PLD — Direttiva (UE) 2024/2853¶
Direttiva sulla responsabilità per danno da prodotti difettosi (Product Liability Directive, PLD). Stabilisce norme comuni in materia di responsabilità degli operatori economici per il danno causato da prodotti difettosi a persone fisiche e in materia di risarcimento per tale danno (art. 1, par. 1). Sostituisce la storica direttiva 85/374/CEE — in vigore da quasi quarant'anni — adattandone i principi all'era digitale: il software, compresi i sistemi di IA, è esplicitamente classificato come «prodotto» ai fini della responsabilità senza colpa, e il regime probatorio è ricalibrato in favore del danneggiato per i sistemi tecnologicamente complessi e «opachi» (black-box). Si applica a fianco di AI Act, GDPR e Data Act, con cui interagisce in modo sostanziale.
Identificativi¶
| Campo | Valore |
|---|---|
| Titolo ufficiale | Direttiva (UE) 2024/2853 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, sulla responsabilità per danno da prodotti difettosi e che abroga la direttiva 85/374/CEE del Consiglio |
| CELEX | 32024L2853 |
| ELI | http://data.europa.eu/eli/dir/2024/2853/oj |
| Pubblicazione | GU L, 2024/2853 del 18.11.2024 |
| Adozione | 23 ottobre 2024 |
| Entrata in vigore | 8 dicembre 2024 |
| Termine di recepimento | 9 dicembre 2026 |
| Applicazione | ai prodotti immessi sul mercato o messi in servizio dopo il 9 dicembre 2026 |
| Base giuridica | Articolo 114 TFUE |
| Tipo di atto | Direttiva — richiede recepimento negli ordinamenti nazionali |
| Atto abrogato | Direttiva 85/374/CEE (con effetto dal 9 dicembre 2026) |
Struttura¶
4 capi · 24 articoli · 63 considerando numerati (più la frase introduttiva del preambolo) · 1 allegato.
| Capo | Argomento | Articoli |
|---|---|---|
| I | Disposizioni generali | 1 – 4 |
| II | Disposizioni specifiche sulla responsabilità per danno da prodotti difettosi | 5 – 11 |
| III | Disposizioni generali in materia di responsabilità | 12 – 17 |
| IV | Disposizioni finali | 18 – 24 |
L'Allegato reca la tavola di concordanza tra la direttiva 85/374/CEE (abrogata) e la presente direttiva, con il dettaglio articolo-per-articolo della migrazione fra il vecchio e il nuovo regime.
Ambito di applicazione¶
Materiale (art. 1, par. 1; art. 2, par. 1): si applica al risarcimento del danno causato a persone fisiche da prodotti difettosi immessi sul mercato o messi in servizio dopo il 9 dicembre 2026. La nozione di «prodotto» (art. 4, punto 1) include espressamente l'elettricità, i file per la fabbricazione digitale, le materie prime e — novità centrale — il software, indipendentemente dalla modalità di fornitura (locale, in cloud, software-as-a-service).
Soggettivo (artt. 4, punto 10, e 8): la responsabilità ricade sul fabbricante, definito come chi sviluppa, produce o fabbrica un prodotto, oppure si presenta come tale apponendo nome o marchio. Secondo il considerando 13, i fornitori di sistemi di IA ai sensi del Regolamento (UE) 2024/1689 (AI Act) sono trattati come fabbricanti. Sono altresì responsabili gli importatori, i rappresentanti autorizzati, i fornitori di servizi di logistica, i distributori e — in determinate condizioni — le piattaforme online (artt. 8, par. 2-3).
Esclusioni (art. 2, par. 2-5): non si applica al software libero e open-source sviluppato o fornito al di fuori di un'attività commerciale (e ai considerando 14-15 si specifica il regime delle eventuali integrazioni); non si applica ai danni da incidenti nucleari disciplinati da convenzioni internazionali; non pregiudica le norme nazionali sulla responsabilità contrattuale ed extracontrattuale, né i regimi nazionali speciali in vigore prima del 30 luglio 1985 (segnatamente sulla responsabilità farmaceutica).
Tipologia di danno risarcibile (art. 6, par. 1): morte; lesioni personali (incluso danno psicologico medicalmente accertato e certificato, anche con riferimento all'ICD dell'OMS — cons. 21); danno o distruzione di beni mobili o immobili usati a fini privati o misti; distruzione o corruzione di dati non utilizzati a fini professionali. Il considerando 24 esclude espressamente dal perimetro PLD la mera perdita economica, le violazioni della privacy, le discriminazioni: per tali danni resta impregiudicato il diritto al risarcimento secondo gli altri regimi applicabili (segnatamente il GDPR).
Cross-reference quintuple con AI Act, GDPR, Data Act e DGA¶
La PLD interagisce simultaneamente con quattro altri atti UE oggetto di pagine dedicate in questa sezione: l'AI Act (per la qualificazione dei sistemi di IA come «prodotti» e per l'alleggerimento delle prove nei sistemi black-box), il GDPR (per la perimetrazione del danno «dati» rispetto al danno «privacy»), il Data Act (per i related services come componenti del prodotto e per la responsabilità sui security update) e il DGA (per il rinvio definitorio sulla nozione di «dati» e per la qualità dei dataset alla base dei sistemi di IA).
Asse PLD ↔ AI Act (qualificazione e onere della prova)¶
| PLD | AI Act | Natura dell'intersezione |
|---|---|---|
| Considerando 3 | Tutto l'AI Act | Driver politico della revisione: l'AI è esplicitamente citata come tecnologia che ha reso obsoleta la direttiva 85/374/CEE |
| Considerando 13; art. 4, punto 1 | AI Act, art. 3, punto 1 | Il software (compresi i sistemi operativi, firmware, computer programs, applicazioni e sistemi di IA) è esplicitamente «prodotto» ai fini PLD, indipendentemente dalla modalità di fornitura |
| Considerando 13; art. 4, punto 10 | AI Act, art. 3, punti 3, 4 | I fornitori di sistemi di IA ai sensi del Reg. 2024/1689 sono trattati come fabbricanti ai fini PLD |
| Considerando 32; art. 7, par. 2, lett. f | AI Act, art. 15 (cybersecurity); art. 16, par. 1, lett. a | La conformità ai requisiti di cybersecurity dell'AI Act concorre a determinare la non difettosità del sistema; specularmente, vulnerabilità di cybersecurity possono integrare la difettosità ai sensi PLD |
| Considerando 40 | AI Act, art. 16, par. 1, lett. h; art. 21 | L'apprendimento continuo di un sistema di IA che ne modifichi sostanzialmente comportamento e profilo di rischio dopo l'immissione sul mercato è considerato modifica sostanziale ai fini PLD: nuovo prodotto, nuova decorrenza del termine di prescrizione |
| Considerando 48; art. 10, par. 2, lett. c; art. 10, par. 4 | AI Act, art. 13 (trasparenza); art. 86 (diritto alla spiegazione) | Presunzione iuris tantum di difettosità o di nesso causale quando, per la complessità tecnica o scientifica (esplicitamente: machine learning, sistemi di IA opachi), sarebbe «eccessivamente difficile» per il danneggiato fornire prova diretta. È sufficiente dimostrare che è «probabile» che il prodotto fosse difettoso o che la difettosità sia stata causa probabile del danno |
| Considerando 50, 51; art. 11, par. 2 | AI Act, art. 16, par. 1, lett. h; art. 72 (post-market monitoring) | Il fabbricante non si libera della responsabilità invocando l'eccezione «defectiveness came after marketed» se il difetto deriva da mancato rilascio di aggiornamenti software sotto il proprio controllo, in particolare per gli obblighi di sicurezza informatica (anche AI Act post-market) |
Asse PLD ↔ GDPR (delimitazione del danno «dati»)¶
| PLD | GDPR | Natura dell'intersezione |
|---|---|---|
| Considerando 20; art. 6, par. 1, lett. c | GDPR, art. 82 | La distruzione o corruzione di dati (es. file digitali cancellati da un hard drive) è danno risarcibile sotto la PLD; non si confonde con le violazioni di dati personali e con il diritto al risarcimento previsto dal GDPR (e dai regolamenti 2018/1725 e 2016/680, dalla direttiva 2002/58/CE), che restano impregiudicati e cumulabili |
| Considerando 24 | GDPR, art. 82, par. 1 | La violazione della privacy in quanto tale, la mera perdita economica e la discriminazione non sono di per sé danni risarcibili sotto PLD. Resta integro il diritto al risarcimento di tali danni sotto altri regimi di responsabilità (in primis il GDPR, che ha una nozione di danno autonoma) |
| Considerando 21; art. 6, par. 1, lett. b | GDPR, art. 82, par. 1 | La nozione di lesione personale (art. 6, par. 1, lett. b) include espressamente il danno psicologico medicalmente accertato e certificato, con riferimento all'ICD dell'OMS — perimetro più stretto rispetto al «danno non patrimoniale» del GDPR, ma tecnicamente compatibile con la giurisprudenza CGUE sull'art. 82 GDPR |
| Considerando 22; art. 6, par. 1, lett. c | GDPR, artt. 4, 6, 9 | Il danno a beni utilizzati esclusivamente a fini professionali non è risarcibile ai sensi della PLD; la separazione tra fini privati e professionali ricalca la logica di alcune protezioni GDPR per i dati personali |
Asse PLD ↔ Data Act (componenti, controllo del fabbricante e cybersecurity)¶
| PLD | Data Act | Natura dell'intersezione |
|---|---|---|
| Considerando 17, 18; art. 4, punto 4 | Data Act, art. 2, punti 1, 6 («prodotto connesso», «servizio correlato») | I «related services» integrati o interconnessi con il prodotto sono trattati come componenti del prodotto stesso ai fini PLD; ciò estende la responsabilità del fabbricante anche a servizi digitali continuativi (es. flusso traffico per navigatore, health monitoring, voice-assistant), specularmente al perimetro Data Act |
| Considerando 18, 50; art. 4, punto 5 | Data Act, capo II; capo VI | Il «controllo del fabbricante» post-immissione sul mercato (aggiornamenti software, modifiche, integrazioni) è il fulcro PLD; il Data Act disciplina i correlativi obblighi di accesso ai dati prodotti dal device e di portabilità tra fornitori cloud: la responsabilità PLD non si estingue se il fabbricante mantiene il controllo via cloud o servizi correlati |
| Considerando 32, 51; art. 11, par. 2 | Data Act, considerando rilevanti su sicurezza | La mancata fornitura di aggiornamenti di sicurezza software necessari ad affrontare vulnerabilità di cybersecurity genera responsabilità PLD in capo al fabbricante, non sterilizzabile invocando il superamento del momento di immissione sul mercato |
| Considerando 16; art. 4, punto 2 | Data Act, art. 2, punto 16 (definizioni adiacenti) | I «file per la fabbricazione digitale» (CAD, 3D-printing) sono trattati come prodotti ai fini PLD: lo stesso file difettoso che dia origine a un manufatto difettoso fa scattare la responsabilità sull'autore del file |
Asse PLD ↔ DGA (definizione di «dati» e qualità del dataset)¶
L'intersezione PLD ↔ DGA opera principalmente su due piani: la definizione di «dati» ai fini PLD (l'art. 4, punto 6 della direttiva rinvia espressamente al Reg. (UE) 2022/868) e la qualità del dataset che alimenta sistemi di IA qualificati come «prodotti» PLD. Difetti di un dataset condiviso a norma DGA possono propagarsi nel comportamento del sistema di IA risultante e quindi nella valutazione di difettosità ai fini PLD.
| PLD | DGA | Natura dell'intersezione |
|---|---|---|
| Art. 4, punto 6 («dati») | Tutto il DGA, in particolare art. 2, punto 1 | La PLD richiama espressamente la definizione DGA di «dati»: rinvio definitorio diretto al Reg. (UE) 2022/868 |
| Considerando 13; art. 7, par. 2 (presunzione di difettosità) | DGA, capo II — artt. 3-9 (riutilizzo di dati pubblici protetti); art. 5, par. 1-2 (condizioni di riutilizzo) | Dati pubblici riutilizzati per addestramento di sistemi di IA: il rispetto delle condizioni DGA (qualità, completezza, anonimizzazione, ambiente di trattamento sicuro) concorre a determinare la non difettosità del prodotto; specularmente, dataset incompleti o distorti possono integrare la difettosità del sistema IA risultante |
| Considerando 18, 50 (controllo del fabbricante post-mercato); art. 11 (esonero «defectiveness came after marketed») | DGA, art. 5, par. 9-13; capo VII — art. 31 (trasferimento internazionale di dati non personali) | Il trasferimento extra-UE di dati non personali (DGA capo VII) interferisce con il controllo continuativo del fabbricante: la responsabilità PLD non si estingue se dataset o modelli vengono delocalizzati al di fuori del perimetro di controllo effettivo |
| Art. 8 (operatori responsabili) | DGA, art. 11 (notifica e requisiti per i fornitori di servizi di intermediazione dei dati) | I fornitori di servizi di intermediazione dei dati non sono di per sé «fabbricanti» ai fini PLD; possono però rientrare nel perimetro PLD se integrano servizi correlati o componenti software in un prodotto difettoso |
Quintetto definitorio¶
Quattro nozioni chiave attraversano simultaneamente i cinque atti, con la PLD che ne accoglie la qualificazione operando rinvii diretti o impliciti agli atti settoriali:
| Concetto | PLD | AI Act | GDPR | Data Act | DGA |
|---|---|---|---|---|---|
| Software / sistema di IA come «prodotto» | art. 4, punto 1; cons. 13 | (definizione «sistema di IA»: art. 3, punto 1) | n/a | (rilevante: «prodotto connesso»: art. 2, punto 5) | n/a |
| Fabbricante / fornitore | art. 4, punto 10 | art. 3, punti 3, 4 («provider», «deployer») | art. 4, punti 7, 8 (titolare/responsabile) | art. 2, punti 13, 14 (titolare/destinatario dei dati) | art. 2, punto 11 («fornitore di servizi di intermediazione dei dati») |
| Componente / servizio correlato | art. 4, punto 4 | (rilevante: art. 25 catena di valore) | n/a | art. 2, punti 6, 8 | n/a |
| Dato (personale / non personale) | art. 4, punto 6 (richiama Reg. 2022/868); cons. 20 | art. 3, punto 33 | art. 4, punto 1 | art. 2, punto 1 (dato); punto 3 (dato personale, rinvio GDPR) | art. 2, punti 1, 3 (dati, dati personali) |
La tabella copre i rinvii diretti. Cross-reference operative più estese (rapporti con il Cyber Resilience Act, la NIS2, il Digital Services Act e la Direttiva sulla responsabilità per IA di prossima adozione) saranno oggetto di approfondimenti dedicati nelle sezioni Soft law e Risorse via via che le pagine corrispondenti verranno pubblicate.
Modifiche e rettifiche¶
Il testo originario del 23 ottobre 2024 è in vigore dall'8 dicembre 2024. Alla data di pubblicazione di questa scheda non risultano rettifiche pubblicate in Gazzetta Ufficiale UE. Eventuali rettifiche o atti di esecuzione/delegati saranno integrati nelle revisioni successive di questa pagina.
Stato di applicabilità¶
La PLD è entrata in vigore l'8 dicembre 2024. Gli Stati membri devono recepirla nei propri ordinamenti entro il 9 dicembre 2026 (art. 24). La nuova disciplina si applica ai prodotti immessi sul mercato o messi in servizio dopo il 9 dicembre 2026 (art. 2, par. 1); per i prodotti immessi sul mercato prima di tale data continua ad applicarsi la direttiva 85/374/CEE in conformità ai regimi nazionali di recepimento (cons. 63 e art. 23).
Per il diritto italiano, la PLD comporterà una riscrittura del d.P.R. 24 maggio 1988, n. 224 (poi confluito nel Codice del consumo, d.lgs. 6 settembre 2005, n. 206, artt. 114-127), con particolare riguardo: alla nozione estesa di «prodotto» (software e file digitali); ai meccanismi di alleggerimento dell'onere della prova; alla responsabilità per related services e cybersecurity update; alla durata e decorrenza del termine di prescrizione.
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
Fonti ufficiali¶
- EUR-Lex — versione italiana (CELEX 32024L2853)
- EUR-Lex — versione inglese (CELEX 32024L2853)
- EUR-Lex — European Legislation Identifier (ELI)
- Commissione europea — pagina dedicata alla nuova PLD
- Direttiva 85/374/CEE (testo abrogato dal 9.12.2026)
Indice della sezione¶
- Considerando — testo integrale dei 63 considerando in versione bilingue, preceduti dalla frase introduttiva del preambolo
- Testo della direttiva — tutti gli articoli organizzati per capo:
- Allegato: