Intervista al Prof. Gabriele Carapezza Figlia. La vulnerabilità digitale del consumatore

Gabriele Carapezza Figlia è professore ordinario di Diritto privato nel Dipartimento di Giurisprudenza Economia e Comunicazione (sede di Palermo) dell’Università LUMSA, che ha diretto dal 2018 al 2024. Ha insegnato nell’Università di Salerno ed è stato visiting lecturer in numerosi Atenei stranieri. Attualmente è Coordinatore del Dottorato “Mediterranean Studies. History Law & Economics “, con sede presso la LUMSA.

È socio ordinario di numerose società scientifiche, tra le quali: Società italiana Studiosi del Diritto Civile (SISDIC); Società Italiana per la Ricerca nel Diritto Comparato (SIRD); European Law Institute (ELI); IDIBE – Instituto de Derecho Iberoamericano; Accademia Nazionale di Scienze Lettere e Arti di Palermo.

 

Il Prof. Gabriele Carapezza Figlia

 

 

 

Quali sono le linee di tendenza più recenti del diritto privato europeo per contrastare le nuove forme di vulnerabilità digitale del consumatore?

Per rispondere a questa domanda vorrei partire da una frase di Alan Turing, il matematico britannico considerato uno dei padri fondatori dell’informatica. Turing diceva: «Possiamo vedere nel futuro soltanto per un piccolo tratto, ma possiamo pure vedere che in questo piccolo tratto c’è molto da fare». Ecco, a me sembra che, in un’età che sta vivendo con la digital transformation un vero e proprio cambiamento di paradigma, l’emersione, nel discorso giuridico, della nozione di “vulnerabilità digitale” dimostri che il diritto e, in particolare, il diritto privato europeo ha ancora «molto da fare». Soltanto l’intervento regolatorio dell’Unione europea può ambire a promuovere, dinanzi a un modello economico dominato dal capitalismo delle piattaforme, quei valori fondamentali di dignità umana, libertà, eguaglianza sostanziale e solidarietà che fondano le esperienze giuridiche contemporanee.

Dobbiamo muovere dalla consapevolezza che la data economy è alimentata dall’enorme quantità di dati prodotti nell’infosfera, sia da utenti che vivono onlife sia dagli oggetti connessi tra loro nell’ambito dell’Internet of things. L’elaborazione dei dati mediante algoritmi consente una profilazione su larga scala, che delinea in modo sempre più accurato le preferenze individuali di consumo, con finalità di pubblicità e commercializzazione personalizzata. Al contempo, lo sviluppo di sistemi di intelligenza artificiale basati sui dati favorisce una crescente automazione di processi decisionali suscettibili di avere un impatto significativo sulla vita delle persone: dalla gestione dei processi di selezione del personale alla valutazione delle performance lavorative, dall’applicazione di prezzi differenziati alla determinazione dell’affidabilità creditizia. Nascono, poi, applicazioni di intelligenza artificiale progettate per una diretta interazione con gli esseri umani che hanno una notevole potenzialità di manipolazione e inganno. Si pensi ai robot con funzioni di intrattenimento o di cura oppure ai software che assistono in attività della vita quotidiana: cose, naturalmente prive di autocoscienza, che hanno però la capacità di suscitare legami, emozioni, empatia.

In questo scenario, la nozione di vulnerabilità digitale può rappresentare la chiave di lettura di un necessario e radicale ripensamento del diritto dei consumi, come modello di tutela dei soggetti deboli.

L’ambizione del diritto europeo è sempre stata quella di abbinare l’integrazione del mercato con la tutela dei soggetti in condizioni di vulnerabilità strutturale: pensiamo non solamente alla normativa di protezione dei consumatori, ma a quella anti-discriminatoria, alle politiche sociali soprattutto in materia di rapporti di lavoro, alla tutela delle imprese da forme di abuso di dipendenza economica.

Tuttavia, il nuovo fenomeno della vulnerabilità digitale solleva sfide inedite al diritto privato europeo. Siamo dinanzi a una vulnerabilità relazionale, che non dipende da fattori specifici di debolezza, ma dai legami che ciascun individuo instaura nell’ecosistema digitale: il funzionamento della rete, l’architettura delle piattaforme, l’uso di sistemi di intelligenza artificiale nella comunicazione e nel marketing online espongono l’utente a forme inedite di manipolazione che non si limitano a influenzare, ma distorcono il comportamento umano.

Un filosofo come Luciano Floridi insiste da tempo sul fatto che gli algoritmi stanno soffocando una caratteristica essenziale dell’essere umano: l’incertezza, come forma di indeterminatezza che è apertura alla libertà di scelta. Da tempo si parla di una filter bubble che imprigiona il soggetto nel passato delle preferenze manifestate in rete. Oggi i software di IA sono in grado di sfruttare le suscettibilità cognitive, emotive, fisiche della persona per compromettere libertà e integrità dei suoi processi decisionali. Si progettano macchine, dunque oggetti, che appaiono come soggetti: la tecnologia trasforma le cose in enti animati dotati di un certo grado di autonomia, suscitando la percezione di interagire con persone.

Le vulnerabilità digitali si distinguono, allora, dalla tradizionale debolezza del consumatore, perché dipendono dalle potenzialità manipolative dell’ambiente digitale e non da una precisa categorizzazione socio-economica nella struttura dei rapporti di mercato. Sono vulnerabilità dotate di un carattere dinamico e situazionale. Una condizione di debolezza non più imperniata esclusivamente sull’asimmetria informativa e, quindi, misurabile nella relazione standard tra professionista e consumatore, ma invece rilevabile e graduabile nella relazione concreta tra ambiente digitale e consumatore, il quale può essere più o meno vulnerabile in un vasto spettro di situazioni diversificate.

Da un lato, questa prospettiva sollecita una riformulazione dell’idealtipo della razionalità economica del consumatore medio, per dare rilievo a specifiche o occasionali condizioni di debolezza del singolo individuo a presidio della sua libertà di autodeterminazione. Dall’altro, occorre prendere definitivamente atto che l’espansione dell’economia digitale richiede di emancipare la tutela del consumatore da una dimensione esclusivamente economica, mettendo al centro la protezione di interessi di natura personale ed esistenziale, in un processo di costituzionalizzazione destinato a investire prepotentemente anche il diritto dei consumi.

 

I sistemi di intelligenza artificiale come possono sfruttare le forme di vulnerabilità e quale risposta regolativa offre il Regolamento europeo sull’intelligenza artificiale?

I sistemi di intelligenza artificiale non si identificano semplicemente con quelli che richiedono, per il loro funzionamento, l’uso di macchine. La “capacità inferenziale” è la caratteristica fondamentale dei sistemi di IA, che li differenzia dai tradizionali strumenti software.

Le tecniche che consentono la formazione delle inferenze automatizzate presentano, tra gli altri, il rischio di essere utilizzate impropriamente per quelle che l’AI Act definisce «pratiche di manipolazione, sfruttamento e controllo sociale». Ricordiamo che le tecniche di profilazione producono in uno schema input–output analisi condizionate dai dati in ingresso e dalla loro qualità. I sistemi di machine learning permettono, inoltre, di estrarre informazioni sulle caratteristiche dell’individuo non soltanto dai dati rilasciati in modo consapevole, ma anche dalle proxies dell’utente e dei suoi dispositivi. Ricerche passate, like, geolocalizzazioni compongono una vera e propria digital footprint: un’impronta digitale della persona estremamente accurata e duratura. I sistemi di intelligenza artificiale sono poi delle vere e proprie black box, delle quali ignoriamo i meccanismi di funzionamento che rischiano di amplificare, in modo occulto, pregiudizi sociali nei confronti di gruppi vulnerabili. È rimasto celebre l’esempio statunitense del software COMPAS che, nel predire il rischio di recidiva penale, evidenziava un bias statistico verso gli afro-americani.

Oltre a ciò, i sistemi automatizzati sono in grado di falsare in modo pregiudizievole il comportamento umano, mediante tecniche manipolative o ingannevoli. La manipolazione è spesso concepita e attuata al fine di abusare di una specifica condizione di debolezza dell’individuo, incidendo sulla sua autodeterminazione. La distorsione comportamentale si realizza attraverso l’attivazione di pregiudizi cognitivi, l’indebolimento della capacità di valutazione critica e l’induzione a compiere scelte che il soggetto, in assenza di tale interferenza, non avrebbe altrimenti adottato. Si pensi a un sistema di IA antropomorfo che susciti nei bambini o negli adolescenti un attaccamento emotivo malsano, compromettendone il normale sviluppo relazionale oppure a un software che induca persone in difficoltà economica a investimenti finanziari estremamente rischiosi.

Vi è, poi, il versante dell’uso dell’intelligenza artificiale per valutare o classificare le persone, attraverso sistemi di punteggio sociale: il c.d. social scoring. Si tratta di tecniche utilizzabili sia dalle autorità pubbliche sia dalle imprese private per assegnare un rating in base al comportamento sociale o alle caratteristiche personali. Un punteggio che può comportare la produzione di effetti fortemente pregiudizievoli per i singoli individui. Gli esempi potrebbero essere numerosissimi: dai sistemi di credit scoring che valutano l’affidabilità creditizia di un cliente in base a dati relativi alla sua situazione economica a quelli utilizzati da un’impresa di assicurazione per determinare il premio in ragione della sicurezza dello stile di guida del contraente; dalla profilazione da parte dei servizi sociali al fine di adottare provvedimenti incidenti sull’esercizio della responsabilità genitoriale alla valutazione del rating sociale dei residenti da parte degli enti locali per la concessione o la revoca di contributi o sussidi pubblici.

Di fronte a questo scenario, il Regolamento europeo sull’intelligenza artificiale ha offerto una risposta regolativa molto forte. Come è noto, l’AI Act costituisce un esempio di normativa risk-based, che si focalizza cioè sui livelli di rischio collegati all’uso dei sistemi di IA. Al vertice della piramide del rischio, tra le pratiche che presentano rischi considerati inaccettabili per i valori dell’Unione, si collocano proprio quelle che sfruttano le vulnerabilità o sottopongono a controllo sociale persone fisiche o specifici gruppi di persone, che sono oggetto di una disciplina proibitiva (art. 5 reg.).

Occorre, però, un duplice caveat.

Innanzi tutto, il Regolamento vieta esclusivamente «l’immissione sul mercato, la messa in servizio o l’uso» dei sistemi di IA che presentino rischi inaccettabili, ma non l’utilizzazione dei contenuti da essi generati. È, dunque, un intervento di etero-regolamentazione del mercato che vieta la circolazione e l’uso professionale dei software, non anche l’utilizzazione dei loro output. Quest’ultima, non di meno, può formare oggetto di proibizione o limitazione da parte di una diversa normativa, come quella in materia di trattamento dei dati personali, protezione dei consumatori, sicurezza dei prodotti o antidiscriminazione, così da sollevare un problema di coordinamento interpretativo di vari complessi di discipline.

In secondo luogo, la tecnica di redazione del Regolamento privilegia una normativa di dettaglio, costruita intorno a fattispecie astratte dettagliatamente descritte nei loro elementi costitutivi, con rilevanti eccezioni che si sottraggono al divieto. La proibizione di usare social credit systems conosce, ad esempio, significative deroghe, dal momento che non opera se il punteggio sociale è utilizzato in un contesto collegato a quello di generazione o raccolta dei dati (esenzione c.d. “same context”) oppure se il trattamento pregiudizievole o sfavorevole sia giustificato o proporzionato rispetto al comportamento sociale e alla sua gravità (esenzione c.d. di proporzionalità).

 

In che modo la prospettiva micro-economica di tutela della singola relazione contrattuale sta modificando la tradizionale concezione del “consumatore medio”?

Il concetto di consumatore medio è un concetto centrale del diritto europeo dei consumi.

La direttiva 2005/29/CE sulle pratiche commerciali scorrette lo recepisce dall’elaborazione della Corte di giustizia che, nell’interpretare le disposizioni della direttiva 84/450/CEE sulla pubblicità ingannevole, assume come parametro di riferimento il virtuale consumatore tipico. Il consumatore medio, cioè quello «normalmente informato e ragionevolmente attento ed avveduto», è, dunque, un modello astratto rappresentativo dell’intera classe dei destinatari della condotta. Pertanto, ad essere vietate, nel contesto della direttiva 2005/29/CE, sono le pratiche contrarie al dovere di diligenza professionale e idonee a falsare in misura apprezzabile il comportamento economico di un soggetto di media vulnerabilità decisionale. Sebbene la direttiva 2005/29/CE faccia riferimento a caratteristiche – quali età, infermità fisica o mentale, ingenuità – suscettibili di rendere un gruppo di consumatori particolarmente vulnerabile, essa si limita a spostare, in tali casi, l’ottica di valutazione della pratica sul piano del membro medio del gruppo.

La conclusione generalmente tratta è che la nozione di consumatore medio risulta coerente con un’impostazione macro-economica del diritto dei consumi, orientata ad assicurare, in modo complementare alla normativa antitrust, il funzionamento concorrenziale del mercato. Una nozione non statistica, ma normativa, che fa riferimento non al consumatore standard, ma a quello che è stato definito un idealtipo: un agente razionale e informato, secondo il principio di autoresponsabilità.

Tuttavia, nel panorama europeo è emersa una crescente necessità di aggiornamento del concetto.

Numerosi interventi legislativi hanno frammentato il modello unitario di tutela consegnato dal codice del consumo, con interventi di carattere verticale volti a segmentare per settori (bancario, assicurativo, finanziario, energetico, ecc.) il mosaico delle vulnerabilità e i relativi apparati rimediali. Ma soprattutto il diritto ha acquisito consapevolezza, grazie all’influenza degli studi di behavioural economics, dei condizionamenti cognitivi ai quali è soggetto, nel mercato, il consumatore reale: figura che si rivela assai meno astratta, in quanto soggetta a molteplici bias e, dunque, dotata di razionalità limitata.

Si pensi alla comunicazione della Commissione europea C 526/2021, dedicata agli orientamenti interpretativi della direttiva 2005/29/CE, la quale afferma che il parametro del consumatore medio, se la pratica è altamente personalizzata, può essere formulato dal punto di vista del singolo individuo oggetto di una personalizzazione specifica. Come pure alla giurisprudenza della Corte di giustizia, la quale dopo aver affermato, nel 2015, che può darsi scorrettezza di una pratica in presenza di comunicazione errata a un unico consumatore, ha finalmente ammesso, nel 2024, che la nozione di “consumatore medio” «non esclude la presa in considerazione dell’influenza di distorsioni cognitive».

Tuttavia, è dinanzi alle insidie delle tecnologie digitali che la nozione di consumatore medio si rivela anacronistica. Nell’ecosistema digitale, emergono molteplici e variegate manifestazioni di debolezza, che impediscono di fare riferimento all’homo oeconomicus.

Il consumatore online è vittima non soltanto di un’asimmetria informativa, accresciuta dall’enorme quantità di informazioni delle quali dispongono le piattaforme, ma anche di un’asimmetria relazionale e di una derivante dall’architettura della rete. Tutto ciò impedisce ogni possibilità di interazione paritaria del consumatore, con un’intensità che giunge a compromettere la tenuta delle tradizionali categorie con le quali siamo soliti inquadrare gli scambi contrattuali.

 

Può il concetto di vulnerabilità diventare una categoria giuridica autonoma oppure resterà una nozione fluida, utile solo come strumento interpretativo e di policy?

Quello di vulnerabilità è un concetto potente che il diritto riceve da altre discipline.

Abbiamo visto che la nozione di vulnerabilità digitale non può essere riferita soltanto a specifiche categorie di soggetti, a determinate situazioni di rischio, a tipologie di condotte potenzialmente pregiudizievoli. In questo si differenzia profondamente dalle debolezze tradizionalmente regolate dal diritto privato, come quelle proprie del minore di età, dell’anziano, del consumatore, della persona con disabilità, anche se alcune caratteristiche individuali possono creare o accentuare situazioni di debolezza nell’ambiente digitale.

La vulnerabilità digitale è insuscettibile di essere racchiusa in una definizione esaustiva: la dimensione complessa e differenziata della figura esclude di poter ricomprendere le sue molteplici sfaccettature nell’ambito di una forzata astrazione concettuale. In quanto fluida, multistrato e variabile, esige una declinazione al plurale che non consente di assoggettarla a una disciplina standardizzata, richiedendo piuttosto all’interprete l’individuazione di soluzioni ragionevoli e proporzionate alle caratteristiche del singolo caso concreto.

Ma in effetti è la nozione di vulnerabilità, in generale, a non essere univoca. Se ricerchiamo la parola nel dizionario, veniamo rimandati alla condizione di chi «può essere ferito» o a quella di chi «può essere attaccato, leso o danneggiato». Nel lessico specialistico, vulnerabilità significa minaccia all’autonomia della persona e alla sua dignità: una situazione di fragilità – derivante ora dall’età, ora dalla povertà materiale, ora dalle condizioni di salute, ora da altre cause – che espone diritti e libertà fondamentali al rischio di lesioni attuali o potenziali.

Se l’ambiguità, già sul piano semantico, della vulnerabilità impedisce di innalzarla ad autonoma fattispecie, questa sua fluidità la rende nozione particolarmente adeguata alla post-modernità giuridica, perché trasversale ai diversi campi dell’agire e idonea ad attraversare molteplici settori ordinamentali.

La vulnerabilità come momento culminante di un processo di ripensamento della categoria del soggetto che, con le parole di un Maestro del diritto recentemente scomparso come Nicolò Lipari, scandisce il passaggio dall’astrattezza del soggetto alla concretezza della persona, vulnerabile perché umana.