Il 2 agosto 2025 diventano applicabili alcune disposizioni dell’AI Act, entrato in vigore nell’agosto del 2024, riguardanti in particolare governance, modelli di IA per finalità generali (GPAI) e sanzioni.

Con riferimento ai GPAI, la Commissione ha appena presentato, oltre ad alcune linee guida, anche la versione definitiva del Codice di buone pratiche, uno strumento importante per aiutare l’industria tech a conformarsi alla nuova normativa.

Governance e sorveglianza europea e nazionale

Da agosto 2025 l’Ufficio europeo per l’IA, istituito in seno alla Commissione, diventa pienamente operativo, con il compito di coordinare l’applicazione dell’AI Act.

Gli Stati membri sono chiamati a designare a livello nazionale le proprie autorità.

Il Disegno di legge 1146/24 (Ddl AI) – approvato dalla Camera il 25 giugno scorso ed attualmente in sede di esame al Senato – ha individuato le autorità competenti in Italia.

L’Agenzia per la Cybersicurezza Nazionale (Acn), identificata quale autorità di vigilanza, avrà il compito di presiedere le attività ispettive e sanzionatorie dei sistemi di IA, nonché di sovraintendere lo sviluppo dell’IA relativamente ai profili di cyber sicurezza.

L’Agenzia per l’Italia Digitale (AgID), designata quale autorità di notifica, si occuperà invece di definire e gestire le procedure per l’individuazione e il successivo monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di IA.

Il ruolo di Acn e AgID

Entrambe le agenzie hanno già avviato alcune iniziative con l’obiettivo di assicurare un’implementazione efficace della nuova normativa.

Per esempio, Acn ha aderito alle “Linee guida per uno sviluppo sicuro dell’Intelligenza Artificiale”, promosse nel 2023 dal National cyber security centre del Regno Unito.

AgID ha invece collaborato all’aggiornamento della Strategia italiana per l’intelligenza artificiale e ha presentato le “Linee Guida per l’adozione dell’intelligenza artificiale nella pubblica amministrazione”, la cui consultazione pubblica si è conclusa nel marzo del 2025.

Acn e AgID verranno supportate, ove necessario, anche da ulteriori autorità di vigilanza, che mantengono le loro competenze specifiche per settore (per esempio, bancario e assicurativo).

La vigilanza del Garante Privacy

Il Garante Privacy conserva tutte le proprie prerogative rispetto ai temi
legati alla protezione dei dati personali.

Quersta Autorità, peraltro, risulta una fra le più attive in Europa a livello di enforcement in ambito IA.

Innanzitutto ha avviato una serie di procedimenti anche nei confronti di importanti player tech americani e cinesi – a cui è stata contestata la violazione di alcuni elementi essenziali della disciplina privacy. Inoltre, rilasciato orientamenti, come il “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale”.

Considerato che i dati personali sono uno dei beni più a rischio in questo contesto tecnologico e l’attenzione che il Garante riserva all’IA, rimarcata anche nella relazione annuale presentata il 15 luglio scorso, è possibile aspettarsi che l’Autorità di controllo privacy, aldilà delle prerogative di Acn e AgID, manterrà un ruolo primario nella sorveglianza dell’intelligenza artificiale in Italia.

Modelli di IA per Scopi Generali (GPAI)

I modelli di IA per finalità generali (GPAI – General Purpose AI) possono essere impiegati nei contesti più diversi, dall’analisi dei dati fino allo sviluppo di contenuti di marketing.

I fornitori di questi modelli, in base alle nuove norme, dovranno:

• redigere ed aggiornare la documentazione tecnica del modello che intendono;
• immettere sul mercato europeo, fornendone una descrizione dettagliata e precisando le politiche per un uso accettabile;
• garantire la disponibilità al pubblico di informazioni sufficienti riguardo ai contenuti utilizzati per addestrare i modelli;
• rispettare la normativa europea sul diritto d’autore;
• garantire un adeguato livello di cybersicurezza.

Inoltre, per i modelli GPAI che presentano un rischio sistemico – ossia quelli con capacità o impatto sul mercato tali da poter causare danni significativi a livello europeo – si aggiungeranno requisiti più stringenti, come:

• valutazione del modello tramite protocolli e strumenti standardizzati;
• mitigazione dei rischi sistemici identificati;
• segnalazione tempestiva di incidenti gravi alle autorità competenti.

Scadenze, impatto e valutazione del rischio

I fornitori di modelli di GPAI immessi sul mercato europeo prima del 2 agosto 2025 avranno tempo fino al 2 agosto 2027 per conformarsi ai nuovi obblighi.

L’applicabilità delle disposizioni in oggetto ha un impatto non solo sugli sviluppatori, ma anche sui fornitori a valle (downstream provider) che integrano i modelli nei propri prodotti e sugli utilizzatori dei sistemi, che dovranno assicurarsi, prima di adottare la tecnologia, che la soluzione sia effettivamente conforme ai requisiti normativi, non solo a livello formale.

La valutazione del rischio legato alla tecnologia, peraltro, è una responsabilità anche dell’utilizzatore dei sistemi, non solo del fornitore.

In quest’ottica, il set di informazioni e garanzie fornite dal provider del modello rappresenta una risorsa necessaria per l’assessment, svolto in autonomia dal fornitore a valle o dal deployer, ai fini dell’individuazione delle tutele da implementare per un uso sicuro dell’AI.

Linee guida sui modelli di GPAI

Il 18 luglio 2025 la Commissione europea ha pubblicato le proprie linee guida che forniscono chiarimenti sui seguenti aspetti dei GPAI.

Definizione di “modelli di IA per uso generale”

Per capire se un modello di IA deve essere considerato un GPAI vanno considerati due aspetti:

• la quantità di dati utilizzati per addestrare i modelli;
• il livello di generalità delle azioni che il modello può compiere.

In linea di massima, i modelli linguistici (LLM) rientrano in questa categoria, perché tipicamente possono essere utilizzati in modo efficace per lo svolgimento di un numero molto ampio di compiti diversi.

I modelli che sono finalizzati, invece, alla creazione di immagini o video hanno minori possibilità di applicazione, ma potrebbero comunque essere considerati GPAI in certi casi.

Definizione dei soggetti “fornitori che immettono sul mercato modelli di GPAI”

La Commissione raccomanda di valutare ogni situazione in base alle specifiche circostanze.

A titolo esemplificativo, però, vengono considerati fornitori anche le società che sviluppano modelli rendendoli disponibili su di una repository online gestita da un terzo, o quelle che commissionano lo sviluppo di un modello a un terzo immettendolo in seguito sul mercato.

Si considera immesso sul mercato europeo anche un modello che venga reso disponibile per la prima volta tramite un’interfaccia di programmazione delle applicazioni (application programming interface), o quello che sia caricato su una repository pubblica che ne permetta il download diretto nell’UE.

Ulteriori chiarimenti

La Commissione fornisce anche ulteriori chiarimenti rilevanti:

• se un soggetto a valle integra un modello GPAI sviluppato da un fornitore iniziale in un sistema di IA e lo immette sul mercato europeo, tale soggetto diventa fornitore di quel sistema e di conseguenza deve rispettare tutti gli obblighi dell’AI Act;
• se le modifiche ad un modello GPAI già disponibile sul mercato alterano significativamente la generalità, la capacità o il rischio sistemico del modello originale, il modificatore diventa un fornitore.

Casi di esenzione dagli obblighi per i fornitori di modelli di GPAI

Perché un modello di GPAI sia esente da alcuni degli obblighi previsti dall’AI Act (quelli riguardanti, in particolare, la documentazione tecnica e la nomina di un rappresentante in Europa, per i fornitori stabiliti in paesi terzi) devono essere soddisfatte queste condizioni:

• il modello di IA deve essere rilasciato con licenza libera e open source, ad incentivare futuri sviluppi;
• non dovrebbe essere richiesto alcun compenso, né altra limitazione, per consentire l’accesso, l’utilizzo, la modifica e la distribuzione del modello. Tuttavia, è possibile prevedere alcune misure di sicurezza, per esempio un sistema di age verification, purché non risultino limitanti per chiunque voglia usare il modello.

La ratio di queste esenzioni è duplice. Da un lato, si vuole promuovere la ricerca e l’innovazione. Dall’altro, un modello immesso sul mercato con queste caratteristiche dovrebbe essere già dotato delle caratteristiche di trasparenza circa le informazioni sull’architettura e sull’uso dello stesso.

Per i modelli con rischio sistemico queste esenzioni non sono applicabili.

L’adesione a codice di buone pratiche

La Commissione ha chiarito che la conformità agli obblighi dell’AI Act da parte dei fornitori di modelli di GPAI può essere dimostrata aderendo volontariamente ad un codice di buone pratiche che sia riconosciuto come adeguato dall’ufficio per l’IA e dal Comitato, mentre la mancata adesione a tali codici comporta l’onere di dimostrare la conformità al Regolamento attraverso mezzi alternativi, che devono essere notificati all’Ufficio per l’IA, il quale potrebbe formulare richieste di informazione e di accesso alla documentazione lungo l’intero ciclo di vita del modello.

Le 3 sezioni del codice di buone pratiche sui modelli di GPAI

Il codice di buone pratiche – sviluppato da 13 esperti indipendenti con il contributo di oltre mille stakeholder tra aziende, accademici e società civile – è stato reso disponibile dalla Commissione lo scorso 10 luglio.

Il Codice è suddiviso in tre sezioni:

• trasparenza: il primo capitolo offre un «modulo di documentazione del modello» che consente ai fornitori di modelli di GPAI di documentare più agevolmente le informazioni necessarie per conformarsi all’obbligo di trasparenza previsto dall’AI Act;
• diritto d’autore: il secondo capitolo include indicazioni utili a garantire la conformità alla normativa europea sul diritto d’autore, ad esempio tramite la predisposizione di una policy o l’impegno a evitare di allenare i modelli usando contenuti protetti da diritti IP;
• sicurezza e protezione: il terzo capitolo delinea pratiche concrete per permettere ai fornitori di modelli di GPAI che presentano rischi sistemici di rispettare gli obblighi imposti dall’AI Act per tali modelli, ad esempio tramite la creazione, l’implementazione e l’aggiornamento di un “safety and security framework” da notificare all’Ufficio per l’AI.

Autorità e sanzioni

Il 2 agosto 2025 è la data entro la quale gli Stati membri devono stabilire a livello nazionale le norme relative alle sanzioni amministrative e alle altre misure di esecuzione, come avvertimenti e misure non pecuniarie, da applicare in caso di violazione dell’AI Act.

Il Ddl AI, entro tale data, dovrebbe quindi essere approvato. Le sanzioni collegate agli obblighi vigenti dal 2 agosto diventeranno dunque applicabili dopo un anno, a partire dal 2 agosto 2026, quando le autorità nazionali otterranno pieni poteri investigativi e sanzionatori.

Nel Ddl AI è prevista la delega al governo ad adottare i decreti legislativi necessari per adeguare la normativa italiana all’AI Act entro 12 mesi dall’entrata in vigore della legge, attribuendo formalmente alle autorità designate, AgID e ACN, il potere di imporre sanzioni.

Il quadro normativo applicabile in Italia, come si vede, è molto articolato e richiede quindi di essere monitorato attentamente nei suoi sviluppi da parte di tutte le organizzazioni impegnate nello sviluppo o nell’uso dei sistemi di IA perché siano garantiti il rispetto della legalità e la sicurezza delle persone.