1 Agosto 2025, di Barbara Weisz – PMI.it

Operativo dal 2 agosto 2025 un nuovo set di disposizioni nell’ambito della graduale applicazione del Regolamento Europeo sull’Intelligenza Artificiale (AI Act), pienamente operativo dal 2027. Le novità riguardano in primis i grandi modelli generalisti di IA generativa: le aziende che li sviluppano e addestrano devono rispettare una serie di nuovi requisiti e procedure.

In parallelo, gli Stati Membri della UE devono adeguare i propri meccanismi di governance in materia. Nello specifico, i Governi devono nominare gli organi competenti per la vigilanza sul rispetto dell’AI Act e la definizione delle sanzioni per gli inadempienti.

In questo contesto, ricordiamo che in Italia è ancor in Parlamento il Ddl sull’Intelligenza Artificiale, che indica come autorità competenti l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). La Camera ha approvato a giugno un testo modificato rispetto a quello già passato in Senato, dove la legge è tornata in terza lettura.

I nuovi obblighi UE per i fornitori di GPAI

I sistemi GPAI (General Purpose Artificial Intelligence) sono modelli di intelligenza artificiale non specializzati e di grandi dimensioni (come ad esempio ChatGpt, Gemini e Deepseek), che impiegano più di 10^23 FLOPS (operazioni in virgola mobile al secondo) e sono in grado di generare linguaggio sotto forma di testo scritto o contenuti audio, nonché di trasformare testi in immagini o video.

Perché si possa parlare di GPAI devono coesistere tutte queste caratteristiche: ad esempio, se il modello è addestrato con una capacità computazionale superiore a quella prevista ma è specializzato in una determinata funzione allora non rientra nella definizione che li riconduce ai nuovi obblighi. La definizione di GPAI e le istruzioni per gli sviluppatori e fornitori sono contenute nelle Linee Guida pubblicate dalla Commissione Europea.

I nuovi obblighi sono più o meno rigidi a seconda che il sistema sia considerato o meno ad alto rischio.

• Nel primo caso, gli sviluppatori e fornitori devono rendere disponibile e aggiornare costantemente la documentazione tecnica, fornire tutte le informazioni necessarie ai soggetti che integrano i modelli nei propri sistemi, rispettare le normative europee sul diritto d’autore e sulla riservatezza, pubblicare i dati sui contenuti utilizzati per addestrare gli algoritmi.
• Se poi il modello di IA è a rischio sistemico, le imprese che li sviluppano devono anche effettuare specifiche valutazioni, garantire elevati livelli di protezione, segnalare eventuali incidenti. Ci sono infine obblighi specifici per l’immissione sul mercato di questo modelli, operazione che richiede documentazione e procedure specifiche.

Possono adempiere a questi obblighi attraverso l’adesione al Codice di Conformità previsto dall’AI Act, che rappresenta una sorta di certificazione di compliance. Altrimenti, devono autonomamente dimostrare il rispetto delle sopra citate regole (disponibile anche un modello per i fornitori di GPAI da utilizzare a tale scopo).

NB: queste norme non si applicano ai modelli open source, che rendono pubblici per definizione tutti i parametri.