Recentemente, dopo la pubblicazione della versione finale del codice di condotta relativo alle buone pratiche nell’ambito dell’intelligenza artificiale, la Commissione Europea ha fornito ulteriori chiarimenti sugli obblighi previsti dall’AI Act. Queste linee guida si concentrano su quattro aspetti principali.
Il primo tema affrontato riguarda i modelli di intelligenza artificiale (IA) di uso generale, per i quali viene fornita una definizione chiara. Il secondo tema concerne i fornitori che introducono sul mercato i modelli di IA per uso generale, attraverso un processo di identificazione. Il terzo punto esamina le esenzioni da specifici obblighi per quei fornitori di modelli di IA rilasciati con licenza gratuita o open-source, a condizione che soddisfino determinati requisiti di trasparenza. Infine, il quarto tema analizza come i fornitori debbano rispettare gli obblighi per i modelli di IA di uso generale.
Queste linee guida mirano a chiarire le disposizioni e a fornire indicazioni utili a tutti gli attori della catena di valore dell’IA, in combinazione con il recente codice di condotta. La Commissione si prefigge di sostenere le aziende con suggerimenti pratici per implementare, tra l’altro, la documentazione tecnica del modello, le politiche di conformità per il copyright e un riepilogo pubblico dei dati utilizzati per l’addestramento.
In particolare, per i modelli a rischio sistemico, le linee guida sottolineano l’importanza di effettuare valutazioni continue, di segnalare eventuali incidenti e di garantire una protezione adeguata dei dati, concentrandosi sugli aspetti legati alla cybersecurity. È importante notare che queste linee guida non sono giuridicamente vincolanti, ma sono fortemente raccomandate.
Un ruolo chiave nella supervisione di queste pratiche è svolto dall’AI Office, che adotterà un approccio collaborativo e proporzionato per vigilare sull’applicazione delle norme. Tuttavia, i suoi poteri di enforcement saranno attivi solo dal 2 agosto 2026, offrendo così un anno di tempo alle aziende per conformarsi alle nuove regole.
Per i fornitori di modelli di IA generici con rischio sistemico, ci sono obblighi precisi da rispettare, tra cui la necessità di “valutare e mitigare costantemente i rischi”. Ciò implica che i fornitori devono garantire un adeguato livello di cybersicurezza attraverso l’intero ciclo di vita del modello. Il concetto di “ciclo di vita” è cruciale e determina gli obblighi dei fornitori verso i modelli di IA generici a rischio sistemico.
Tra le responsabilità legali, i fornitori di modelli di IA devono redigere e preservare la documentazione tecnica, condividendo dettagli sul processo di sviluppo con l’AI Office quando richiesto. Inoltre, devono fornire informazioni ai fornitori a valle circa le capacità e i limiti dei loro modelli per consentire un rispetto adeguato dei requisiti legali. Devono anche attuare politiche di conformità per il diritto d’autore e pubblicare una sintesi dettagliata del contenuto utilizzato per l’addestramento del modello, nominando un rappresentante autorizzato nell’Unione Europea se il modello è sviluppato al di fuori dell’UE.
I fornitori di modelli di IA generici rilasciati con licenza gratuita o open-source potrebbero essere esentati da alcuni obblighi, ancorché quelli a rischio sistemico devono comunque adempiere a requisiti aggiuntivi, come noti all’autorità competente quando sviluppano un modello ad alto impatto.
Affinché le aziende comprendano se devono rispettare gli obblighi dei modelli di IA generici, la Commissione ha definito criteri chiave. Ad esempio, le imprese devono prima assicurarsi che il modello rientri tra quelli di IA di uso generale e che siano effettivamente loro a immetterlo sul mercato.
Oltre ai requisiti normativi, i modelli di IA generici possono presentare “rischi sistemici”, definiti come rischi derivanti dalle capacità ad alto impatto dei modelli. Tali rischi possono influenzare significativamente il mercato dell’Unione Europea e causare effetti negativi sulla salute pubblica, la sicurezza o i diritti fondamentali.
Per quanto riguarda la classificazione del rischio, la legge stabilisce che un modello di IA di uso generale può essere considerato ad alto impatto se soddisfa determinati parametri, come la capacità computazionale o a seguito
