Con la pubblicazione ufficiale del Codice di buone pratiche sull’IA per finalità generali da parte della Commissione europea, avvenuta il 10 luglio 2025, si apre una nuova fase per l’adozione volontaria di misure conformi agli obblighi previsti dal Regolamento europeo sull’IA.

Il Codice rappresenta uno strumento non vincolante che ha lo scopo di guidare i fornitori di modelli di intelligenza artificiale general purpose verso l’adeguamento anticipato rispetto alle disposizioni applicabili a partire da agosto 2025.

Il codice di condotta IA

L’iniziativa si inserisce nel percorso delineato dal Regolamento (UE) 2024/1689, che stabilisce un quadro giuridico per l’uso sicuro e trasparente dell’IA nei contesti economici e sociali dell’Unione europea, con un’attenzione particolare ai modelli di tipo generativo capaci di produrre contenuti complessi e realistici in autonomia.

L’obiettivo principale è quello di promuovere un approccio responsabile allo sviluppo e all’utilizzo dei sistemi GPAI (General-Purpose AI) attraverso la definizione di pratiche standardizzate e condivise, in attesa che gli obblighi
normativi diventino pienamente applicabili.

La consultazione multi-stakeholder

Il Codice è il risultato di un processo di consultazione multi-stakeholder promosso dalla Commissione tramite l’AI Office, che ha coinvolto tredici esperti indipendenti e oltre mille soggetti tra organizzazioni industriali, enti di ricerca, rappresentanze della società civile, portatori di interesse nel campo della proprietà intellettuale e sviluppatori di tecnologie AI.

Le 3 sezioni del Codice di condotta IA

Il documento si compone di tre sezioni principali: trasparenza, tutela del diritto d’autore, sicurezza e mitigazione dei rischi sistemici.

La prima sezione: documentare i modelli AI

Nella prima sezione si specificano i criteri per documentare i modelli AI in modo coerente con quanto previsto dall’articolo 53 del Regolamento, con l’introduzione di schemi comuni per la rendicontazione dei dati di addestramento, delle fonti utilizzate e delle caratteristiche tecniche rilevanti.

Tale documentazione dovrà essere redatta in un formato standard aperto e dovrà accompagnare ogni modello generativo distribuito all’interno del mercato europeo.

È prevista inoltre l’indicazione delle licenze associate ai dati, dei framework normativi di riferimento e dei meccanismi di audit eventualmente integrati.

La seconda sezione: la protezione del diritto d’autore

La seconda sezione riguarda la protezione del diritto d’autore e definisce le misure che i fornitori sono invitati ad adottare per assicurare la conformità alle disposizioni in materia di proprietà intellettuale.

In linea con il Regolamento, viene richiesto di implementare politiche di esclusione dei contenuti protetti durante la fase di training, nonché l’introduzione di sistemi per la segnalazione delle violazioni da parte di titolari di diritti.

Si prevede inoltre la possibilità di nominare un referente interno per le questioni di copyright, responsabile della gestione dei reclami, delle verifiche documentali e delle interlocuzioni con le autorità competenti.

Questo segmento del Codice risponde alla necessità di garantire un equilibrio tra innovazione tecnologica e tutela dei diritti, evitando che la diffusione dei modelli generativi avvenga in assenza di controlli efficaci sulla legalità delle fonti impiegate.

Terza sezione: i modelli a rischio sistemico

La terza sezione si applica esclusivamente ai cosiddetti modelli a rischio sistemico, una categoria introdotta dal Regolamento per identificare i sistemi di intelligenza artificiale general purpose dotati di capacità e impatti potenzialmente significativi su larga scala.

Tra i criteri previsti per l’identificazione di tali modelli figurano le dimensioni dei parametri, la potenza computazionale impiegata, la portata applicativa e l’autonomia funzionale.

Per questi modelli, il Codice introduce obblighi volontari di sicurezza rafforzata, come l’esecuzione periodica di audit indipendenti su base volontaria, l’adozione di misure tecniche avanzate di protezione, la segregazione delle componenti critiche, il monitoraggio continuo delle prestazioni e l’attivazione di protocolli di risposta in caso di uso improprio.

Queste misure intendono prevenire gli scenari di rischio sistemico derivanti da vulnerabilità tecnologiche, attacchi informatici, malfunzionamenti imprevisti o manipolazioni da parte di soggetti terzi.

Codice di condotta IA: i vantaggi

Il valore operativo del Codice risiede nel fatto che la sua adozione consentirà alle aziende aderenti di beneficiare della presunzione di conformità, nei limiti previsti dal Regolamento, rispetto agli obblighi imposti in materia di trasparenza e mitigazione dei rischi, con una conseguente riduzione degli oneri amministrativi e dei tempi legati alle attività di verifica.

Questo aspetto risulta particolarmente rilevante per le piccole e medie imprese che intendano immettere sul mercato modelli generativi o servizi basati su GPAI, in quanto consente un accesso facilitato alla compliance senza compromettere la qualità dei requisiti di trasparenza e sicurezza.

Le imprese potranno inoltre dimostrare ai propri utenti, partner commerciali e organismi regolatori di aver adottato standard riconosciuti a livello europeo, migliorando la propria posizione competitiva e rafforzando la fiducia nel proprio operato.

Linee guida applicative e modelli esemplificativi

Il Codice è corredato da linee guida applicative e modelli esemplificativi che saranno aggiornati periodicamente a cura dell’AI Office.

Tali materiali includono chiarimenti su concetti chiave quali modello GPAI, rischio sistemico, downstream provider, responsabilità condivisa e documentazione tecnica.

La Commissione ha specificato che, nonostante la natura volontaria dello strumento, i firmatari saranno chiamati a rispettarne integralmente le disposizioni, pena la perdita del beneficio di presunzione di conformità.

È previsto inoltre un sistema di monitoraggio ex post, volto a valutare il grado di aderenza delle imprese aderenti rispetto agli impegni assunti.

Le aziende valutano le condizioni per l’adesione

Alla data di pubblicazione del Codice, diverse imprese attive nel settore dell’intelligenza artificiale hanno avviato una valutazione interna delle condizioni per l’adesione, tra cui soggetti europei e internazionali che sviluppano modelli di grandi dimensioni.

L’interesse espresso da numerosi attori industriali suggerisce una potenziale adozione ampia dello strumento, soprattutto nei primi mesi successivi all’entrata in vigore del Regolamento.

Il Codice si presenta dunque come un meccanismo ponte tra la fase di transizione regolatoria e la piena applicazione della normativa vincolante, favorendo l’introduzione progressiva di regole comuni per l’intero ecosistema AI europeo.

Codice di condotta IA in vigore dal 2 agosto

L’entrata in vigore del Codice, fissata per il 2 agosto 2025, renderà il Codice pienamente operativo.

In seguito, le organizzazioni che aderiranno al percorso volontario potranno ottenere un riconoscimento ufficiale di conformità anticipata, con possibilità di semplificazione delle procedure di notifica, sorveglianza e audit.

In prospettiva, l’efficacia del Codice sarà legata alla capacità del mercato di integrarne i contenuti all’interno dei propri modelli di governance e sviluppo tecnologico, promuovendo pratiche di responsabilità, trasparenza e sicurezza informatica lungo tutta la catena di produzione e utilizzo dell’IA.