AI Act, gli impatti operativi per le aziende dal 2 agosto: come gestirli

Il 10 luglio è stato approvato il Codice di Condotta per i sistemi di AI per scopi generali (GPAI), seguito il 18 luglio dalle Linee Guida sui modelli GPAI e il 24 luglio dal Template per la disclosure dei dati di training. Tre tasselli che completano il mosaico normativo in vista del 2 agosto 2025, quando entreranno in vigore gli obblighi specifici per i sistemi GPAI previsti dal Capitolo V dell’AI Act.

Questo pacchetto normativo non riguarda solo i grandi sviluppatori di modelli come Google o META. Le nuove regole hanno implicazioni dirette per qualsiasi azienda che utilizzi sistemi di AI generativa basati su modelli general purpose, dalla banca che implementa chatbot per il customer service all’assicurazione che usa AI per la valutazione dei rischi, fino alla startup che integra API di modelli linguistici nei propri prodotti.

Il Codice di Condotta per i sistemi GPAI: compliance volontaria ma strategica

Il Codice di Condotta pubblicato il 10 luglio rappresenta il primo strumento operativo per dimostrare la conformità agli obblighi dell’AI Act sui sistemi GPAI. Sviluppato con il contributo di circa 1.000 stakeholder, il documento è formalmente volontario ma assume un valore strategico fondamentale per i fornitori di modelli.

Il Codice si articola su tre pilastri principali: trasparenza, copyright e sicurezza. I primi due capitoli si applicano a tutti i fornitori di modelli GPAI, mentre il terzo riguarda esclusivamente i modelli che presentano rischio sistemico (quelli addestrati con oltre 10^25 FLOP, come GPT-4 o Gemini).

Sul fronte trasparenza, il Codice fornisce indicazioni precise su come documentare i modelli e condividere informazioni con l’AI Office e le autorità nazionali. Include un “Model Documentation Form” che standardizza la presentazione delle informazioni chiave: proprietà del modello, metodi di distribuzione, usi previsti, processi di training e requisiti computazionali.

Per quanto riguarda il copyright, il Codice affronta uno dei nodi più complessi dell’AI generativa: come rispettare i diritti di proprietà intellettuale quando si addestra un modello su miliardi di contenuti web. Vengono delineate misure concrete per rispettare gli opt-out dei titolari di diritti e ridurre il rischio che i sistemi a valle generino output che violino copyright altrui.

Il capitolo sulla sicurezza è il più dettagliato e richiede ai fornitori di modelli ad alto rischio di implementare framework robusti per identificare, valutare e mitigare i rischi sistemici. Nonostante le discussioni iniziali, la versione finale mantiene l’obbligo di valutazione esterna indipendente per la maggior parte dei casi.

Rilevanza per le aziende non-GPAI: anche se il Codice si rivolge ai fornitori di modelli, le aziende utilizzatrici devono prestare attenzione. I fornitori che aderiranno al Codice offriranno maggiori garanzie di compliance, mentre quelli che non lo faranno potrebbero presentare rischi aggiuntivi nelle catene di fornitura. Inoltre, comprendere i principi del Codice aiuta a valutare meglio la qualità e l’affidabilità dei modelli AI che si intende utilizzare.

Le Linee Guida sui modelli GPAI: chiarezza su definizioni e responsabilità

Le Linee Guida pubblicate il 18 luglio dalla Commissione Europea chiariscono aspetti cruciali che erano rimasti ambigui nella formulazione originale dell’AI Act. Il documento definisce con precisione quando un modello può essere considerato GPAI e specifica le responsabilità lungo l’intero ciclo di vita.

Un modello è classificato come GPAI se soddisfa due condizioni: essere addestrato con oltre 10^23 operazioni floating-point (FLOP) – soglia aumentata rispetto alla precedente bozza – e essere capace di generare output in almeno una modalità tra testo, audio, immagini o video. Tuttavia, la capacità effettiva del modello rimane decisiva: un modello che soddisfa i criteri quantitativi ma non dimostra significativa generalità non è considerato GPAI, mentre uno che non raggiunge la soglia ma mostra chiaramente capacità general-purpose deve comunque essere trattato come tale.

Le Linee Guida chiariscono che la responsabilità si estende dall’addestramento fino alla rimozione dal mercato. I fornitori mantengono la responsabilità per tutto il ciclo di vita, incluse le modifiche successive. Se un attore a valle modifica significativamente un modello, diventa a sua volta fornitore del modello modificato.

Un aspetto fondamentale emerge nella distinzione tra upstream e downstream provider. Le Linee Guida precisano quando un’azienda che integra modelli GPAI di terzi nei propri sistemi rimane un semplice utilizzatore e quando invece viene riqualificata come fornitore del modello stesso. Questa distinzione non è meramente accademica: determina l’applicabilità di obblighi normativi sostanzialmente diversi, con implicazioni significative in termini di documentazione, notifiche alle autorità e responsabilità legali. I parametri per questa valutazione includono l’entità delle modifiche computazionali, le modalità contrattuali di distribuzione e la natura delle integrazioni tecniche. Si tratta di un’analisi complessa che richiede competenze specifiche e che molte aziende sottovalutano nelle loro valutazioni di compliance.

Particolare attenzione è dedicata ai modelli con rischio sistemico. La classificazione scatta quando un modello dimostra capacità pari o superiori a quelle più avanzate sul mercato, oppure quando la Commissione lo designa sulla base dei criteri dell’Allegato XIII. In entrambi i casi, il fornitore deve notificare la Commissione entro due settimane.

Le Linee Guida introducono anche esenzioni specifiche per i modelli open source, purché rispettino condizioni stringenti: licenza libera e open source, assenza di monetizzazione e divulgazione pubblica di parametri e architettura. Anche per questi modelli, tuttavia, rimangono gli obblighi di copyright e content summary.

Rilevanza per le aziende non-GPAI: la corretta qualificazione del proprio ruolo nella catena del valore AI è essenziale per determinare gli obblighi applicabili. Un errore di valutazione può comportare l’applicazione di regimi normativi inadeguati, con conseguenti rischi di non-conformità.

Template per la disclosure dei dati di training: trasparenza obbligatoria

Il Template pubblicato il 24 luglio rende operativo l’obbligo dell’Articolo 53(1)(d) dell’AI Act: tutti i fornitori di modelli GPAI devono pubblicare un riepilogo dei contenuti utilizzati per l’addestramento utilizzando obbligatoriamente questo template specifico. L’obbligo entra in vigore il 2 agosto 2025, anche per i modelli rilasciati sotto licenze open source gratuite.

Per i modelli già sul mercato prima del 2 agosto 2025, i fornitori hanno tempo fino al 2 agosto 2027 per pubblicare i relativi summary. Se un fornitore, nonostante i migliori sforzi, non può fornire certe informazioni perché non disponibili o perché il loro recupero imporrebbe un onere sproporzionato, deve chiaramente dichiarare e giustificare queste lacune informative nel summary pubblicato.

Il Template si articola in tre sezioni principali. La prima richiede informazioni generali che identificano fornitore e modello, dettagli sui tipi di contenuto di training (testo, video, audio), dimensioni per modalità e caratteristiche generali dei dati di training. La seconda sezione riguarda la lista delle fonti dei dati, con categorie specifiche che includono dataset pubblici, dataset privati, contenuti raccolti tramite web scraping, dati degli utenti e dati sintetici.

Il web scraping richiede disclosure dettagliate: i fornitori devono indicare i nomi dei crawler utilizzati, i periodi di raccolta, una descrizione completa e dettagliata del contenuto raccolto e, elemento critico, una lista dei domini più rilevanti nel top 10% di quelli da cui è stato effettuato scraping da internet.

La terza sezione si concentra sugli aspetti rilevanti del processamento dei dati, direttamente collegati all’esercizio dei diritti delle parti con interessi legittimi sotto la legge dell’Unione, come il copyright. Include dettagli sulla rimozione di contenuti illegali dai dati di training.

Il summary deve essere pubblicato sul sito ufficiale del fornitore in modo chiaramente visibile e accessibile e reso disponibile anche su tutti i canali di distribuzione pubblica del modello. Gli aggiornamenti sono obbligatori ogni sei mesi, o prima se nuovi dati di training richiedono aggiornamenti materialmente significativi.

Per i modelli modificati, quando un soggetto a valle modifica un modello GPAI già sul mercato dell’Unione in modo tale da diventare fornitore del modello risultante, il Template deve includere solo informazioni sui contenuti di training utilizzati per la modifica, con chiaro riferimento al modello originale e al suo summary corrispondente.

Le sanzioni per la mancata pubblicazione possono arrivare fino al 3% del fatturato annuo totale mondiale del fornitore nell’anno finanziario precedente, o 15 milioni di euro, qualunque sia il maggiore. L’AI Office potrà procedere con azioni di enforcement dal 2 agosto 2026.

Rilevanza per le aziende non-GPAI: questa trasparenza obbligatoria offre alle aziende utilizzatrici strumenti preziosi per la due diligence sui fornitori. Analizzando i summary pubblicati, le aziende possono valutare la qualità e l’affidabilità dei dati di training, identificare potenziali rischi legali legati al copyright e verificare l’allineamento con i propri standard etici e di governance. L’uso obbligatorio del template standardizzato facilita inoltre i confronti tra diversi fornitori.

Cosa devono fare le aziende nei prossimi giorni e mesi

La convergenza di questi tre documenti crea un nuovo scenario normativo che richiede azione immediata da parte delle aziende, indipendentemente dal loro ruolo diretto nello sviluppo di modelli GPAI. Ecco alcuni suggerimenti sulle azioni concrete da valutare per limitare i rischi di non conformità:

Entro il 2 agosto 2025

• Verificare se i fornitori di modelli AI utilizzati dalla propria azienda hanno dichiarato se aderiranno o meno al Codice di Condotta.
• Richiedere conferma scritta ai fornitori sulla loro compliance agli obblighi GPAI dell’AI Act.
• Aggiornare i contratti con i fornitori di servizi AI per includere clausole specifiche sulla compliance normativa rispetto ai prossimi obblighi che saranno applicabili.

Entro fine agosto 2025

• Completare una mappatura aggiornata di tutti i sistemi AI utilizzati in azienda (facendo attenzione a distinguere cosa è AI in base all’AI ACT e cosa è automazione o software che non rientra nell’ambito di applicazione del Regolamento) identificando quelli che utilizzano modelli GPAI.
• Avviare una valutazione dei rischi legati ai sistemi implementati/sviluppati, con un focus particolare rispetto ai sistemi basati su modelli di fornitori che non aderiscono al Codice di Condotta.
• Implementare processi di monitoraggio continuo delle pubblicazioni di trasparenza dei fornitori

Entro fine 2025

• Sviluppare criteri interni per la selezione di fornitori AI che tengano conto degli obblighi di compliance normativa applicabili ai singoli fornitori a seconda della tipologia di sistema/modello che forniscono.
• Formare i team legal, procurement e IT sui nuovi obblighi, non solo relativi ai modelli GPAI, ma in generale sugli obblighi già in vigore (come quelli relativi alle pratiche proibite o alla alfabetizzazione) e sulla loro valutazione (possibilmente tramite l’integrazione di un tool LegalTech per ottimizzare l’attività).
• Preparare procedure per la gestione di eventuali non-conformità dei fornitori.

La vera sfida non è la corsa alla compliance dell’ultimo minuto, ma la costruzione di un equilibrio virtuoso tra innovazione e regolamentazione interna per evitare di ingessare il business in un momento in cui le aziende devono testare in rapidità cosa funziona e cosa serve davvero. Come con il GDPR nel 2018, la differenza tra responsabilità e accountability sarà cruciale: non basta fare, bisogna saperlo dimostrare.