Dal 2 agosto 2025 si applicano gli obblighi del capo V dell’AI Act per i fornitori di modelli di IA per finalità generali. Il General-Purpose AI Code of Practice, consegnato alla Commissione il 10 luglio 2025 e sottoscritto da oltre venti fornitori, ne è lo strumento attuativo volontario: tre capitoli, dalla trasparenza al copyright fino alla sicurezza dei modelli a rischio sistemico. Come funziona, e cosa comporta aderire?
Nel quadro dell’AI Act i modelli di IA per finalità generali, c.d. GPAI, godono di un regime dedicato: il capo V del Regolamento (UE) 2024/1689, applicabile, ai sensi dell’articolo 113, lettera b), «a decorrere dal 2 agosto 2025». Ed è proprio su questo terreno che si è giocata la prima prova di co-regolazione dell’AI Act: il General-Purpose AI Code of Practice, ricevuto dalla Commissione europea il 10 luglio 2025. Riteniamo questa sia la sede opportuna per fare un po’ di chiarezza su natura, contenuti e conseguenze dell’adesione.
Gli obblighi del capo V: articoli 53 e 55
Giova muovere dalle basi normative. L’articolo 53, paragrafo 1, dispone che «i fornitori di modelli di IA per finalità generali: a) redigono e mantengono aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e prova e i risultati della sua valutazione»; seguono l’obbligo informativo verso i fornitori a valle (lettera b), l’obbligo di attuare «una politica volta ad adempiere al diritto dell’Unione in materia di diritto d’autore», anche al fine di «individuare e rispettare, anche attraverso tecnologie all’avanguardia, una riserva di diritti espressa a norma dell’articolo 4, paragrafo 3, della direttiva (UE) 2019/790» (lettera c), e l’obbligo di rendere pubblica «una sintesi sufficientemente dettagliata dei contenuti utilizzati per l’addestramento […] secondo un modello fornito dall’ufficio per l’IA» (lettera d).
Per i modelli con rischio sistemico, l’articolo 55, paragrafo 1, aggiunge oneri rafforzati: i fornitori «effettuano una valutazione dei modelli […] anche svolgendo e documentando il test contraddittorio (adversarial testing) del modello al fine di individuare e attenuare i rischi sistemici», oltre alla valutazione e attenuazione dei rischi a livello dell’Unione, alla segnalazione degli incidenti gravi e alla cibersicurezza.
Quanto allo strumento attuativo, l’articolo 56, paragrafo 1, prevede che «l’ufficio per l’IA incoraggia e agevola l’elaborazione di codici di buone pratiche a livello dell’Unione al fine di contribuire alla corretta applicazione del presente regolamento, tenendo conto degli approcci internazionali».
Il Code of Practice: natura e processo
Il Codice è, per espressa qualificazione della Commissione, uno strumento volontario elaborato da 13 esperti indipendenti, con il contributo di oltre 1.000 portatori di interessi, pensato per aiutare l’industria a conformarsi alle regole dell’AI Act sull’IA per finalità generali, che si applicheranno a decorrere dal 2 agosto 2025. La Commissione e il Comitato per l’IA ne hanno confermato l’adeguatezza: hanno cioè confermato che il Codice è uno strumento volontario adeguato affinché i fornitori di modelli GPAI dimostrino la conformità all’AI Act.
L’incentivo all’adesione è dichiarato: i firmatari del Codice beneficeranno di un ridotto onere amministrativo e di una maggiore certezza giuridica rispetto ai fornitori che dimostrino la conformità in altri modi. Alla data della nostra ultima ricognizione, i firmatari risultavano oltre venti, tra cui i principali fornitori internazionali ed europei, con la possibilità di aderire anche a un solo capitolo.
I tre capitoli
Il Codice si compone di tre capitoli: Trasparenza e Diritto d’autore, entrambi rivolti a tutti i fornitori di modelli di IA per finalità generali, e Sicurezza e Protezione, rilevante solo per un numero limitato di fornitori dei modelli più avanzati.
Il capitolo Trasparenza attua gli obblighi documentali e informativi: descrive tre misure che i firmatari si impegnano ad attuare per conformarsi ai propri obblighi di trasparenza ai sensi dell’articolo 53, paragrafo 1, lettere a) e b). Il cuore operativo è il Model Documentation Form, un modulo di documentazione del modello di agevole utilizzo che consente ai firmatari di raccogliere facilmente in un unico luogo le informazioni richieste.
Il capitolo Diritto d’autore è costruito attorno a un unico impegno, la copyright policy: i firmatari si impegnano a redigere, mantenere aggiornata e attuare tale politica sul diritto d’autore, articolata in misure che vanno dal rispetto delle riserve di diritti nel crawling alla mitigazione degli output contraffattivi. Con una precisazione da tenere ferma: l’adesione al Codice non costituisce conformità al diritto dell’Unione in materia di diritto d’autore e diritti connessi.
Il capitolo Sicurezza e Protezione, riservato ai fornitori di modelli con rischio sistemico, conta dieci impegni, a partire dal quadro di sicurezza: i firmatari si impegnano ad adottare un quadro di sicurezza e protezione all’avanguardia (Framework), la cui finalità è delineare i processi e le misure di gestione dei rischi sistemici che i firmatari attuano per assicurare che i rischi sistemici derivanti dai loro modelli siano accettabili.
Considerazioni
Tre notazioni ci paiono essenziali. In primo luogo, il Codice non è un porto franco: l’adesione agevola la dimostrazione di conformità, ma non la esaurisce, e gli obblighi del capo V restano la misura del dovuto. In secondo luogo, la dinamica è quella della co-regolazione: un corpo di impegni elaborato da esperti indipendenti con il facilitatore pubblico, destinato ad evolvere con lo stato dell’arte. Infine, per l’ecosistema italiano ed europeo dei deployer, la trasparenza documentale dei fornitori GPAI, si pensi al Model Documentation Form, è la precondizione per adempiere ai propri, distinti, obblighi.
Conclusioni
Il Code of Practice GPAI mette alla prova, per la prima volta, la scommessa regolatoria dell’AI Act: tradurre obblighi generali in impegni operativi condivisi, prima e oltre le norme armonizzate. La sua tenuta si misurerà nell’attuazione quotidiana e negli aggiornamenti che l’ufficio per l’IA saprà promuovere.
Alla luce di quanto esposto, ci si domanda se la via volontaria reggerà alla prova dei modelli più capaci: un codice di impegni vale quanto vale la sua attuazione, e la governance dei rischi sistemici che esso delinea protegge i diritti fondamentali soltanto se non resta sulla carta, a fronte di una tecnologia che evolve più in fretta di ogni codice.
