Dal 2 agosto 2025 sono entrate in vigore nuove disposizioni che vanno a integrare la graduale applicazione del Regolamento Europeo sull’Intelligenza Artificiale (AI Act), operativo dal 2027.
Le novità riguardano, in primis, i grandi modelli generalisti di IA generativa.
In primis, le aziende che sviluppano e addestrano grandi modelli di Intelligenza Artificiale generativa come ChatGpt e Gemini hanno l’obbligo di nominare le Autorità e definire le sanzioni.
In parallelo, gli Stati Membri della UE devono adeguare i propri meccanismi di governance in materia. Nello specifico, i Governi devono nominare gli organi competenti per la vigilanza sul rispetto dell’AI Act e la definizione delle sanzioni per gli inadempienti.
In questo contesto, ricordiamo che in Italia è ancora in Parlamento il Ddl sull’Intelligenza Artificiale, che indica come autorità competenti l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). La Camera ha approvato a giugno un testo modificato rispetto a quello già passato in Senato, dove la legge è tornata in terza lettura.
I sistemi GPAI (General Purpose Artificial Intelligence) sono modelli di intelligenza artificiale non specializzati e di grandi dimensioni (come ad esempio ChatGpt, Gemini e Deepseek), che impiegano più di 10^23 FLOPS (operazioni in virgola mobile al secondo) e sono in grado di generare linguaggio sotto forma di testo scritto o contenuti audio, nonché di trasformare testi in immagini o video.
Perché si possa parlare di GPAI devono coesistere tutte queste caratteristiche: ad esempio, se il modello è addestrato con una capacità computazionale superiore a quella prevista ma è specializzato in una determinata funzione allora non rientra nella definizione che li riconduce ai nuovi obblighi. La definizione di GPAI e le istruzioni per gli sviluppatori e fornitori sono contenute nelle Linee Guida pubblicate dalla Commissione Europea.
I nuovi obblighi sono più o meno rigidi a seconda che il sistema sia considerato o meno ad alto rischio.
Nel primo caso, gli sviluppatori e fornitori devono rendere disponibile e aggiornare costantemente la documentazione tecnica, fornire tutte le informazioni necessarie ai soggetti che integrano i modelli nei propri sistemi, rispettare le normative europee sul diritto d’autore e sulla riservatezza, pubblicare i dati sui contenuti utilizzati per addestrare gli algoritmi.
Se poi il modello di IA è a rischio sistemico, le imprese che li sviluppano devono anche effettuare specifiche valutazioni, garantire elevati livelli di protezione, segnalare eventuali incidenti. Ci sono infine obblighi specifici per l’immissione sul mercato di questo modelli, operazione che richiede documentazione e procedure specifiche.
Possono adempiere a questi obblighi attraverso l’adesione al Codice di Conformità previsto dall’AI Act, che rappresenta una sorta di certificazione di compliance. Altrimenti, devono autonomamente dimostrare il rispetto delle sopra citate regole (disponibile anche un modello per i fornitori di GPAI da utilizzare a tale scopo).
Dette norme non si applicano ai modelli open source, che rendono pubblici per definizione tutti i parametri.
