Studio Legale Riccardo Riva

I pericoli sono stati, finora, focalizzati nella vulnerabilità dei sistemi e nella sicurezza dei dati, soprattutto con riferimento a fonti esterne di perturbamento. La legislazione italiana nel settore informatico che si è venuta sviluppando tra il 1992 ed il 1994 (tutela del software e introduzione dei "delitti informatici") ha preso in considerazione, appunto, esclusivamente i comportamenti e le condotte che vadano ad incidere sui sistemi (informatici o telematici), sui dati (tra i quali va annoverato la nuova entità del "documento informatico") e sui programmi.

La prospettiva legislativa è stata esclusivamente quella di sanzionare aggressioni (provenenti dall'esterno) ai c.d. beni informatici.

Anche nei casi in cui si è presa in considerazione la qualità di un "operatore interno del sistema" essa è stata pur sempre ricollegata ad un abuso indebito (sempre doloso) sullo strumento o dato informatico e, come tale, strutturalmente "esterno" al "sistema".
Va notato che non è stata introdotta alcuna norma che punisca fatti ritenuti socialmente dannosi o pericolosi a titolo di "colpa". Neppure la diffusione dei "virus"" informatici (art. 615-quinques del codice penale) è stata punita a titolo di colpa, essendo sempre necessario il "dolo" (ossia la consapevolezza dell'azione che si sta compiendo e di tutti gli elementi che compongono la fattispecie criminosa). La scelta è, ovviamente, di tipo legislativo in quanto non vi sarebbe alcun ostacolo concettuale o giuridico a configurare come reato anche la diffusione colposa di "virus" (nel codice penale è, peraltro, prevista la ipotesi di epidemia e di avvelenamento colposo di sostanze alimentari).

Le osservazioni che precedono introducono l'argomento della vulnerabilità della società, che si affida sempre di più a sistemi informatici, in presenza di comportamenti che, pur non essendo dolosi, abbiano, nondimeno la capacità di incidere gravemente sulla sicurezza delle informazioni e sui rapporti sociali che su di esse si basano.
Va segnalato, in particolare, il problema dei danni causati da prodotti software (ed in tale nozione accomuno sia quelli di "sistema", che quelli "applicativi" e di "telecomunicazioni") in seguito ed a causa di un loro difettoso funzionamento.

L'argomento che non è stato, finora, affrontato dagli esperti del diritto in maniera adeguatamente approfondita ed analitica. Il limite dei contributi dottrinari, che fin qui sono intervenuti nel panorama giuridico italiano, è strutturalmente legato da una scarsa statistica di casi concreti a cui poter far riferimento. Una conferenza telematica come quella in corso, arricchita da concrete esperienze di utenti che operano effettivamente sui sistemi informatici, potrebbe essere in grado di offrire interessanti stimoli, attraverso una ricca rappresentazione della casistica della varia tipologia dei danni cagionati da difettoso funzionamento dei programmi informatici.

Anche se appare esaurita la "moda" dei "sistemi esperti" (nei quali il potenziale arricchimento delle conoscenze era fonte di incontrollabilità dei risultati), il rischio di errori (anche molto gravi) nella elaborazione dei risultati è costantemente presente in tutti i prodotti software. Va considerato anche che il software si sta affermando soprattutto nel campo dei settori di progettazione e di "consulenza" specialistica, ove i danni causati possono essere di ampissima portata.

Il rischio di introdurre errori o combinazioni di regole che, in particolari situazioni, siano tali da generare errori nei risultati applicativi aumenta in proporzione geometrica con la complessità delle applicazioni e non è un caso che i maggiori costi di sviluppo nella produzione dei programmi informatici concernono la strutturazione ingegneristica ed il collaudo operativo volto alla eliminazione degli errori (o meglio la loro "riduzione" a livelli accettabili) la cui presenza viene a rappresentare un fatto ineluttabile. Le impostazioni degli standard ISO 9000 nella progettazione del software tende, indirettamente, ad assicurare la presenza di metodologie tali da ridurre il rischio di errori progettuali.

In questo intervento nella conferenza telematica di MC-LINK, considerando che il dibattito appare inevitabilmente esteso anche e soprattutto a "non giuristi", mi limito a segnalare ed impostare i taluni problemi che il mondo del diritto si è finora posto, nonché ad indicare una bibliografia che possa servire di orientamento.

Responsabilità del produttore

La fonte della responsabilità può risiedere nel principio generale (di cui all'art. 2053 cod. civ.); una tale impostazione impone che il danneggiato ha l'onere di provare tutti gli elementi del fatto dannoso. In particolare oltre alla prova del danno subito, deve provare il vizio del prodotto da cui il danno è stato generato e deve provare anche il rapporto di causalità tra il processo di fabbricazione ed il vizio. Una forma facilitata di prova della responsabilità può essere utilizzata dal consumatore ai sensi del D.P.R. 24 maggio 1988, n. 224 (attuazione della direttiva della UE numero 85/374 in materia di responsabilità per danno da prodotti difettosi). Questo strumento legislativo offre all'utilizzatore del prodotto un vantaggio probatorio, imponendo al produttore di fornire la prova liberatoria circa la non esistenza di un rapporto di causalità tra il processo di fabbricazione ed il vizio.

Per poter applicare tale disciplina legislativa il software deve essere considerato un "prodotto"; difatti la normativa non si applica alla prestazione di "servizi" ed ai "beni immateriali" (per i quali vi è un'altra Direttiva della UE finora non recepita nella nostra legislazione. Va osservato che la più attenta dottrina ha evidenziato che il software va distinto nettamente nei suoi due aspetti. Da un lato è considerato, ai fini della tutela dei diritti spettanti al suo titolare dei diritti di sfruttamento, come "opera d'ingegno"; dall'altro lato, nella sua circolazione commerciale, va considerato come "prodotto materiale" dotato di una sua indubbia "fisicità". Infatti come è stato rilevato anche da talune sentenze emesse da giudici italiani (Pretore Monza 21 marzo 1991 in Dir. informazione e informatica, 1991, 936, nota di TAMBURRINI e STRACUZZI; giudice istruttore Torino, 12 dicembre 1983, Basile, in Giur. it., 1984, II, 352, con nota di FIGONE) è stata riconosciuta la "fisicità" del programma software facendo leva sulla obbiettiva esistenza nel programma di un particolare ordine sequenziale delle magnetizzazioni e smagnetizzazioni del supporto (le sentenze parlano del "diverso orientamento dato alle particelle magnetiche costituenti lo stato superficiale del disco").

Va, comunque, messo in rilievo che il campo di applicazione della responsabilità da prodotto nel settore del software soffre una grave limitazione: essa, infatti, prevede la risarcibilità esclusivamente dei seguenti danni: a) il danno fisico alle persone (morte o lesioni personali); b) la distruzione o il deterioramento di una cosa diversa dal prodotto difettoso, purché di tipo normalmente destinato all'uso o consumo privato e così principalmente utilizzata dal danneggiato.

In pratica, al di là del danno fisico alla persona (tutelabile in ogni circostanza: si tratta del software che guida le applicazioni terapeutiche delle apparecchiature elettro-medicali) va escluso ogni danno che non sia stato cagionato in un ambito strettamente "privato" con esclusione dei danni nei settori aziendali e professionali. La limitazione non esclude, però, che il danno cagionato sia comunque risarcibile ai sensi della normativa "generale" (salvo, ovviamente, un più puntuale onere della prova da parte del danneggiato).

La prova del difetto (e del danno)

Sotto molti profili l'elemento della prova, nell'ambito di una controversia legale, appare quello cruciale e decisivo.

Pochi problemi sorgono in tutti quei casi in cui la anomalia del software è facilmente riproducibile in un momento successivo, così da fornire la prova (sperimentale!) della obbiettiva anomalia di comportamento rispetto alle prestazioni promesse o implicitamente attendibili dall'utilizzatore. Problemi molto più complessi si pongono in quei casi in cui l'ambiente in cui il software stava operando al momento del suo (asserito) comportamento anomalo e dannoso non fosse tale da potersi ricostruire con sicurezza. In tali casi possono essere utili (ma non sempre sufficienti) le registrazioni globali delle attività registrate su una sorta di brogliaccio elettronico (il cd. log); in tali casi l'utente deve anche dimostrare che tale registrazione non sia alterabile e che sia riproduttiva anche delle azioni compiute dall'utente (al quale, in ipotesi, ben potrebbe essere addebitata una erronea modalità di utilizzo del programma).

Gli errori del software e le conseguenze nei confronti di terzi

Altro e diverso problema è quello delle conseguenze dannose da parte dei terzi che si siano avvalsi delle prestazioni di un professionista che abbia utilizzato un software che ha prodotto degli errori. In tal caso la responsabilità appartiene sempre ed esclusivamente al professionista che si sia avvalso di quel prodotto di cui ha fatto propri i risultati (erronei!).
Il problema potrebbe porsi in tempi brevi per gli esperti tributari che hanno compilato per i loro clienti la denuncia dei redditi attraverso software appositi che, successivamente, si siano rivelati difettosi e tali da comportare errori nella dichiarazione (con conseguenti sanzioni pecuniarie e sovrattasse per il cliente del professionista). L'opinione più corrente è che il professionista, in generale, risponde del danno causato nei limiti della colpa professionale a lui attribuibile. Resta il problema, concreto, che il professionista, che è pur sempre tenuto ad accertarsi della idoneità degli strumenti da lui utilizzati, quasi sempre non è in grado di verificare se un software da lui utilizzato offra (sempre ed in ogni combinazione) risultati esatti.
Un utilizzo professionale di un software, nondimeno, comporta (in considerazione che il suo impiego estende la potenzialità operative del professionista) un onere supplementare di diligenza per cui la diligenza dotrà concretarsi, quantomeno, nell'assicurarsi che il prodotto appaia "certificato" come idoneo sia come modalità aziendali di produzione sia come prodotto specifico.

I periti informatici (e non)

Un argomento che spesso introduce elementi anomali nelle controversie circa la valutazione del software è rappresentato dalla adeguatezza o meno dei "periti" nominati dall'Autorità giudiziaria.

Il settore "informatico" ha, oramai, tali profili di complessità che le specializzazioni impongono una sempre maggiore settorializzazione delle competenze. Spesso, però, le competenze migliori, per la valutazione dei difetti del software, possono essere esaminate e valutate non tanto da un esperto di "informatica", quanto piuttosto in una valutazione sinergica tra un giudizio di adeguatezza tecnologica (esame della struttura degli algoritmi) ed uno relativo alla funzionalità dei risultati in relazione alle ragionevoli aspettative di utilizzo. Per il primo profilo (tecnologico) si farà ricorso ad un esperto "sistemista" (che conosca, peraltro, sia il sistema operativo specifico che l'ambiente di sviluppo); per il secondo profilo (funzionale) il "sistemista" dovrà essere affiancato da un esperto del settore specifico in cui il software contestato era utilizzato. Le competenze di tale secondo soggetto debbono essere tali da assicurare una valutazione adeguata delle reali aspettative specifiche nel settore, integrata da una conoscenza delle metodiche e principi di operatività degli strumenti informatici. Errori di impostazione degli esatti termini dei problemi derivano spesso da una inadeguata scelta dei soggetti destinati ad affrontarli. Gli argomenti indicati (che non esauriscono affatto il problema) non sono altro che lo spunto per suscitare un dibattito circa i vari aspetti del problema di vulnerabilità da fatto "colposo" che, inevitabilmente, sempre di più spesso tenderà ad investire la società "dell'informazione".

(16.06.95 - Dott. Gianfranco D'Aietti - Magistrato della Corte d'Appello di Milano e docente di Informatica giuridica presso l'Università degli Studi di Pavia)

BIBLIOGRAFIA

ROSSELLO Carlo, software difettoso e responsabilità da prodotto. Atti del Congresso internazionale del Centro Elettronico di Documentazione della Corte di Cassazione, 1993, 760.

FINOCCHIARO Giusella, Il danno informatico. Contratto e impr., 1992, 325

ARCADU Giuseppe e RINALDI BACCELLI Guido, Prodotto difettoso e responsabilità per danni derivanti dall'esercizio del software. Riv. dir. comm., 1992, I, 91

BUSNELLI F.D., Itinerari europei nella : la responsabilità da informazioni inesatte. Contratto e impr., 1991, 539

PONZANELLI Giulio, Responsabilità per danno da computer: alcune considerazioni comparative. Resp. civ., 1991, 650

TRIAILLE Jean-Paul P., L'applicazione della direttiva comunitaria sulla responsabilità del produttore nel campo del software. Dir. informazione e informatica, 1990, 725

D'ORAZIO Roberto e ZENO ZENCOVICH Vincenzo, Profili di responsabilità contrattuale e aquiliana nella fornitura di servizi telematici. Dir. informazione e informatica, 1990, 421

CORRIAS LUCENTE Giovanna, Prime considerazioni in tema di responsabilità penale e gestione di sistemi informatizzati con particolare riguardo ai sistemi esperti.
Dir. informazione e informatica, 1989, 117

ZOPPINI Andrea, Informatizzazione della conoscenza e responsabilità: i sistemi esperti.
Dir. informazione e informatica, 1989, 581

BRAGGION Antonio, La validità di clausole che limitano od escludono la responsabilità nei contratti per la fornitura di software: una rassegna di recenti pronunzie nella giurisprudenza europea. Riv. dir. ind., 1989, I, 217

ALPA Guido, Responsabilità extracontrattuale ed elaboratore elettronico
Dir. informazione e informatica, 1986, 387

BARANI Cesare, La responsabilità per dell'utilizzatore di nel diritto americano
Dir. informazione e informatica, 1986, 641

SPREUTELS Jean P., La responsabilità penale connessa ad abusi nella applicazione dell'informatica. Dir. informazione e informatica, 1985, 123

ROSSELLO C. Carlo, La responsabilità da inadeguato funzionamento di programmi per elaboratori elettronici - Aspetti e problemi dell'esperienza nord-americana. Riv. critica dir. privato, 1984, 123.