Nel 2025 chi progetta e rilascia prodotti digitali è chiamato a un cambio di passo: la Direttiva (UE) 2024/2853 riscrive le regole sulla responsabilità per prodotto difettoso, estendendole a software, sistemi IA e servizi digitali integrati. È già in vigore, con recepimento entro il 9 dicembre 2026: conviene adeguare processi, evidenze e contratti fin da ora. Di seguito: cosa cambia, quali prove servono per difendibilità tecnica/legale, e come le coperture Lokky proteggono professionisti e micro-aziende tech.
- Cosa cambia per software/IA
- Prove, log e tracciabilità: cosa mettere in piedi nel 2025
- Coperture e clausole contrattuali
- Roadmap 2025–2026 per team prodotto
Cosa cambia per software/IS
Software e servizi digitali diventano “prodotti”: la PLD chiarisce che il software (anche SaaS) è un prodotto ai fini della responsabilità oggettiva, così come i servizi digitali integrati o interconnessi che determinano la sicurezza del bene (es. app che governa un device).
IA e aggiornamenti nel perimetro: il prodotto può risultare difettoso per vulnerabilità cyber o per modifiche post-vendita (update/upgrade o continuous learning dell’AI) che restano sotto il controllo del produttore. In tali casi la responsabilità continua anche dopo l’immissione sul mercato.
Open source: quando è escluso: la direttiva esclude il FOSS sviluppato/fornito fuori da attività commerciale; resta tuttavia responsabile chi integra quel componente in un prodotto commerciale.
Danni risarcibili più ampi: oltre a morte/lesioni e danni a beni di persone fisiche, la PLD include distruzione/corruzione di dati (non usati esclusivamente per fini professionali) e danno alla salute psicologica clinicamente riconosciuto.
Soggetti potenzialmente responsabili: oltre al produttore, possono rispondere rappresentante autorizzato, importatore, distributore, componentista, chi effettua modifiche sostanziali e fulfilment service provider in assenza di altri operatori UE; piattaforme online rispondono quando agiscono come operatori economici.
Prove e presunzioni: la PLD introduce disclosure probatoria e presunzioni di difetto/nesso causale in vari casi: mancata disclosure, non conformità a requisiti di sicurezza (inclusi quelli cyber) o malfunzionamento evidente; in controversie tecnicamente complesse basta dimostrare la probabile difettosità/causalità.
Tempi e limiti: azione entro 3 anni (da quando si conoscono danno, difetto e soggetto responsabile); long-stop a 10 anni, 25 anni per lesioni con latenza (es. danni che emergono tardi).
Prove, log e tracciabilità: cosa mettere in piedi nel 2025
Per essere “audit-ready” (e prevenire presunzioni a sfavore) PM e dev dovrebbero strutturare un Evidence Pack PLD:
- Versioning & SBOM: distinta materiali software (SBOM), versioni rilasciate, componenti terze parti e licenze; tracciabilità dei cambi;
- Secure Dev & Release: registri di code review, test (unit/integration/security), risk assessment e piani di mitigazione; change control con rollback documentato per aggiornamenti/patch;
- Telemetry & Event logging: log di uso, failure, sicurezza e “black box” per diagnosi; ove richiesto da norme di sicurezza, l’assenza di logging può far scattare presunzioni di difettosità;
- IA lifecycle: per modelli che apprendono nel tempo, dataset, metriche, drift, retraining plan e decisioni di governance (chi approva, quando e perché);
- Cyber by design: mappatura vulnerabilità e piano patch; ricordare che requisiti cyber incidono sulla valutazione di difetto;
- Post-market & recall: canali per segnalazioni utenti, criteri di severità, playbook di intervento/ritiro e notifiche autorità quando applicabile (in coerenza con la safety generale).
Esempio rapido
Un’app che controlla un dispositivo domestico smart rilascia una patch che introduce un crash in scenari d’uso tipici: senza change log, test e rollback dimostrabili, il PM espone l’azienda a presunzioni di difetto/nesso; con Evidence Pack completo, si riduce il rischio e si velocizza la difesa.
Coperture e clausole contrattuali
Cosa NON si può fare con i contratti: la PLD vieta di limitare o escludere contrattualmente la responsabilità verso la persona danneggiata. Le clausole servono a ripartire rischi a monte (tra operatori) e ad abilitare regresso, non a ridurre i diritti del danneggiato.
Clausole “must-have” nei rapporti di filiera
- Qualità & sicurezza: obblighi su test, secure-coding, patching e tempi di remediation; obbligo di cooperazione probatoria (consegna registri, report);
- Subfornitori & componenti: garanzie su componenti software (SBOM aggiornato), notifica vulnerabilità e supporto agli aggiornamenti post-vendita (dove il produttore mantiene controllo);
- Modifiche sostanziali: definizione e responsabilità di chi ricondiziona/ri-integra componenti (può diventare “produttore”).
Coperture Lokky per professionisti e micro-imprese tech
- Lokky Flex: la polizza di rc professionale studiata per i professionisti non iscritti ad albo, che tutela da errori/omissioni di analisi, design, testing, integrazioni API e gestione update; utile per PM, sviluppatori, boutique software;
- Cyber Risk: copertura aggiuntiva studiata per divfendere il cliente in caso di incident response, forensics, spese di notifica, business interruption se un attacco o un update difettoso blocca il servizio;
- Tutela Legale: garanzia accessoria volta a coprire i costi di difesa in controversie su difetti, disclosure probatoria, richieste di danno, regressi contrattuali nella filiera.
Set-up pratico
Allinea massimali a base utenti, criticità d’uso e dipendenza da servizi cloud; verifica sublimiti BI, retroattività e postuma (per E&O) e condizioni su terze parti (librerie/SDK).
Roadmap 2025–2026 per team prodotto
Q4 2025 – Q1 2026 · Diagnosi e Impianto
Esegui la gap analysis PLD su ambito (software/IA), logging e post-market; costruisci la mappa dei rischi; definisci l’Evidence Pack (quali prove servono, dove si archiviano, chi le aggiorna); avvia la revisione dei contratti di filiera inserendo SBOM, disclosure vulnerabilità, SLA di patching e clausole di cooperazione probatoria.
Q2 – Q3 2026 · Implementazione e Test
Metti in pilota SBOM e secure release con gate di qualità/sicurezza; pubblica e prova i runbook di incident & recall; completa l’onboarding legale su disclosure e gestione delle presunzioni PLD; chiudi gli addenda contrattuali con i fornitori critici.
Entro Q4 2026 · Messa a Regime e Audit-Readiness
Concludi l’hardening cyber, formalizza le policy su modifiche sostanziali e lifecycle IA, garantisci tracciabilità end-to-end (log, versioning, rollback, post-market); verifica il recepimento nazionale e aggiorna documentazione e contratti di conseguenza.
La nuova PLD porta software e IA al centro della responsabilità da prodotto: più attenzione a cybersecurity, aggiornamenti e prove. Chi mette a terra ora processi tracciabili e contratti robusti affronterà il 2026 senza sorprese. Con Lokky puoi calibrare Lokky Flex, Cyber e Tutela Legale su stack tecnologico, modello di servizio e rischi di filiera, proteggendo lavoro e reputazione.
