UniverseIT UniverseIT

L’AI Act entra nel vivo: in vigore dal 2 agosto 2025 le norme cruciali su trasparenza, governance e responsabilità

Autore: Nicoletta Boldrini

Il 2 agosto 2025 sono entrate in vigore ulteriori e fondamentali disposizioni del Regolamento (UE) 2024/1689, universalmente noto come AI Act. Il nuovo focus normativo sui sistemi di IA per finalità generali (GPAI) e sui loro modelli fondazionali introduce un regime giuridico organico basato su obblighi di trasparenza, governance e responsabilità.

Con l’Intelligenza Artificiale divenuta infrastruttura critica per l’economia e per i diritti fondamentali, l’Unione europea ha scelto la via di un regolamento - l’AI Act – che, proprio in virtù della sua natura giuridica, è direttamente applicabile negli Stati membri. Il testo è entrato formalmente in vigore il 1° agosto 2024, ma il legislatore ha previsto un’applicazione progressiva per consentire a imprese, autorità e organismi di valutazione della conformità di adattare governance e processi interni.

Dopo la prima ondata del 2 febbraio 2025, che ha reso operative le norme sui divieti assoluti (art. 5) e sull’alfabetizzazione all’IA, il 2 agosto 2025 segna la seconda fase di applicazione, oggetto di questo approfondimento: si attivano gli obblighi per i modelli di Artificial Intelligence di uso generale (GPAI), l’infrastruttura di governance europea ele disposizioni sanzionatorie.

AI Act: la regolamentazione dei modelli di IA per finalità generali (GPAI)

Il nucleo delle disposizioni vigenti dal 2 agosto 2025 è rappresentato dalla disciplina dedicata ai sistemi di IA per finalità generali (General-Purpose AI models), definiti come modelli capaci di eseguire una vasta gamma di compiti distinti. Il Regolamento riconosce la natura trasversale e l’impatto sistemico di tali tecnologie che costituiscono la base per innumerevoli applicazioni a valle. Per tale motivo, impone obblighi specifici e stratificati direttamente in capo ai fornitori di tali modelli, anche qualora questi non siano stabiliti nel territorio dell’Unione Europea ma i cui output siano in esso utilizzati.

Gli obblighi primari per tutti i fornitori di GPAI includono:

  • redazione e mantenimento della documentazione tecnica: i fornitori sono tenuti a elaborare una documentazione tecnica dettagliata, che deve essere costantemente aggiornata. Tale documentazione deve includere informazioni esaustive sui processi di addestramento (training), validazione e test del modello, nonché sulle metodologie impiegate per valutarne le performance, la robustezza e la prevedibilità;
  • trasparenza sui dati di addestramento: in una delle disposizioni più dibattute e significative, i fornitori devono redigere e rendere pubblico un sommario sufficientemente dettagliato dei contenuti utilizzati per l’addestramento del modello. Questa misura è esplicitamente finalizzata a garantire il rispetto della normativa sul diritto d’autore, consentendo ai detentori dei diritti di verificare l’utilizzo delle proprie opere e di esercitare le relative tutele;
  • fornitura di informazioni agli utilizzatori a valle: è necessario fornire agli sviluppatori di sistemi di IA a valle (i cosiddetti deployer) le informazioni e la documentazione necessarie per permettere loro di comprendere le capacità e i limiti del modello GPAI e, di conseguenza, di adempiere ai propri obblighi di conformità ai sensi del Regolamento.

Il concetto di “rischio sistemico” e gli obblighi qualificati

Consapevole del fatto che non tutti i modelli GPAI presentano il medesimo potenziale di impatto, il legislatore ha introdotto la nozione di “rischio sistemico”. Un modello GPAI è considerato portatore di tale rischio quando possiede capacità particolarmente elevate o un impatto significativo, valutato primariamente sulla base della potenza computazionale cumulativa impiegata per il suo addestramento (misurata in floating point operations o FLOPs). La Commissione Europea è delegata a specificare e aggiornare la soglia quantitativa che determina tale classificazione.

Per i fornitori di modelli GPAI con rischio sistemico, l’AI Act impone una serie di obblighi aggiuntivi e più stringenti:

  1. valutazione e mitigazione dei rischi: obbligo di effettuare una valutazione standardizzata dei rischi, di documentarla e di implementare misure adeguate alla loro mitigazione;
  2. test avversari del modello (Adversarial Testing): conduzione di test approfonditi per identificare e documentare eventuali vulnerabilità sistemiche;
  3. segnalazione di incidenti gravi: istituzione di un sistema per la segnalazione celere alla Commissione e alle autorità nazionali competenti di qualsiasi incidente grave che possa derivare dall’uso del modello;
  4. garanzie di cibersicurezza: adozione di misure robuste per assicurare un livello adeguato di protezione contro le minacce informatiche lungo l’intero ciclo di vita del modello;
  5. audit indipendenti: sottoposizione del modello e dei relativi processi di conformità a verifiche periodiche da parte di auditor indipendenti.

Obblighi di trasparenza per sistemi specifici

Oltre alla regolamentazione dei modelli fondazionali, le nuove norme rafforzano gli obblighi di trasparenza per tutti gli operatori che utilizzano sistemi di IA in contesti specifici, al fine di garantire che le persone fisiche siano sempre consapevoli di interagire con una macchina e non con un essere umano.

Le disposizioni chiave includono:

  • identificazione dell’Interazione Artificiale: i sistemi destinati a interagire con le persone, come chatbot o assistenti virtuali, devono essere progettati in modo da informare chiaramente e in modo inequivocabile gli utenti della loro natura artificiale;
  • riconoscimento dei contenuti artificiali: i contenuti audio, video, testuali o di immagine generati o manipolati artificialmente che rappresentino persone, eventi o luoghi in modo apparentemente autentico (comunemente noti come deepfake) devono essere chiaramente etichettati come artificiali. Esistono eccezioni limitate per opere artistiche, creative o satiriche, a condizione che vengano tutelati i diritti e le libertà di terzi;
  • sistemi di riconoscimento delle emozioni e categorizzazione biometrica: gli utilizzatori di tali sistemi devono informare le persone fisiche esposte al loro funzionamento.

Governance, vigilanza e regime sanzionatorio nell’AI Act

L’efficacia del quadro normativo è affidata a una nuova architettura di governance. Entro il 2 agosto 2025, ciascuno Stato membro è stato tenuto a designare una o più autorità nazionali competenti per la vigilanza del mercato. Queste autorità hanno il compito di monitorare l’applicazione del Regolamento, gestire le segnalazioni e condurre ispezioni.

A livello europeo, un ruolo centrale è svolto dall’Ufficio per l’Intelligenza Artificiale (AI Office), istituito in seno alla Commissione Europea. Tale ufficio avrà poteri di vigilanza specifici sui modelli GPAI con rischio sistemico, promuoverà l’elaborazione di codici di condotta e linee guida (come il già adottato GPAI Code of Practice) e garantirà un’applicazione armonizzata del Regolamento in tutta l’Unione.

Il mancato rispetto delle nuove disposizioni comporta un regime sanzionatorio particolarmente severo, concepito per avere un effetto deterrente. Le sanzioni amministrative pecuniarie possono raggiungere importi fino a 35 milioni di euro o il 7% del fatturato mondiale totale annuo dell’esercizio precedente per le violazioni più gravi, come quelle relative alle pratiche vietate o alla non conformità dei sistemi ad alto rischio. Per l’inosservanza di altri obblighi, le sanzioni possono arrivare fino a 15 milioni di euro (o il 3% del fatturato), mentre la fornitura di informazioni inesatte alle autorità è punita con multe fino a 7,5 milioni di euro (o l’1% del fatturato). Sono previste soglie proporzionate per le PMI e le startup.

In conclusione, l’entrata in vigore di questa tranche di norme dell’AI Act rappresenta un passaggio giuridico e culturale di eccezionale portata. L’Unione Europea consolida il proprio ruolo di normatore globale proponendo un modello regolatorio che cerca di bilanciare innovazione tecnologica e protezione dei valori democratici e dei diritti fondamentali. La sfida, ora, si sposta sul piano dell’implementazione pratica e dell’interpretazione uniforme, un processo complesso che impegnerà imprese, giuristi e istituzioni per gli anni a venire, determinando il futuro dell’intelligenza artificiale nel continente e, potenzialmente, nel mondo.

Nicoletta Boldrini
Tutti gli articoli di Nicoletta Boldrini

Articoli correlati