AI Act, la tagliola del 2 agosto: ecco che devono fare le imprese ora

Il problema dell’attuazione AI Act il 2 agosto 2025

L’AI Act, approvato e pubblicato nella Gazzetta ufficiale dell’Unione il 12 luglio 2024, impone un cambio di passo profondo, non solo nell’adozione delle tecnologie ma nella governance giuridica ed etica del digitale, tuttavia, nel mentre la norma muove i suoi primi passi verso l’entrata in vigore a scaglioni, il tessuto imprenditoriale, specie quello composto da PMI, chiede tempo, comprensione, supporto.

La richiesta di “stop the clock” formalizzata da Anitec-Assinform in occasione della visita in Italia della relatrice Henna Virkkunen manifesta con chiarezza una tensione sistemica: il desiderio di innovare si scontra con l’opacità applicativa di un regolamento che, pur ispirato a princìpi nobili, risulta ancora di difficile digestione tecnica per gran parte degli operatori economici.

Cosa è un GPAI per AI ACT

Nel dettaglio vediamo gli obblighi per i fornitori di modelli AI detti general purpose, ossia le aziende rappresentate da Anitec-Assinform.

Un GPAI per AI Act è:

Un modello di intelligenza artificiale che può essere utilizzato per una vasta gamma di compiti, non specificamente progettato o limitato a un’applicazione particolare.

Un GPAI è un modello di base, come ad esempio un modello linguistico, visivo o multimodale, che può essere:

• usato “as-is” da utenti finali per compiti generici (es. scrivere testi, tradurre, generare immagini);
• riutilizzato o adattato da sviluppatori per costruire sistemi AI più specifici (es. AI per la medicina, la finanza, la customer care, ecc.).

Obblighi per fornitori di modelli GPAI – dal 2 agosto 2025

I fornitori devono:

1. Documentazione tecnica obbligatoria
   • Dettagli su architettura, dati di training, metodi di valutazione, prestazioni e limiti del modello.
2. Sintesi pubblica delle fonti di addestramento
   • Elenco generale delle fonti dei dati usati per l’addestramento (es. Wikipedia, dataset pubblici, libri, web).
3. Trasparenza verso gli utilizzatori downstream
   • Fornire istruzioni d’uso, limiti noti e rischi per chi integra o modifica il modello.
4. Policy sul copyright
   • Dichiarare se e come si è tenuto conto dei diritti d’autore nei dati di addestramento.
5. Adesione (volontaria) al codice di condotta
   • È fortemente raccomandata, ma non obbligatoria. Chi aderisce beneficia di una presunzione di conformità.

Obblighi per utilizzatori di modelli GPAI – dal 2 agosto 2025

Altri obblighi valgono per aziende che integrano, adattano, commercializzano modelli GPAI

1. Obbligo di trasparenza sull’uso dell’AI
   • Se si utilizza il modello in un contesto accessibile al pubblico, l’utente deve essere informato chiaramente che sta interagendo con un sistema AI.
2. Attenzione alla modifica del modello GPAI
   • Se l’utilizzatore modifica in modo sostanziale il modello (es. fine-tuning su larga scala), dal 2 agosto 2025 può essere considerato a sua volta fornitore e assumere gli stessi obblighi del fornitore originale.
3. Preparazione per eventuale classificazione come “alto rischio”(non ancora attiva dal 2 agosto 2025)
   • L’obbligo di conformità per applicazioni ad alto rischio scatterà solo dal 2026, ma le aziende devono iniziare a prepararsi.

Due strumenti per attuare l’AI Act

In tale contesto emergono per fortuna due strumenti che, seppur diversi per natura e valore normativo, possono già oggi essere considerati vere e proprie bussole operative per il mondo produttivo: da un lato la nota strategica di Anitec-Assinform, dall’altro le linee guida europee su Gpai da usare con il codice di condotta sui GPAI (AI di general purpose).

La prima, pur non avendo forma giuridicamente vincolante, rappresenta la cristallizzazione pubblica di un bisogno diffuso: quello di una regolazione dell’intelligenza artificiale che non si limiti a prescrivere obblighi, ma accompagni le imprese – in particolare le PMI – in un percorso di adeguamento sostenibile, tecnicamente realistico e coerente con le capacità organizzative dei soggetti destinatari.

Agenti AI, tutto ciò che le aziende devono sapere: la guida

Linee guida Ue per fornitori GPAI

Allo stesso modo, le linee guida europee sui GPAI – adottate dalle massime autorità europee in materia di protezione dei dati e sorveglianza digitale – si configurano già oggi come la prima concreta articolazione del principio di accountability previsto dal regolamento. Esse vanno oltre il commento normativo e si pongono come schema applicativo: definiscono con esattezza chi è il provider di un modello ad uso generale, quali obblighi gli competano in materia di documentazione tecnica, tracciabilità, valutazione d’impatto, governance dei dati, audit indipendenti, misure di sicurezza e trasparenza, ma soprattutto, indicano che tali obblighi non sono confinati allo sviluppatore puro, bensì si estendono a chi adatta, integra, distribuisce o rende disponibili sistemi fondazionali in contesti d’uso secondari.

Le linee guida, abbinate a un codice di condotta volontario — cui alcuni attori come Meta hanno già annunciato di non aderire — articolano il quadro degli obblighi in tre direttrici principali: la definizione di modello GPAI, l’individuazione dei fornitori soggetti agli obblighi, le condizioni per beneficiare delle esenzioni, in particolare per i modelli open source.

È definito general purpose un modello addestrato con risorse di calcolo superiori a 10²³ TFLOP, in grado di generare contenuti multimodali (testo, codice, voce, immagini, video) e dotato di un numero di parametri tipicamente superiore al miliardo, sono invece classificati come modelli GPAI con impatto sistemico quelli addestrati con potenza superiore a 10²⁵ TFLOP, soggetti a obblighi ulteriori di valutazione e mitigazione dei rischi per la salute pubblica, la sicurezza, i diritti fondamentali, la società e la prevenzione della perdita di controllo.

Le linee guida specificano, inoltre, che rientra tra i fornitori solo chi immette sul mercato un modello o ne apporta modifiche strutturali rilevanti; chi si limita a personalizzazioni marginali potrà essere escluso dagli obblighi diretti. Inoltre, i modelli rilasciati con licenza open source possono beneficiare di esenzioni mirate, purché rispettino requisiti minimi di trasparenza, tracciabilità e responsabilità, delineando così un equilibrio tra innovazione aperta e affidabilità giuridica.

Non secondario è poi il richiamo a un approccio pragmatico e modulare che consente un graduale allineamento: infatti, le linee guida fungono da ponte tra il testo regolamentare e il Codice di Pratica GPAI, la cui entrata in vigore è anch’essa prevista per il 2 agosto 2025 che fornisce strumenti chiari per strutturare fin da subito percorsi di conformità integrata.

Perché le imprese dovrebbero tenerne conto? Innanzitutto, perché stabiliscono lo standard minimo di diligenza per tutti gli operatori che sinora si muovevano in un contesto di incertezza giuridica, consentendo così di impostare una compliance by design, fondata su documentazione tecnica, governance dei dati, valutazioni del rischio e presìdi di sicurezza, in secondo luogo, perché a partire dal 2 agosto 2026 la Commissione avvierà i controlli ispettivi e potrà imporre sanzioni in caso di violazioni, rendendo l’adeguamento normativo non più rinviabile e trasformandolo in leva competitiva in termini di reputazione, affidabilità contrattuale e accesso al mercato europeo.

Infine – non per importanza – perché adottare già ora le linee guida consente di costruire un rapporto proattivo con le autorità di riferimento, prevenire inefficienze e ambiguità regolatorie e posizionarsi strategicamente in un ecosistema normativo sempre più esigente, in cui chi non si allinea rischia di trasformare la conformità in un ostacolo invece che in un’opportunità strutturale di valore.

La loro rilevanza, pertanto, è duplice: da un lato permettono alle imprese di cominciare subito a costruire la propria compliance secondo una traiettoria coerente con il futuro impianto sanzionatorio dell’AI Act, dall’altro contribuiscono a definire lo standard di diligenza professionale atteso in sede civilistica e amministrativa. Non è più il tempo della neutralità normativa: l’impresa che oggi decide di operare nell’IA senza tener conto delle indicazioni contenute in questi documenti si espone non solo a futuri rischi sanzionatori, ma anche a forme di responsabilità contrattuale, reputazionale e concorrenziale che il diritto positivo sta progressivamente integrando nel principio generale di responsabilità algoritmica.

Scadenze principali AI ACT

Cosa deve fare un’azienda che usa GPAI per attuare l’AI ACT

Ma se questo è il quadro per i grandi attori del settore, la domanda centrale rimane aperta: che cosa può e deve, fare oggi un’impresa italiana che utilizza o integra sistemi di intelligenza artificiale in vista dell’applicazione del regolamento, considerato anche il probabile slittamento operativo?

La risposta, sebbene non univoca, può essere costruita secondo una logica di gradualità strategica:

• in primo luogo è necessario avviare una mappatura interna dei sistemi IA utilizzati, distinguendo quelli a rischio in base alle categorie previste dal regolamento (proibiti, alto rischio, limitati, GPAI, etc.). Tale esercizio – che impone un’interlocuzione tra area tecnica e funzione legale – consente di avere un perimetro di responsabilità sul quale ragionare;
• in secondo luogo è opportuno costruire una governance interna dell’IA, anche provvisoria, che attribuisca ruoli e compiti alle funzioni aziendali coinvolte (IT, compliance, DPO, legal, direzione strategica), affinché le scelte tecnologiche non restino isolate ma siano guidate da criteri di rischio, sostenibilità e responsabilità.;
• in terzo luogo, le imprese dovrebbero iniziare a raccogliere la documentazione utile ad affrontare, quando sarà il momento, le richieste di trasparenza e tracciabilità previste dalla normativa: schede tecniche, specifiche dei dataset, report di testing, valutazioni etiche, audit interni.

Non si tratta di mera “conformità formale”, ma di preparazione sostanziale, una compliance “possibile” che non aspetta l’entrata in vigore ma costruisce fin d’ora i presupposti di legalità, facendo sì che diventi così necessario leggere il momento attuale non come un limbo regolatorio ma come un laboratorio di riflessione.

L’AI Act si propone infatti come l’affermazione di una nuova architettura dei poteri tra pubblico e privato, tra innovazione e dignità, è una legge che chiede sicuramente cultura e non solo procedure.
E in questo senso la richiesta di rinvio, pur legittima nella prospettiva delle imprese, non può essere usata come alibi per l’inazione. L’orizzonte è senza dubbio tracciato: la regolazione europea dell’intelligenza artificiale sarà un terreno di misurazione della maturità istituzionale e industriale del continente.

Ricordiamo che le sanzioni scatteranno dal 2 agosto 2026. Un anno, quindi.

E tuttavia: in apparenza, l’intervallo temporale che separa l’adozione formale di una norma dalla sua piena applicazione sembra offrire una tregua, uno spazio neutrale in cui le imprese possano prendere fiato, ma in realtà, è un tempo denso, carico di significato, in cui si compie la selezione silenziosa tra chi agisce proattivamente e chi attende passivamente, questo tempo è il vero banco di prova della maturità sistemica del tessuto industriale europeo: è qui che si misura la capacità di anticipare il diritto, di interpretarne lo spirito prima ancora della lettera, di costruire internamente processi, strutture, linguaggi conformi non per obbligo, ma per visione.