Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

IA per scopi generali: cosa sono e come sono disciplinate dall’AI ACT?

22/05/2025
Laura Anna Terrizzi

Si avvicina il 2 agosto 2025: data di piena efficacia i modelli di AI per finalità generale.

Quindi data in cui diventano obbligatorio tutti gli adempimenti previsti per tale tipo di AI nel Regolamento UE 2024/1689 (c.d. “A.I. Act”).

Vediamo allora che cosa sono i modelli di AI per finalità generale e quali sono gli obblighi collegati.

Con il termine intelligenza artificiale per finalità generali (c.d. “GPAI”, acronimo di “general puropse artificial intelligence”) ci si riferisce a quei modelli di IA che, addestrati su un’enorme quantità di dati, sono capaci di apprendere dagli stessi e utilizzare le competenze acquisite per svolgere un'ampia gamma di compiti: dalla produzione di testi, a quella di contenuti audio/video fino al riconoscimento di immagini. Per tale ragione si parla di IA “generative”, novero entro il quale rientrano modelli quali ChatGPT, Copilot, Gemini e Claude.

GPAI “generici e sistemici”: cosa sono?

Prima di entrare nel vivo della regolamentazione delle GPAI, è fondamentale soffermarsi sulla definizione di “IA per finalità generali” secondo la versione definitiva dell’A.I. Act, approvata a maggio ed entrata in vigore ad agosto del 2024.

Ai sensi dell’art. 3 (63) dell’AI Act si tratta di “un modello di IA, anche laddove tale modello di IA sia addestrato con grandi quantità di dati utilizzando l'autosupervisione su larga scala, che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato”.

Si tratta dunque di modelli di uso generale che, per le loro caratteristiche funzionali, possono soddisfare un’ampia varietà di scopi e possono essere utilizzati come o con altri sistemi ed applicazioni di IA, comprese quelle ad alto rischio.

La nozione non ricomprende invece i modelli di IA sviluppati e messi in servizio al solo scopo di ricerca e sviluppo scientifici (art. 2., c.6) e neanche a quelli utilizzati prima della loro immissione sul mercato o messa in servizio solo per attività di ricerca, prova o sviluppo; attività che andranno invece svolte in conformità al diritto Unionale applicabile (art. 2., c.8).

Il Considerando 97 specifica però che tale ultima circostanza, non pregiudica l’obbligo di conformarsi al Regolamento quando, in seguito a tali attività, il modello venga immesso sul mercato.

Il legislatore europeo individua due categorie di modelli: modelli di IA per finalità generali e modelli di IA per finalità generali che presentano rischi sistemici.

La differenza più significativa risiede negli obblighi contemplati dal Regolamento, più stringenti per la seconda categoria, in quanto potenzialmente suscettibile di dar vita a rischi sistemici, ossia “[rischi specifici] per le capacità di impatto elevato dei modelli di IA per finalità generali, [aventi] un impatto significativo sul mercato dell'Unione a causa della [loro] portata o di effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica, la sicurezza, i diritti fondamentali o la società nel suo complesso, che può propagarsi su larga scala lungo l'intera catena del valore” (art. 3(65) A.I. Act).

Ad occuparsi in maniera specifica della disciplina dei modelli di IA per finalità generali è il Capo V del Regolamento e, in particolare, le disposizioni che vanno dall’art. 51 al 56.

Andiamo dunque ad analizzarne il contenuto, identificandone i tratti salienti.

I modelli di IA per finalità generali

Prima di addentrarci nella disciplina dettata dal Capo V, è opportuno precisare che i modelli di IA per finalità generali – che possono essere immessi sul mercato con diverse modalità (es: biblioteche, download diretto, interfacce di programmazione delle applicazioni) e sono suscettibili di essere ulteriormente modificati o perfezionati con nuovi modelli – non sono di per sé sistemi di IA, benché siano generalmente integrati in essi e ne facciano parte.

Laddove una tale evenienza si verificasse e, proprio in conseguenza dell’integrazione, il sistema acquistasse la capacità di perseguire varie finalità, ai sensi del Considerando 100, lo stesso dovrebbe considerarsi un “sistema di IA per finalità generali”.

Fatta questa necessaria premessa, possiamo quindi passare all’analisi delle disposizioni del Regolamento, che prevede obblighi specifici sia per i fornitori di modelli di IA per finalità generali, che per i loro rappresentanti autorizzati.

  • Gli obblighi per i fornitori

Il Considerando 97 contiene una serie di indicazioni preliminari concernenti gli obblighi per i fornitori di modelli di IA per finalità generali. In particolare, ne prevede l’operatività a partire dal momento in cui il modello è immesso sul mercato e specifica che deve considerarsi tale anche il modello del fornitore che vada ad integrare un sistema di IA (anch’esso del fornitore) già immesso sul mercato. In tal caso, troveranno applicazione congiunta gli obblighi previsti dal Regolamento sia per i modelli, che per i sistemi di IA.

Peraltro, ai sensi dell’art. 3(68) il fornitore che integri un modello di IA – fornito dallo stesso o da altra entità sulla base di relazioni contrattuali – viene denominato “fornitore a valle”.

Quanto ai veri e propri obblighi dei fornitori di modelli di IA per finalità generali, è l’art. 53, c. 1 a stabilire che essi sono tenuti a:

  • redigerne e mantenerne aggiornata la documentazione tecnica che deve contenere almeno le informazioni analiticamente elencate dall’ All. XI e, su richiesta, inviarne copia all’Ufficio per l’IA e alle autorità nazionali competenti (lett.a.);
  • coadiuvare i fornitori che intendono integrare il modello di IA per finalità generali nel loro sistema di IA elaborando, mantenendo aggiornate e mettendo a disposizione informazioni e documentazione (lett.b). Nell’adempiere a tale obbligo – fermo il rispetto e la protezione dei diritti di proprietà intellettuale, delle informazioni commerciali riservate o segreti commerciali secondo quanto previsto dalla normativa nazionale e unionale – sono tenuti a mettere a disposizione dei fornitori di sistemi di IA informazioni e documentazione contenente gli elementi previsti dall’ All. XII e idonea a garantire una buona comprensione delle capacità e dei limiti del modello, nonché l’adempimento degli obblighi del Regolamento (lett. c).

Sono tuttavia esentati dal rispetto dei predetti obblighi – pienamente operanti per i modelli di IA per finalità generali con rischi sistemici – i fornitori di modelli di IA rilasciati con licenza libera e open source, (ossia quei modelli che, ai sensi del Considerando 102, possono essere “condivisi apertamente e che gli utenti possono liberamente consultare, utilizzare, modificare e ridistribuire”);

  • redigere e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per addestrare il modello, secondo un modello fornito dall’Ufficio per l’IA.

Il Regolamento specifica inoltre che, in assenza di norme armonizzate, per dimostrare la conformità agli obblighi suesposti, i fornitori possono basarsi su codici di buone pratiche o, in caso di mancata adesione agli stessi, dimostrare mezzi alternativi adeguati di conformità, necessari ad ottenere l’approvazione da parte della Commissione.

  • Gli obblighi dei rappresentanti autorizzati

L’art. 54 detta un’apposita disciplina concernente gli obblighi dei rappresentanti autorizzati dei modelli di IA per finalità generali.

In particolare, stabilisce che, se è stabilito in un paese extra UE, prima dell’immissione sul mercato del modello, il fornitore debba nominare un rappresentante autorizzato stabilito nell’Unione.

La nomina avviene con apposito mandato scritto, in cui il fornitore – eccetto il fornitore di modelli di IA con licenza libera e open source, di cui al c. 6 – specifica i compiti che il rappresentante autorizzato può eseguire e che, su richiesta, andrà fornito all’Ufficio per l’IA in una delle lingue ufficiali dell’unione.

Il mandato – che abilita il rappresentante autorizzato ad essere interlocutore nei confronti dell’Ufficio per l’IA e delle autorità competenti in aggiunta o in sostituzione del fornitore – consente al rappresentante autorizzato l’esecuzione di determinati compiti.  

Più specificamente, il rappresentante autorizzato:

  • dovrà poter verificare che nella documentazione tecnica siano contenute tutte le informazioni richieste dall’All. XI e che il fornitore (sia di modelli di IA per finalità generali, si di quelli a rischio sistemico) abbia adempiuto agli obblighi previsti dal regolamento (lett. a);
  • nei confronti dell’Ufficio per l’IA:
  • tenere a disposizione una copia della documentazione tecnica per 10 anni dall’immissione sul mercato del modello e i dati di contatto del fornitore che lo ha nominato (lett. b);
  • fornirle tutta la documentazione e le informazioni necessarie ad attestare la conformità agli obblighi previsti dal Capo V (lett. c);
  • su richiesta, cooperare a qualsiasi azione intrapresa da essa (o dalle auttorità competenti) e riguardante il modello di IA per finalità generali, anche quando questo è integrato in sistemi di IA immessi sul mercato o messi in servizio nell’Unione.

Infine, dandone immediata comunicazione all’Ufficio per l’IA e specificandone i motivi, il rappresentante autorizzato ha facoltà di porre fine al mandato laddove ritenga o abbia motivo di ritenere che il fornitore non rispetti gli obblighi posti a proprio carico dal regolamento.

I modelli di IA per finalità generali che presentano rischi sistemici

Un modello di IA per finalità generali presenta un rischio sistemico se soddisfa una delle due condizioni contemplate dall’art. 51 del Regolamento e quindi:

  • se presenta capacità di impatto elevatovalutate sulla base di strumenti tecnici e metodologie adeguati, compresi indicatori e parametri di riferimento” (lett.a). Capacità che è invece presunta in presenza dei requisiti di calcolo contemplati dal c. 3;
  • se, tenuto conto dei criteri dettati dall’All. XIII, presenta una capacità o un impatto equivalenti a quelli di cui alla lett.a. In tal caso, la Commissione classifica il modello come “a rischio sistemico”, ex officio o su segnalazione qualificata del gruppo di esperti scientifici (lett.b).

L’AI act prevede poi un’apposita procedura che il fornitore di un modello che soddisfa la condizione di cui all’art. 51, lett. a., è tenuto a seguire.

In particolare, il fornitore di un modello che “presenta capacità di impatto elevato” dovrà notificare alla Commissione – entro due settimane o comunque dal momento in cui ne venga a conoscenza – il soddisfacimento del requisito, fornendo le informazioni necessarie a darne prova.  Unitamente alla notifica, il fornitore può presentare argomentazioni tali da dimostrare che, pur soddisfacendo il suddetto requisito, il modello ha caratteristiche tali da non provocare un rischio sistemico e che, pertanto, non dovrebbe essere classificato come tale. Laddove ritenesse non fondate le argomentazioni addotte dal fornitore, la Commissione le respinge, considerando il modello a rischio sistemico.

Resta fermo, peraltro, il potere della Commissione di designare – ex officio o su segnalazione qualificata del gruppo di esperti scientifici – un modello di IA per finalità generali come modello “con rischio sistemico” sulla base dei criteri individuati dall’ All. XIII. In tal caso, trascorsi almeno 6 mesi dalla designazione, il fornitore del modello può presentare alla Commissione richiesta motivata di nuova valutazione contenente “motivi oggettivi, dettagliati e nuovi emersi dopo la decisione di designazione”. Qualora quest’ultima decida di mantenere la designazione come modello di IA per finalità generali con rischio sistemico, il fornitore potrà comunque presentare nuova richiesta di valutazione non prima di sei mesi.

  • Gli obblighi dei fornitori

In aggiunta agli obblighi previsti dagli artt. 53 e 54 il Regolamento, all’art. 55, ne contempla di specifici per i soli fornitori di modelli di IA per finalità generali con rischio sistemico che, in particolare, sono tenuti a:

  • valutare i modelli conformemente a protocolli e strumenti standardizzati che rispecchiano lo stato dell’arte, nonché svolgere e documentare il c.d. adversarial test” del modello (ossia il test del contraddittorio) volto ad individuare e attenuare i rischi sistemici (lett. a);
  • valutare e attenuare i rischi sistemici che possono derivare dallo sviluppo, immissione sul mercato o uso dei modelli, nonché la loro possibili fonti di provenienza (lett. b);
  • tenere traccia, documentare e riferire all’Ufficio per l’IA e alle autorità competenti le informazioni sugli incidenti gravi e le eventuali misure correttive volte a rimediarvi (lett. c);
  • garantire un’adeguata protezione della cybersicurezza per il modello e la sua infrastruttura fisca (lett. d).

Il legislatore europeo stabilisce inoltre che, per dimostrare la conformità del modello ai suddetti obblighi, fino alla pubblicazione di una norma armonizzata i fornitori possono basarsi su codici di buone pratiche elaborati dalla Commissione ai sensi dell’art. 56. Laddove questi ultimi non vi aderiscano o non si conformino alle norme armonizzate europee, saranno comunque tenuti a dimostrare – ai fini della valutazione da parte della Commissione stessa – mezzi di conformità alternativi adeguati.

I Codici di buone pratiche

Ai fini della concreta applicazione della suesposta disciplina, fondamentale rilevanza avrà l’elaborazione, da parte della Commissione, di appositi Codici di buone pratiche, ai sensi dell’art. 56 del Regolamento.

Decisivo sarà in tal senso l’apporto dell’Ufficio per l’IA – ossia della “funzione della Commissione volta a contribuire all’attuazione, al monitoraggio e alla supervisione dei sistemi di IA e dei modelli di IA per finalità generali […]” – cui il legislatore europeo attribuisce il compito di garantire, insieme al comitato, che i codici definiscano chiaramente gli obiettivi specifici e contemplino le misure necessarie ad assicurarne il conseguimento, tenendo in debita considerazione le esigenze di tutte le parti coinvolte.

In particolare, essi mirano a garantire:

  • che i codici di buona condotta contemplino gli obblighi di cui agli artt. 53 e 55;
  • che le informazioni di cui all’ art. 53, par. 1, lett. a) e b) – e dunque la documentazione tecnica e le informazioni/ documentazione per i fornitori a valle – siano sempre aggiornate agli sviluppi tecnologici e di mercato;
  • che la sintesi dei contenuti utilizzati per l’addestramento del modello sia adeguatamente dettagliata;
  • che misure, procedure e modalità per la valutazione e gestione dei rischi sistemici nonché la relativa documentazione siano proporzionate agli stessi e tengano conto della loro gravità, probabilità di verificazione e modalità di emersione;
  • il monitoraggio e la valutazione periodica circa il rispetto degli obblighi e il conseguimento degli obiettivi, e la pubblicazione circa la reale adeguatezza dei codici.

L’Ufficio per l’IA può inoltre invitare tutti i fornitori di modelli di IA per finalità generali e le autorità nazionali a prendere parte all’elaborazione dei codici, e mira comunque a garantire che i partecipanti riferiscano periodicamente circa l’attuazione di impegni, misure adottate e relativi esiti.

Una volta approvati dalla Commissione mediante atto di esecuzione, l’Ufficio per l’IA può invitare i fornitori di modelli di IA per finalità generali ad aderire ai codici di buone pratiche, con l’avvertenza che se i modelli forniti non presentano rischi sistemici, l’adesione è limitata ai soli obblighi di cui all’art. 56, salva diversa dichiarazione (espressa) di volervi aderire integralmente.

Infine, alla luce delle norme emergenti – ma non solo – l’Ufficio incoraggia e agevola l’eventuale riesame dei codici nonché il loro adeguamento, oltre che fornire assistenza nell’attività di valutazione delle norme disponibili.
Da una tale ricognizione è possibile desumere la chiara centralità del ruolo attribuito dall’ A.I. Act all’Ufficio per l’IA: a fronte della competenza della Commissione – cui spettano compiti di vigilanza ed esecuzione – questo è infatti il vero e proprio responsabile dell’attuazione del Capo V.

Conclusioni

L’entrata in vigore della disciplina dettata dall’ A.I. Act per le GPAI è ormai alle porte.

Il Regolamento fissa infatti nel 2 maggio 2025 il termine entro cui finalizzare la versione definitiva del Codice di buone pratiche, e individua nel 2 agosto 2025 la data a partire dalla quale troveranno definitiva applicazione gli obblighi per i fornitori di modelli di IA per finalità generali che abbiamo sin qui analizzato.

Non resta dunque che aspettare la quarta e ultima versione del codice di buone pratiche (attesa l’11 maggio 2025) per avere una visione ancora più dettagliata del quadro appena descritto e le precisazioni necessarie a garantire un enforcement della regolazione chiaro e privo di dubbi.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA
AI - Intelligenza Artificiale
Share

Vuoi approfondire l'argomento?

Contattaci