter far
riferimento.
Una conferenza telematica come quella in corso, arricchita da concrete esperienze di utenti che operano effettivamente sui sistemi informatici, potrebbe essere in grado di offrire interessanti stimoli, attraverso una ricca rappresentazione della casistica della varia tipologia dei danni cagionati da difettoso funzionamento dei programmi informatici.
Anche se appare esaurita la "moda" dei "sistemi esperti"
(nei quali il potenziale arricchimento delle conoscenze era fonte di
incontrollabilità dei risultati), il rischio di errori (anche molto gravi)
nella elaborazione dei risultati è costantemente presente in tutti i prodotti software.
Va considerato anche che il software si sta affermando soprattutto nel
campo dei settori di progettazione e di "consulenza" specialistica,
ove i danni causati possono essere di ampissima portata.
Il rischio di introdurre errori o combinazioni di regole che, in particolari
situazioni, siano tali da generare errori nei risultati applicativi aumenta in
proporzione geometrica con la complessità delle applicazioni e non è un caso
che i maggiori costi di sviluppo nella produzione dei programmi informatici
concernono la strutturazione ingegneristica ed il collaudo operativo volto alla
eliminazione degli errori (o meglio la loro "riduzione" a livelli
accettabili) la cui presenza viene a rappresentare un fatto ineluttabile. Le
impostazioni degli standard ISO 9000 nella progettazione del software
tende, indirettamente, ad assicurare la presenza di metodologie tali da ridurre
il rischio di errori progettuali.
In questo intervento nella conferenza telematica di MC-LINK, considerando che il dibattito appare inevitabilmente esteso anche e soprattutto a "non giuristi", mi limito a segnalare ed impostare i taluni problemi che il mondo del diritto si è finora posto, nonché ad indicare una bibliografia che possa servire di orientamento.
Responsabilità del produttore
La fonte della responsabilità può risiedere nel principio generale (di cui
all'art. 2043 cod. civ.); una tale impostazione impone che il danneggiato ha
l'onere di provare tutti gli elementi del fatto dannoso. In particolare oltre
alla prova del danno subito, deve provare il vizio del prodotto da cui il danno
è stato generato e deve provare anche il rapporto di causalità tra il processo
di fabbricazione ed il vizio.
Una forma facilitata di prova della responsabilità può essere utilizzata
dal consumatore ai sensi del D.P.R. 24 maggio 1988, n. 224 (attuazione della
direttiva della UE numero 85/374 in materia di responsabilità per danno da
prodotti difettosi). Questo strumento legislativo offre all'utilizzatore del
prodotto un vantaggio probatorio, imponendo al produttore di fornire la prova
liberatoria circa la non esistenza di un rapporto di causalità tra il processo
di fabbricazione ed il vizio.
Per poter applicare tale disciplina legislativa il software deve essere
considerato un "prodotto"; difatti la normativa non si applica alla
prestazione di "servizi" ed ai "beni immateriali" (per i
quali vi è un'altra Direttiva della UE finora non recepita nella nostra
legislazione.
Va osservato che la più attenta dottrina ha evidenziato che il software
va distinto nettamente nei suoi due aspetti. Da un lato è considerato, ai fini
della tutela dei diritti spettanti al suo titolare dei diritti di sfruttamento,
come "opera d'ingegno"; dall'altro lato, nella sua circolazione
commerciale, va considerato come "prodotto materiale" dotato di una
sua indubbia "fisicità". Infatti come è stato rilevato anche da
talune sentenze emesse da giudici italiani (Pretore Monza 21 marzo 1991 in
Dir. informazione e informatica, 1991, 936, nota di TAMBURRINI e STRACUZZI;
giudice istruttore Torino, 12 dicembre 1983, Basile, in Giur. it., 1984, II,
352, con nota di FIGONE) è stata riconosciuta la "fisicità" del
programma software facendo leva sulla obbiettiva esistenza nel programma
di un particolare ordine sequenziale delle magnetizzazioni e smagnetizzazioni
del supporto (le sentenze parlano del "diverso orientamento dato alle
particelle magnetiche costituenti lo stato superficiale del disco").
Va, comunque, messo in rilievo che il campo di applicazione della
responsabilità da prodotto nel settore del software soffre una grave
limitazione: essa, infatti, prevede la risarcibilità esclusivamente dei
seguenti danni: a) il danno fisico alle persone (morte o lesioni personali); b)
la distruzione o il deterioramento di una cosa diversa dal prodotto difettoso,
purché di tipo normalmente destinato all'uso o consumo privato e così
principalmente utilizzata dal danneggiato.
In pratica, al di là del danno fisico alla persona (tutelabile in ogni
circostanza: si tratta del software che guida le applicazioni
terapeutiche delle apparecchiature elettro-medicali) va escluso ogni danno che
non sia stato cagionato in un ambito strettamente "privato" con
esclusione dei danni nei settori aziendali e professionali.
La limitazione non esclude, però, che il danno cagionato sia comunque
risarcibile ai sensi della normativa "generale" (salvo, ovviamente, un
più puntuale onere della prova da parte del danneggiato).
La prova del difetto (e del danno)
Sotto molti profili l'elemento della prova, nell'ambito di una controversia
legale, appare quello cruciale e decisivo.
Pochi problemi sorgono in tutti quei casi in cui la anomalia del software
è facilmente riproducibile in un momento successivo, così da fornire la prova
(sperimentale!) della obbiettiva anomalia di comportamento rispetto alle
prestazioni promesse o implicitamente attendibili dall'utilizzatore.
Problemi molto più complessi si pongono in quei casi in cui l'ambiente in cui
il software stava operando al momento del suo (asserito) comportamento
anomalo e dannoso non fosse tale da potersi ricostruire con sicurezza. In tali
casi possono essere utili (ma non sempre sufficienti) le registrazioni globali
delle attività registrate su una sorta di brogliaccio elettronico (il cd. log);
in tali casi l'utente deve anche dimostrare che tale registrazione non sia
alterabile e che sia riproduttiva anche delle azioni compiute dall'utente (al
quale, in ipotesi, ben potrebbe essere addebitata una erronea modalità di
utilizzo del programma).
Gli errori del software e le conseguenze nei confronti di terzi
Altro e diverso problema è quello delle conseguenze dannose da parte dei terzi
che si siano avvalsi delle prestazioni di un professionista che abbia utilizzato
un software che ha prodotto degli errori. In tal caso la responsabilità
appartiene sempre ed esclusivamente al professionista che si sia avvalso di quel
prodotto di cui ha fatto propri i risultati (erronei!).
Il problema potrebbe porsi in tempi brevi per gli esperti tributari che hanno
compilato per i loro clienti la denuncia dei redditi attraverso software
appositi che, successivamente, si siano rivelati difettosi e tali da comportare
errori nella dichiarazione (con conseguenti sanzioni pecuniarie e sovrattasse
per il cliente del professionista).
L'opinione più corrente è che il professionista, in generale, risponde del
danno causato nei limiti della colpa professionale a lui attribuibile.
Resta il problema, concreto, che il professionista, che è pur sempre tenuto ad
accertarsi della idoneità degli strumenti da lui utilizzati, quasi sempre non
è in grado di verificare se un software da lui utilizzato offra (sempre
ed in ogni combinazione) risultati esatti.
Un utilizzo professionale di un software, nondimeno, comporta (in
considerazione che il suo impiego estende la potenzialità operative del
professionista) un onere supplementare di diligenza per cui la diligenza dotrà
concretarsi, quantomeno, nell'assicurarsi che il prodotto appaia
"certificato" come idoneo sia come modalità aziendali di produzione
sia come prodotto specifico.
I periti informatici (e non)
Un argomento che spesso introduce elementi anomali nelle controversie circa la
valutazione del software è rappresentato dalla adeguatezza o meno dei
"periti" nominati dall'Autorità giudiziaria.
Il settore "informatico" ha, oramai, tali profili di complessità che
le specializzazioni impongono una sempre maggiore settorializzazione delle
competenze. Spesso, però, le competenze migliori, per la valutazione dei
difetti del software, possono essere esaminate e valutate non tanto da un
esperto di "informatica", quanto piuttosto in una valutazione
sinergica tra un giudizio di adeguatezza tecnologica (esame della struttura
degli algoritmi) ed uno relativo alla funzionalità dei risultati in relazione
alle ragionevoli aspettative di utilizzo. Per il primo profilo (tecnologico) si
farà ricorso ad un esperto "sistemista" (che conosca, peraltro, sia
il sistema operativo specifico che l'ambiente di sviluppo); per il secondo
profilo (funzionale) il "sistemista" dovrà essere affiancato da un
esperto del settore specifico in cui il software contestato era
utilizzato. Le competenze di tale secondo soggetto debbono essere tali da
assicurare una valutazione adeguata delle reali aspettative specifiche nel
settore, integrata da una conoscenza delle metodiche e principi di operatività
degli strumenti informatici.
Errori di impostazione degli esatti termini dei problemi derivano spesso da una
inadeguata scelta dei soggetti destinati ad affrontarli.
Gli argomenti indicati (che non esauriscono affatto il problema) non sono
altro che lo spunto per suscitare un dibattito circa i vari aspetti del problema
di vulnerabilità da fatto "colposo" che, inevitabilmente, sempre di
più spesso tenderà ad investire la società "dell'informazione".
(16.06.95)
Il dr. Gianfranco D'Aietti è magistrato della Corte d'Appello di Milano e docente a contratto di Informatica giuridica presso l'Università degli Studi di Pavia.
BIBLIOGRAFIA
ROSSELLO Carlo,software difettoso e responsabilità da prodotto.
Atti del Congresso internazionale del Centro Elettronico di Documentazione della
Corte di Cassazione, 1993, 760.
FINOCCHIARO Giusella, Il danno informatico.
Contratto e impr., 1992, 325
ARCADU Giuseppe e RINALDI BACCELLI Guido, Prodotto difettoso e
responsabilità per danni derivanti dall'esercizio del software.
Riv. dir. comm., 1992, I, 91
BUSNELLI F.D., Itinerari europei nella : la responsabilità da informazioni
inesatte.
Contratto e impr., 1991, 539
PONZANELLI Giulio, Responsabilità per danno da computer: alcune
considerazioni comparative.
Resp. civ., 1991, 650
TRIAILLE Jean-Paul P., L'applicazione della direttiva comunitaria sulla
responsabilità del produttore nel campo del software.
Dir. informazione e informatica, 1990, 725
D'ORAZIO Roberto e ZENO ZENCOVICH Vincenzo, Profili di responsabilità
contrattuale e aquiliana nella fornitura di servizi telematici.
Dir. informazione e informatica, 1990, 421
CORRIAS LUCENTE Giovanna, Prime considerazioni in tema di responsabilità
penale e gestione di sistemi informatizzati con particolare riguardo ai sistemi
esperti.
Dir. informazione e informatica, 1989, 117
ZOPPINI Andrea, Informatizzazione della conoscenza e responsabilità: i
sistemi esperti.
Dir. informazione e informatica, 1989, 581
BRAGGION Antonio, La validità di clausole che limitano od escludono la
responsabilità nei contratti per la fornitura di software: una rassegna
di recenti pronunzie nella giurisprudenza europea.
Riv. dir. ind., 1989, I, 217
ALPA Guido, Responsabilità extracontrattuale ed elaboratore elettronico
Dir. informazione e informatica, 1986, 387
BARANI Cesare, La responsabilità per dell'utilizzatore di nel diritto
americano
Dir. informazione e informatica, 1986, 641
SPREUTELS Jean P., La responsabilità penale connessa ad abusi nella
applicazione dell'informatica
Dir. informazione e informatica, 1985, 123
ROSSELLO C. Carlo, La responsabilità da inadeguato funzionamento di
programmi per elaboratori elettronici - Aspetti e problemi dell'esperienza
nord-americana.
Riv. critica dir. privato, 1984, 123