AI Act: in vigore dal 2 agosto le regole per i modelli di intelligenza artificiale di uso generale (general-purpose AI models, GPAI)

Dal 2 agosto 2025 sono entrate a regime le disposizioni del Regolamento (UE) 2024/1689 – noto come AI Act – relative ai modelli di intelligenza artificiale di uso generale (general-purpose AI models, GPAI).

Al via quindi una serie di obblighi tecnici, documentali e di trasparenza, tra cui gli obblighi di trasparenza, marcatura dei contenuti e gestione dei rischi per i fornitori e gli utilizzatori di modelli GPAI con impatti diretti su imprese, enti pubblici, sviluppatori e integratori di sistemi basati su IA.

Il Regolamento AI Act

Il Regolamento 2024/1689 di tutela dei diritti fondamentali e degli interessi pubblici europei, come privacy, salute e sicurezza punta all’armonizzazione delle reg e le sull’uso dell’IA nel mercato interno. L’entrata in vigore è graduale.

Per espressa previsione, l’AI act, in vigore il 2 agosto 2024, si applica a decorrere dal 2 agosto 2026. È tuttavia prevista un’applicazione progressiva, con diverse tempistiche, per alcune specifiche misure.

Nel dettaglio, le disposizioni sui divieti per pratiche ad “alto rischio inaccettabile” e l’obbligo di alfabetizzazione del personale sono operative dal 2 febbraio 2025.

Dal 2 agosto 2025, invece, diventano applicabili le nuove disposizioni riguardanti in particolare i modelli di intelligenza artificiale di uso generale (GPAI) e il regime di governance e sanzionatorio.

AI Act: chi è coinvolto  

Gli obblighi operativi dal 2 agosto 2025 si applicano a:

• fornitori di modelli GPAI, anche non stabiliti nell’UE, ma i cui output vengono utilizzati nel territorio dell’Unione;
• utilizzatori (deployer) stabiliti nell’UE che impiegano tali modelli in attività professionali, commerciali o istituzionali;
• soggetti che integrano modelli GPAI in altri prodotti, servizi o software distribuiti nel mercato europeo.

Documentazione tecnica e trasparenza (art. 52)  

Dal 2 agosto 2025 i fornitori di modelli di intelligenza artificiale di uso generale (GPAI) sono tenuti a soddisfare obblighi sostanziali.

Sul fronte documentale e di trasparenza (art. 52), il fornitore è tenuto a mettere a disposizione una documentazione tecnica completa: descrizione dell’architettura e delle capacità del modello, sintesi dei dati utilizzati per l’addestramento, indicazione di limiti, prestazioni e rischi sistemici, nonché gli usi previsti e quelli sconsigliati.

Tali informazioni devono essere accompagnate da istruzioni per l’uso chiare, che specifichino le modalità di sorveglianza umana e le condizioni operative idonee a contenere i rischi.

Marcatura automatica dei contenuti (art. 53)  

Quanto alla marcatura degli output (art. 53), ogni contenuto generato dai modelli GPAI—testi, immagini, audio e video—deve essere riconoscibile come prodotto dall’IA ed essere dotato di marcatori tecnici leggibili da macchina (ad esempio watermark o metadati).

La marcatura può non essere richiesta in ipotesi limitate, come interventi di editing minimale o taluni usi legittimi connessi alla sicurezza pubblica, nel rispetto delle condizioni previste dalla normativa.

Obblighi rafforzati per i modelli “a rischio sistemico” (art. 55–56)  

I modelli considerati “a rischio sistemico” (es. per potenza computazionale impiegata, scala di utilizzo, capacità autonome avanzate) saranno soggetti a requisiti aggiuntivi:

• valutazione e mitigazione dei rischi ex ante;
• audit indipendenti annuali sulla sicurezza e affidabilità;
• sistemi di segnalazione incidenti e gestione delle anomalie;
• tracciabilità sull’uso di dataset protetti da diritto d’autore.

Periodo transitorio per i modelli già in uso  

Il mancato rispetto degli obblighi potrà comportare sanzioni fino a 15 milioni di euro o al 3% del fatturato globale, oltre a provvedimenti interdittivi e di sospensione dell’uso dei modelli non conformi.

Raccomandazioni operative  

Per le imprese, le PA e i professionisti coinvolti nello sviluppo o nell’adozione di sistemi IA, è pertanto essenziale:

• avviare audit interni per individuare e mappare i modelli GPAI in uso;
• implementare procedure di documentazione, watermarking e trasparenza;
• aggiornare i contratti con fornitori e integratori per recepire le clausole normative;
• predisporre la registrazione tecnica dei modelli presso il database europeo;
• monitorare l’evoluzione delle soglie e linee guida che la Commissione UE adotterà entro fine 2025.

Le altre misure applicabili dal 2 agosto 2025.

Governance e autorità nazionali  

Entro il 2 agosto 2025, inoltre, gli Stati membri devono rendere operative le autorità nazionali competenti, designare e comunicare alla Commissione le autorità di notifica e di vigilanza del mercato e istituire un punto di contatto unico accessibile al pubblico.

Le autorità devono disporre di risorse tecniche, finanziarie e umane adeguate e di competenze su IA, cybersicurezza, protezione dati e diritti fondamentali.

In parallelo, diventano operative le strutture europee: Ufficio per l’IA e Consiglio europeo per l’IA, per coordinare l’applicazione uniforme del Regolamento.

Regime sanzionatorio e atti di esecuzione  

Dal 2 agosto 2025 si applicano, altresì, le disposizioni sulle sanzioni; gli Stati membri devono stabilire e notificare la disciplina nazionale, assicurandone l’effettiva attuazione da tale data.

Se i codici di buone pratiche non saranno completati o ritenuti inadeguati entro il 2 agosto 2025, la Commissione potrà adottare norme comuni vincolanti per attuare gli obblighi, inclusi quelli di trasparenza.

Banche dati e trasparenza di mercato  

La Commissione, con gli Stati membri, istituisce la banca dati UE per i sistemi di IA ad alto rischio. I fornitori (e, per taluni casi, i deployer pubblici) inseriscono i dati previsti dagli allegati, a supporto della tracciabilità e della vigilanza di mercato.

Monitoraggio delle capacità nazionali  

Dal 2 agosto 2025 e poi ogni due anni, ciascuno Stato membro invia alla Commissione un rapporto sullo stato delle risorse (finanziarie e umane) delle autorità nazionali competenti, con valutazione di adeguatezza; il Consiglio per l’IA discute i risultati e può formulare raccomandazioni.

Calendario

L’anticipo al 2 agosto 2025 delle misure di governance e valutazione della conformità serve a garantire un’applicazione efficace in vista della data generale di applicazione del Regolamento (2 agosto 2026).

Fonte: Web