Dopo la pubblicazione della versione definitiva del codice di condotta per le buone pratiche in merito all’intelligenza artificiale, la Commissione Europea ha fornito chiarimenti fondamentali riguardo agli obblighi previsti dall’AI Act. Queste linee guida toccano quattro aspetti chiave del tema:

1. La definizione dei modelli di intelligenza artificiale di uso generale;
2. L’identificazione dei fornitori che commerciano tali modelli;
3. Le esenzioni per i fornitori che rilasciano modelli di intelligenza artificiale generici sotto licenza libera o open-source, purché rispettino requisiti di trasparenza;
4. Il rispetto degli obblighi da parte dei fornitori di modelli di intelligenza artificiale generici.

Le linee guida hanno lo scopo di chiarire questi punti e offrire indicazioni utili a tutte le parti coinvolte nella catena di valore dell’IA, integrando così quanto già delineato nel codice di condotta sopra menzionato.

In questo contesto, la Commissione si propone di supportare le aziende fornendo utili raccomandazioni per garantire che i modelli di intelligenza artificiale siano documentati in modo tecnico, che le policy di compliance al copyright siano attuate, e che sia disponibile una sintesi pubblica dei contenuti impiegati durante il training. Inoltre, considerando l’importanza della cybersecurity, è essenziale prevedere valutazioni continue, un reporting efficace degli incidenti e, naturalmente, una protezione adeguata dei dati.

È importante sottolineare che queste linee guida, pur essendo caldamente raccomandate, non sono giuridicamente vincolanti. La supervisione di queste norme sarà gestita dall’AI Office, che applicherà un approccio collaborativo e proporzionato. Tuttavia, i suoi poteri di enforcement entreranno in vigore solo dal 2 agosto 2026, concedendo ancora un anno alle aziende per adeguarsi al nuovo sistema.

Per i fornitori di modelli di intelligenza artificiale generica (GPAI) a rischio sistemico, ci sono requisiti specifici. Essi devono valutare e mitigare continuamente i rischi sistemici, adottando misure idonee durante l’intero ciclo di vita del modello e garantendo un adeguato livello di protezione della cyber-sicurezza, inclusa l’infrastruttura associata al modello.

La nozione di “ciclo di vita” di un modello risulta cruciale per definire quali obblighi siano imposti ai fornitori di intelligenza artificiale generica a rischio sistemico. Questi obblighi includono la redazione e la conservazione di documentazione tecnica dettagliata sul modello, la comunicazione dei limiti e delle capacità del modello ai fornitori a valle, e il rispetto della normativa sul copyright, utilizzando tecnologie moderne per garantire il rispetto dei diritti.

I fornitori di modelli rilasciati con licenza libera o open-source possono essere esentati da alcuni di questi obblighi, a condizioni specifiche. Tuttavia, i fornitori di modelli di intelligenza artificiale generica a rischio sistemico, compresi quelli open-source, sono soggetti a obblighi aggiuntivi. Ad esempio, devono notificare alla Commissione quando sviluppano un modello a rischio sistemico e garantire la sicurezza del modello stesso.

Le aziende coinvolte nella produzione di intelligenza artificiale devono comprendere se rientrano tra i soggetti obbligati a rispettare queste nuove normative. A tal fine, la Commissione ha disposto criteri specifici, partendo dalla classificazione dei modelli e dal ruolo del fornitore sul mercato.

Un aspetto cruciale nella valutazione dei modelli di intelligenza artificiale generica è rappresentato dal concetto di “rischio sistemico”. Quest’ultimo si riferisce a un potenziale impatto negativo rilevante sul mercato dell’Unione, a causa dell’ampiezza di tali modelli o per effetti prevedibili sulle tematiche di salute pubblica, sicurezza o diritti fondamentali.

I modelli di GPAI a rischio sistemico richiedono pertanto obblighi più severi, che includono la conduzione di valutazioni sui modelli, la segnalazione di eventi critici e l’adozione di misure per garantire la sicurezza informatica. Inoltre, la Commissione ha stabilito che un modello di intelligenza artificiale generica a rischio sistemico è tale se soddisfa requisiti specifici di capacità ad alto impatto.

La notifica alla Commissione è un passo essenziale; i fornitori devono avvisare tempestivamente l’ente quando un modello soddis