AI nella filiera farmaceutica: una prospettiva legale sulla gestione dei rischi e della responsabilità

Dalla scoperta dei farmaci alla farmacovigilanza, l'AI sta rivoluzionando il settore farmaceutico, migliorando efficienza e personalizzazione delle cure. Tuttavia, il suo impiego comporta rischi legati a privacy, sicurezza e responsabilità. Il nuovo quadro normativo europeo mira a garantire un uso sicuro e affidabile dell’AI.

L’Intelligenza Artificiale (AI) sta trasformando profondamente la filiera del farmaco, introducendo soluzioni che aumentano efficienza e innovazione. Alcune fra le applicazioni di AI che presentano maggiori opportunità riguardano la “drug discovery“, ossia lo sviluppo di nuovi medicinali innovativi (tramite lo screening virtuale di molecole), le sperimentazioni cliniche (grazie all’AI, possono essere individuati i pazienti più idonei e meglio analizzati i dati dei trial), l’ottimizzazione della supply chain (previsione della domanda e gestione efficace delle scorte di materie e prodotti finiti), la farmacovigilanza (l’AI può aiutare a identificare eventi avversi non ancora noti tramite l’analisi dei dati), il supporto a medici e pazienti (anche tramite strumenti che possano orientare la scelta dei farmaci più adatti, anche in ottica di sempre maggiore personalizzazione delle cure).

L’analisi di enormi volumi di dati e la capacità di metterli in relazione è uno degli aspetti essenziali della ricerca farmaceutica e l’AI in quest’ottica è uno strumento estremamente efficace. L’Agenzia Italiana del Farmaco, già nel 2021, ha aperto alla possibilità di utilizzare sistemi di Intelligenza Artificiale e Machine Learning per la sperimentazione clinica dei farmaci. L’IA può aiutare a identificare le correlazioni nascoste tra le variabili cliniche, è in grado di prevedere l’efficacia del trattamento e identificare potenziali effetti collaterali o reazioni avverse e ciò può contribuire ad una migliore comprensione della sicurezza del farmaco.

L’adozione di queste tecnologie in un contesto altamente regolamentato – dove vengono trattati anche dati particolarmente sensibili, in quanto relativi alla salute – comporta anche sfide legali significative. Se gli output algoritmici risultano inesatti o distorti, le conseguenze possono essere gravi per i pazienti. La qualità dei dati è un fattore critico: dati incompleti o inaccurati compromettono i modelli predittivi, mentre la presenza di bias nei dataset – ad esempio, legati alla sottorappresentazione di alcune etnie o generi – può generare discriminazioni sistemiche. Altri importanti fattori di rischio sono legati alla privacy, alla protezione dei dati personali e alla sicurezza informatica, ambiti che occorre presidiare con particolare attenzione.

Il legislatore europeo, con l’approvazione dell’AI Act (Reg. 1689/2024), ha introdotto regole stringenti sia per gli sviluppatori che per gli utilizzatori della tecnologia, indipendentemente dal settore. Anche nell’ambito farmaceutico, pertanto, trovano applicazione le nuove norme. L’AI Act segue un approccio “risk based” in base al quale, a seconda del livello di rischio dei sistemi di intelligenza artificiale, occorre implementare misure variabili di protezione per le persone. In certi casi i sistemi di AI, laddove presentino un rischio inaccettabile, sono vietati.

L’AI Act non ha introdotto regole specifiche in merito alla responsabilità lungo la catena del valore dell’AI, poiché questo ambito è disciplinato dai singoli ordinamenti nazionali. Intervenire con un regolamento, direttamente applicabile in ogni stato membro dell’UE, non sarebbe quindi risultato appropriato. Il legislatore europeo, pertanto, ha elaborato un ulteriore atto in tema di responsabilità, sotto forma di direttiva, per consentire un recepimento coordinato a livello di leggi nazionali. Si tratta della Product Liability Directive (2853/2024) del 23 ottobre 2024. Questa nuova normativa europea amplia il concetto di “prodotto”, includendo anche beni intangibili come software, file digitali e sistemi di AI. L’articolo 7 introduce il criterio della “legittima aspettativa di sicurezza del consumatore” come parametro per determinare la difettosità del prodotto. Tuttavia, l’opacità tipica dei sistemi AI (si parla in questi casi anche di “black box”) rende difficile accertare la responsabilità. Per questo motivo, l’articolo 10 introduce due presunzioni legali. La prima si applica quando il prodotto non rispetta obblighi normativi di sicurezza. La seconda quando il danno deriva da un malfunzionamento evidente.

La responsabilità viene inoltre estesa ai produttori di componenti, come software embedded, se restano sotto il controllo del fabbricante anche dopo la commercializzazione. In questi casi, la responsabilità non si esaurisce con l’immissione sul mercato, ma continua nel tempo. La direttiva riconosce anche categorie nuove di danno risarcibile, tra cui i danni immateriali (psicologici e reputazionali) e la perdita di dati, valorizzando l’importanza crescente delle informazioni digitali.

Invece, la proposta di AI Liability Directive – che era stata elaborata in bozza in parallelo alla più ampia Product Liability Directive – è stata recentemente abbandonata, prima che concludesse il proprio iter approvativo. Esistevano alcune preoccupazioni sul suo eccessivo impatto per le imprese europee, trattandosi anche in questo caso di regole pro-consumatore. Il testo prevedeva una presunzione di causalità in presenza di una violazione normativa da parte del produttore e un accesso semplificato alle prove, ad esempio tramite l’ordine giudiziario di divulgare documentazione relativa a sistemi AI ad alto rischio.

Gli stati membri, ad ogni modo, hanno tempo fino a dicembre 2026 per recepire la Product Liability Directive. A valle di tale intervento legislativo, il quadro legale europeo sulla responsabilità anche in relazione ai sistemi di AI sarà uniforme, con notevoli vantaggi in termini di certezza del diritto e di uniformità della sua applicazione.

Indipendentemente dai profili connessi alla responsabilità civile, la gestione dei rischi legati all’AI richiede un approccio integrato e multidisciplinare. Innanzitutto, è fondamentale adottare procedure operative interne che regolamentino lo sviluppo o l’utilizzo dei sistemi AI, focalizzando attentamente il fattore umano. In base all’approccio “human centric”, che caratterizza la nuova normativa europea sull’AI, occorre una sorveglianza della tecnologia da parte dell’uomo, verificando anche la correttezza degli output e delle decisioni automatizzate. Potrebbe quindi rendersi opportuna la nomina di un AI Officer o di un comitato che includa diverse professionalità (almeno legali e tecnologiche), per contribuire alla governance dell’AI in coordinamento con tutti i ruoli tecnici e di business di volta in volta coinvolti, con il vertice aziendale e con gli organi di controllo (tra cui collegio sindacale, OdV 231 e DPO). Uno o più soggetti dotati delle competenze necessarie in questo contesto possono rappresentare un riferimento su questo tema, oltre che internamente, anche per clienti, stakeholder e autorità di controllo.

Un’attività di vigilanza, in tutta la filiera AI, deve riguardare anche il rispetto dei principi di equità e non discriminazione. In un settore come quello farmaceutico, è fondamentale evitare effetti distorti della tecnologia che potrebbero incidere sulla salute delle persone.

Nella fase attuale – considerando anche l’applicabilità, già a partire da febbraio 2025, di un primo set di norme dell’AI Act – occorre investire adeguatamente nella formazione delle persone. Manager e dipendenti devono essere pienamente consapevoli delle opportunità e dei rischi connessi all’adozione dell’AI. I profili legali ed etici più rilevanti devono anch’essi diventare parte del bagaglio di conoscenze di ogni organizzazione che – in quanto provider o deployer di sistemi di AI – sia tenuta a alfabetizzare tutta la popolazione aziendale.

Nello sviluppo e nell’utilizzo di tecnologie di AI è necessario garantire anche la conformità alla normativa sulla protezione dei dati personali, poiché gli algoritmi lavorano sui dati e in rari casi è possibile escludere la presenza di informazioni anche di carattere personale dall’elaborazione svolta dai sistemi. Le misure da adottare per un uso lecito e sicuro dei dati personali possono essere di carattere organizzativo (es. nomine, linee guida, procedure, documenti di trasparenza) o tecnico (es. anonimizzazione, pseudonimizzazione), seguendo anche i criteri di “privacy by design” e “privacy by default”. Un obbligo che il GDPR ha previsto nei casi in cui esista un rischio elevato per le persone è lo svolgimento di una valutazione di impatto data protection (DPIA). Effettuare questo tipo di assesment non solo è necessario nella maggior parte dei casi in cui i dati personali vengono trattati attraverso sistemi di AI, ma risulta particolarmente utile per individuare le misure opportune per mitigare o annullare i possibili rischi.

Nel rapporto tra aziende farmaceutiche e fornitori di soluzioni AI, i profili contrattuali assumono un ruolo determinante. È consigliabile effettuare una valutazione preventiva del fornitore e della tecnologia che si intende acquistare, stipulare accordi per tutelare la riservatezza delle informazioni scambiate tra le società (anche prima della conclusione del contratto principale) e prevedere clausole contrattuali differenti a seconda del livello di rischio del sistema. Devono inoltre essere correttamente formalizzati i ruoli privacy (titolare, responsabile, sub-responsabile, contitolare), identificando le misure di sicurezza da adottare e le responsabilità in caso di incidenti di sicurezza o altre violazioni.

Maggiore sarà la consapevolezza dei diversi soggetti coinvolti nella filiera – aziende, centri di ricerca, università, istituzioni – rispetto agli obblighi e alle responsabilità connessi all’intelligenza artificiale, più agevolmente verrà favorito lo sviluppo di un ecosistema tecnologico sicuro e affidabile, anche agli occhi del mercato e delle autorità. L’uso dell’intelligenza artificiale nel pharma, come sopra evidenziato, presenta enormi opportunità su aspetti core di questo settore come la drug discovery, le sperimentazioni cliniche e la produzione di medicinali personalizzati. I rischi sono rilevanti, ma gestibili. Una governance solida in materia di AI, che tenga conto della complessità della filiera e dei diversi profili di rischio che possono emergere, è oggi una condizione necessaria per promuovere un uso sicuro e responsabile dell’AI.