Un passo decisivo verso l’attuazione dell’AI Act: la Commissione Europea ha pubblicato il Codice di condotta volontario per i modelli di AI per finalità generali e gli orientamenti ufficiali per i fornitori di tali modelli. L’obiettivo è duplice: da un lato, garantire che anche i sistemi di AI più potenti siano sicuri, trasparenti e allineati ai valori europei; dall’altro, offrire agli sviluppatori – dalle startup ai big tech – certezza giuridica e strumenti concreti per prepararsi all’entrata in vigore delle nuove norme, prevista per il 2 agosto 2025.
“Con gli orientamenti odierni, la Commissione sostiene l’applicazione agevole ed efficace della legge sull’IA – sottolinea Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia:. Fornendo certezza giuridica sull’ambito di applicazione degli obblighi della legge sull’IA per i fornitori di IA per finalità generali, aiutiamo gli attori dell’IA, dalle start-up ai principali sviluppatori, a innovare con fiducia, garantendo nel contempo che i loro modelli siano sicuri, trasparenti e in linea con i valori europei”.
Indice degli argomenti
Cosa si intende per modelli di AI per finalità generali
Il cuore del nuovo regolamento europeo riguarda i cosiddetti modelli di AI per finalità generali, definiti come quei modelli in grado di svolgere un’ampia gamma di compiti distinti e integrabili in diversi sistemi downstream.
Secondo gli orientamenti della Commissione, un modello è considerato general-purpose se è addestrato con più di 10²³ operazioni in virgola mobile (FLOP), è in grado di generare linguaggio (testo o audio), immagini o video a partire dal testo, e presenta un grado significativo di generalità e versatilità.
Non basta il solo livello di calcolo computazionale: un modello può non essere considerato general-purpose se è capace di svolgere solo compiti ristretti e specifici, come ad esempio la trascrizione vocale o l’upscaling di immagini.
Quando un modello è considerato “a rischio sistemico”
Un sottoinsieme particolarmente critico è rappresentato dai modelli general-purpose con rischi sistemici, ossia quei modelli che possono compromettere i diritti fondamentali, minacciare la sicurezza pubblica, favorire lo sviluppo di armi chimiche o biologiche, o generare perdita di controllo da parte degli sviluppatori.
I fornitori di tali modelli sono soggetti ad obblighi aggiuntivi, tra cui valutazioni continue del rischio, notifica obbligatoria alla Commissione, e garanzie di cybersecurity durante tutto il ciclo di vita del modello.
Obblighi per i fornitori: documentazione, copyright, trasparenza
Dal 2 agosto 2025, tutti i fornitori che immettono sul mercato europeo un modello di AI per finalità generali dovranno rispettare una serie di prescrizioni. Dovranno redigere una documentazione tecnica aggiornata con informazioni su addestramento e testing, rendere accessibili informazioni per gli sviluppatori downstream, adottare politiche di rispetto del copyright, inclusa la pubblicazione di un riepilogo dei contenuti utilizzati per l’addestramento. I fornitori di modelli con rischio sistemico, inoltre, saranno obbligati a segnalare gli incidenti gravi, implementare misure di mitigazione e garantire un’adeguata protezione contro attacchi informatici.
Open source: esenzioni condizionate
La Commissione riconosce l’importanza dell’open source per l’innovazione e prevede alcune esenzioni per i modelli rilasciati sotto licenza libera, purché siano rispettate determinate condizioni.
Il modello non deve essere monetizzato in alcun modo, nemmeno tramite forme indirette come pubblicità obbligatorie o accesso condizionato a servizi a pagamento. I parametri, i pesi, l’architettura e le istruzioni d’uso del modello devono essere resi pubblicamente disponibili. La licenza deve garantire piena libertà d’uso, modifica e ridistribuzione, senza vincoli commerciali. Tuttavia, i modelli open source con rischio sistemico non sono esenti da questi obblighi e dovranno rispettare tutte le misure previste per la loro categoria.
Il Codice di condotta
Il General-Purpose AI Code of Practice, sviluppato da 13 esperti indipendenti e più di 1.000 stakeholder, funge da strumento volontario per anticipare la conformità all’AI Act. Si articola in tre capitoli: trasparenza, con un modello documentale standardizzato; copyright, con linee guida pratiche per rispettare il diritto d’autore europeo; e sicurezza, con indicazioni per la gestione dei rischi sistemici nei modelli più avanzati.
“Il Codice è stato co-progettato con gli stakeholder dell’IA ed è allineato alle loro esigenze. Invito tutti i fornitori di modelli general-purpose ad aderire al Codice. Così facendo, avranno un percorso chiaro e collaborativo verso la conformità con l’AI Act”, spiega ancora Virkkunen.
L’adesione al codice facilita la dimostrazione di conformità, riduce il carico amministrativo e permette ai fornitori di beneficiare di maggiore fiducia e trasparenza nei confronti della Commissione e degli utenti.
Tempistiche: quando entrano in vigore gli obblighi
Il calendario di applicazione dell’AI Act è scandito da tre date chiave. Il 2 agosto 2025 segna l’entrata in vigore degli obblighi per tutti i modelli di AI generativa. Dal 2 agosto 2026 l’AI Office potrà iniziare ad applicare sanzioni fino al 3% del fatturato globale o 15 milioni di euro. Entro il 2 agosto 2027 dovrà essere completato l’adeguamento dei modelli già presenti sul mercato.
La Commissione chiarisce che non è richiesta una riqualificazione retroattiva dei modelli preesistenti, ma è necessaria trasparenza su eventuali limiti o assenze di dati. È fortemente raccomandata la collaborazione proattiva con l’AI Office per affrontare le difficoltà iniziali e garantire una transizione graduale.
Un salto di qualità normativo per l’AI in Europa
Con l’adozione delle linee guida attuative e del Codice di condotta, l’Unione Europea si conferma pioniera nella regolamentazione dell’intelligenza artificiale, puntando a conciliare innovazione, sicurezza, trasparenza e rispetto dei diritti.
Per i fornitori di modelli di AI generativa, in particolare quelli di grandi dimensioni e impatto, la sfida sarà coniugare performance e compliance, soprattutto in un contesto normativo in continua evoluzione. Anche le piccole realtà, però, potranno beneficiare di un quadro chiaro e strumenti pratici per inserirsi con fiducia nel mercato europeo.
“Vogliamo che i modelli più avanzati disponibili in Europa siano non solo innovativi ma anche sicuri e trasparenti”, ribadisce Virkkunen.
Una visione ambiziosa, che chiama all’azione l’intero ecosistema dell’AI: dalla ricerca all’impresa, dalle piattaforme open source ai grandi sviluppatori, in un’alleanza fondata sulla responsabilità condivisa.
