Il 2 agosto 2025 diventano applicabili alcune disposizioni dell’AI Act, entrato in vigore nell’agosto del 2024, riguardanti in particolare governance, modelli di IA per finalità generali (GPAI) e sanzioni.
Con riferimento ai GPAI, la Commissione ha appena presentato, oltre ad alcune linee guida, anche la versione definitiva del Codice di buone pratiche, uno strumento importante per aiutare l’industria tech a conformarsi alla nuova normativa.
Da agosto 2025 l’Ufficio europeo per l’IA, istituito in seno alla Commissione, diventa pienamente operativo, con il compito di coordinare l’applicazione dell’AI Act.
Gli Stati membri sono chiamati a designare a livello nazionale le proprie autorità.
Il Disegno di legge 1146/24 (Ddl AI) – approvato dalla Camera il 25 giugno scorso ed attualmente in sede di esame al Senato – ha individuato le autorità competenti in Italia.
L’Agenzia per la Cybersicurezza Nazionale (Acn), identificata quale autorità di vigilanza, avrà il compito di presiedere le attività ispettive e sanzionatorie dei sistemi di IA, nonché di sovraintendere lo sviluppo dell’IA relativamente ai profili di cyber sicurezza.
L’Agenzia per l’Italia Digitale (AgID), designata quale autorità di notifica, si occuperà invece di definire e gestire le procedure per l’individuazione e il successivo monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di IA.
Entrambe le agenzie hanno già avviato alcune iniziative con l’obiettivo di assicurare un’implementazione efficace della nuova normativa.
Per esempio, Acn ha aderito alle “Linee guida per uno sviluppo sicuro dell’Intelligenza Artificiale”, promosse nel 2023 dal National cyber security centre del Regno Unito.
AgID ha invece collaborato all’aggiornamento della Strategia italiana per l’intelligenza artificiale e ha presentato le “Linee Guida per l’adozione dell’intelligenza artificiale nella pubblica amministrazione”, la cui consultazione pubblica si è conclusa nel marzo del 2025.
Acn e AgID verranno supportate, ove necessario, anche da ulteriori autorità di vigilanza, che mantengono le loro competenze specifiche per settore (per esempio, bancario e assicurativo).
Il Garante Privacy conserva tutte le proprie prerogative rispetto ai temi
legati alla protezione dei dati personali.
Quersta Autorità, peraltro, risulta una fra le più attive in Europa a livello di enforcement in ambito IA.
Innanzitutto ha avviato una serie di procedimenti anche nei confronti di importanti player tech americani e cinesi – a cui è stata contestata la violazione di alcuni elementi essenziali della disciplina privacy. Inoltre, rilasciato orientamenti, come il “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale”.
Considerato che i dati personali sono uno dei beni più a rischio in questo contesto tecnologico e l’attenzione che il Garante riserva all’IA, rimarcata anche nella relazione annuale presentata il 15 luglio scorso, è possibile aspettarsi che l’Autorità di controllo privacy, aldilà delle prerogative di Acn e AgID, manterrà un ruolo primario nella sorveglianza dell’intelligenza artificiale in Italia.
È stato di recente pubblicato da Anitec-Assinform il paper “Agenti di IA”, parte del più ampio progetto “Conoscere l’IA” mirato a promuovere maggiore conoscenza e consapevolezza sulle opportunità e le implicazioni dell’intelligenza artificiale nel sistema produttivo italiano.
Il rapporto conferma che il settore dell’intelligenza artificiale è uno dei comparti più promettenti e dinamici del panorama tecnologico attuale. In particolare, il comparto degli agenti IA è in forte espansione: nel 2024 il suo valore di mercato era di 5,1 miliardi di dollari e si prevede che supererà i 47 miliardi di dollari, con un tasso di crescita annuale composto superiore al 44% (fonte: Statista).
E non potrebbe essere diversamente, visti i benefici tangibili e diversificati che gli agenti di AI offrono a ogni tipo di organizzazione: le PMI potranno ottimizzare le risorse e scalare le proprie competenze; la PA vedrà migliorate efficienza, trasparenza e reattività. Con vantaggi che spaziano dall’automazione dei processi operativi alla conseguente riduzione dei costi, dall’incremento della produttività al miglioramento della qualità dell’esperienza cliente attraverso servizi più personalizzati, fino alla capacità di supportare decisioni più informate grazie all’analisi avanzata di grandi volumi di dati.
L’adozione degli agenti di AI, però, non è solo una sfida tecnologica, ma richiede un approccio integrato che includa aspetti organizzativi, culturali e normativi, richiedendo alle organizzazioni di definire ruoli chiari, garantire la supervisione umana, tutelare i dati sensibili e promuovere trasparenza, all’interno di una governance solida e strutturata.
Per questo motivo, il paper Anitec-Assinform delinea quattro direttrici principali:
Redazione
I modelli di IA per finalità generali (GPAI – General Purpose AI) possono essere impiegati nei contesti più diversi, dall’analisi dei dati fino allo sviluppo di contenuti di marketing.
I fornitori di questi modelli, in base alle nuove norme, dovranno:
Inoltre, per i modelli GPAI che presentano un rischio sistemico – ossia quelli con capacità o impatto sul mercato tali da poter causare danni significativi a livello europeo – si aggiungeranno requisiti più stringenti, come:
I fornitori di modelli di GPAI immessi sul mercato europeo prima del 2 agosto 2025 avranno tempo fino al 2 agosto 2027 per conformarsi ai nuovi obblighi.
L’applicabilità delle disposizioni in oggetto ha un impatto non solo sugli sviluppatori, ma anche sui fornitori a valle (downstream provider) che integrano i modelli nei propri prodotti e sugli utilizzatori dei sistemi, che dovranno assicurarsi, prima di adottare la tecnologia, che la soluzione sia effettivamente conforme ai requisiti normativi, non solo a livello formale.
La valutazione del rischio legato alla tecnologia, peraltro, è una responsabilità anche dell’utilizzatore dei sistemi, non solo del fornitore.
In quest’ottica, il set di informazioni e garanzie fornite dal provider del modello rappresenta una risorsa necessaria per l’assessment, svolto in autonomia dal fornitore a valle o dal deployer, ai fini dell’individuazione delle tutele da implementare per un uso sicuro dell’AI.
Il 18 luglio 2025 la Commissione europea ha pubblicato le proprie linee guida che forniscono chiarimenti sui seguenti aspetti dei GPAI.
Per capire se un modello di IA deve essere considerato un GPAI vanno considerati due aspetti:
In linea di massima, i modelli linguistici (LLM) rientrano in questa categoria, perché tipicamente possono essere utilizzati in modo efficace per lo svolgimento di un numero molto ampio di compiti diversi.
I modelli che sono finalizzati, invece, alla creazione di immagini o video hanno minori possibilità di applicazione, ma potrebbero comunque essere considerati GPAI in certi casi.
La Commissione raccomanda di valutare ogni situazione in base alle specifiche circostanze.
A titolo esemplificativo, però, vengono considerati fornitori anche le società che sviluppano modelli rendendoli disponibili su di una repository online gestita da un terzo, o quelle che commissionano lo sviluppo di un modello a un terzo immettendolo in seguito sul mercato.
Si considera immesso sul mercato europeo anche un modello che venga reso disponibile per la prima volta tramite un’interfaccia di programmazione delle applicazioni (application programming interface), o quello che sia caricato su una repository pubblica che ne permetta il download diretto nell’UE.
La Commissione fornisce anche ulteriori chiarimenti rilevanti:
Perché un modello di GPAI sia esente da alcuni degli obblighi previsti dall’AI Act (quelli riguardanti, in particolare, la documentazione tecnica e la nomina di un rappresentante in Europa, per i fornitori stabiliti in paesi terzi) devono essere soddisfatte queste condizioni:
La ratio di queste esenzioni è duplice. Da un lato, si vuole promuovere la ricerca e l’innovazione. Dall’altro, un modello immesso sul mercato con queste caratteristiche dovrebbe essere già dotato delle caratteristiche di trasparenza circa le informazioni sull’architettura e sull’uso dello stesso.
Per i modelli con rischio sistemico queste esenzioni non sono applicabili.
La Commissione ha chiarito che la conformità agli obblighi dell’AI Act da parte dei fornitori di modelli di GPAI può essere dimostrata aderendo volontariamente ad un codice di buone pratiche che sia riconosciuto come adeguato dall’ufficio per l’IA e dal Comitato, mentre la mancata adesione a tali codici comporta l’onere di dimostrare la conformità al Regolamento attraverso mezzi alternativi, che devono essere notificati all’Ufficio per l’IA, il quale potrebbe formulare richieste di informazione e di accesso alla documentazione lungo l’intero ciclo di vita del modello.
Il codice di buone pratiche – sviluppato da 13 esperti indipendenti con il contributo di oltre mille stakeholder tra aziende, accademici e società civile – è stato reso disponibile dalla Commissione lo scorso 10 luglio.
Il Codice è suddiviso in tre sezioni:
Il 2 agosto 2025 è la data entro la quale gli Stati membri devono stabilire a livello nazionale le norme relative alle sanzioni amministrative e alle altre misure di esecuzione, come avvertimenti e misure non pecuniarie, da applicare in caso di violazione dell’AI Act.
Il Ddl AI, entro tale data, dovrebbe quindi essere approvato. Le sanzioni collegate agli obblighi vigenti dal 2 agosto diventeranno dunque applicabili dopo un anno, a partire dal 2 agosto 2026, quando le autorità nazionali otterranno pieni poteri investigativi e sanzionatori.
Nel Ddl AI è prevista la delega al governo ad adottare i decreti legislativi necessari per adeguare la normativa italiana all’AI Act entro 12 mesi dall’entrata in vigore della legge, attribuendo formalmente alle autorità designate, AgID e ACN, il potere di imporre sanzioni.
Il quadro normativo applicabile in Italia, come si vede, è molto articolato e richiede quindi di essere monitorato attentamente nei suoi sviluppi da parte di tutte le organizzazioni impegnate nello sviluppo o nell’uso dei sistemi di IA perché siano garantiti il rispetto della legalità e la sicurezza delle persone.