Oggi, 2 agosto, l’Unione Europea vive un passaggio decisivo nella regolamentazione dell’intelligenza artificiale. Con l’entrata in vigore delle nuove disposizioni dell’AI Act, che è un regolamento a implementazione graduale, la legge europea sull’IA abbandona la fase preparatoria per imporsi come cornice vincolante per chi sviluppa, distribuisce e utilizza sistemi IA. È una svolta che riguarda ogni realtà del settore, ma con effetti differenziati a seconda della tipologia di modello, del momento del lancio e del livello di rischio associato.
Assistenza e consulenza
per acquisto in asta
Il primo elemento da chiarire riguarda i modelli di IA generici (abbreviati in GPAI, General Purpose AI), come i noti foundation model, e quindi in generale i modelli come quelli OpenAI, per esempio i “GPT-4”, ma anche i “Claude” di Anthropic. L’AI Act distingue nettamente tra i modelli immessi sul mercato prima e dopo il 2 agosto 2025.
I modelli distribuiti dopo il 2 agosto 2025 devono rispettare immediatamente tutti gli obblighi previsti: dalla documentazione tecnica completa e aggiornata, alla pubblicazione del sommario sui dati di addestramento, alle nuove policy di trasparenza e copyright, alle procedure di mitigazione dei rischi. Nessuna deroga è concessa.
- Sommario dei dati di addestramento: descrizione sintetica delle principali tipologie e fonti di dati utilizzate per addestrare il modello, incluse eventuali categorie protette da copyright e dati personali.
- Documentazione tecnica: informazioni sull’architettura del modello, sui metodi di addestramento, sui test effettuati e sulle metriche di performance e sicurezza adottate.
- Rapporto di trasparenza: spiegazione delle capacità, dei limiti, degli usi previsti e dei principali rischi connessi al modello; indicazioni e raccomandazioni per sviluppatori e utenti downstream.
- Policy sul rispetto del diritto d’autore: dichiarazione delle misure adottate per garantire la conformità alle norme sui diritti d’autore nell’uso dei dati di training; nel senso che le aziende devono dimostrare di aver adottato politiche, processi e cautele ragionevoli per rispettare la normativa UE sul diritto d’autore e i diritti connessi. Per esempio, non usare dati provenienti da siti che violano sistematicamente il copyright; non aggirare restrizioni tecniche di accesso, o rispettare il desiderio dei siti tramite robots.txt di non essere usati per l’addestramento delle IA.
- Misure di sicurezza e valutazione dei rischi: descrizione delle strategie implementate per prevenire abusi, incidenti o usi impropri del modello.
Per i modelli che invece erano già disponibili e attivi sul mercato prima del 2 agosto 2025, l’AI Act ha introdotto un periodo transitorio di adeguamento, riconoscendo la complessità di una compliance retroattiva.
Vuoi bloccare la procedura esecutiva?
richiedi il saldo e stralcio
Le aziende che gestiscono questi modelli hanno 24 mesi di tempo a partire da oggi per uniformarsi alle nuove regole (ecco perché alcuni pensavano che GPT-5 sarebbe stato presentato prima dell’entrata in vigore delle nuove norme). Entro il 2 agosto 2027 dovranno quindi aggiornare tutta la documentazione tecnica, pubblicare i sommari dei dati di training, adeguare i meccanismi di trasparenza verso utenti e integratori, adottare le policy sul copyright e mettere in campo le misure di mitigazione dei rischi previsti per i GPAI. Fino a quella scadenza, i modelli possono restare operativi, ma la mancata conformità oltre la deadline espone le aziende alle sanzioni previste.
L’AI Act introduce anche una disciplina specifica per i modelli di IA generici rilasciati come open source. Nel caso in cui un fornitore renda pubblicamente disponibili sia i pesi che l’architettura del modello, rendendo così il sistema completamente ispezionabile dalla comunità, sono previste alcune esenzioni dagli obblighi più onerosi di trasparenza e documentazione.
Tuttavia, questa apertura non è priva di limiti, perché se un modello open source viene considerato a rischio sistemico, cioè talmente potente o pervasivo da poter avere un impatto significativo sulla società o sulle infrastrutture critiche, tutte le esenzioni decadono e si applicano le stesse regole stringenti previste per i GPAI commerciali.
Chi supervisiona il rispetto dell’EU AI Act?
A livello di governance, oggi entra in funzione in modo pieno l’AI Office europeo, struttura centrale della Commissione UE incaricata di garantire applicazione omogenea e aggiornata dell’AI Act in tutti gli Stati membri.
Contabilità
Buste paga
L’AI Office non si limita a un ruolo consultivo, perché detta linee guida tecniche, coordina le autorità nazionali, supervisiona direttamente i modelli GPAI (specie quelli a rischio sistemico) e ha il potere di richiedere ispezioni, ordinare valutazioni tecniche indipendenti e irrogare sanzioni in caso di violazioni transfrontaliere o di mancanza di collaborazione da parte delle aziende.
Inoltre, funge da segretariato per il nuovo AI Board europeo, che raccoglie rappresentanti delle autorità nazionali, mentre è affiancato da un panel scientifico di esperti e da un forum consultivo aperto a società civile e industria.
l’Italia ha già completato la designazione delle proprie autorità nazionali competenti per l’AI Act, attività che altrimenti sarebbe scaduta oggi.
Assistenza e consulenza
per acquisto in asta
L’Agenzia per l’Italia Digitale (AgID) è stata confermata nel recente disegno di legge come autorità di notifica e supervisione delle procedure di accreditamento, mentre l’Agenzia per la Cybersicurezza Nazionale (ACN) ha assunto il ruolo di vigilanza e controllo, con competenza sia sanzionatoria che ispettiva.
In riferimento alle linee guida dell’AI Office, questo ufficio ha redatto il General‑Purpose AI (GPAI) Code of Practice, pubblicato il 10 luglio, con l’obiettivo di aiutare i fornitori di modelli generativi ad allinearsi gradualmente all’EU AI Act. Per il momento lo hanno firmato 26 società, tra cui Google, Amazon, Microsoft, IBM, OpenAI, Mistral AI. Anche xAI (la startup di Elon Musk) ha aderito, ma solo al capitolo “Safety and Security” del codice. Meta ha invece rifiutato la firma, e Apple non compare ancora tra i firmatari.
Il pericolo dei bias nascosti agli esseri umani: come un modello IA può “contagiare” un altro modello
Prestito condominio
per lavori di ristrutturazione
Quali sanzioni sono previste?
Le aziende che non rispetteranno le regole imposte dall’AI Act riceveranno sanzioni che andranno da 35 milioni di euro o il 7% del fatturato annuo globale (a seconda di quale sia il valore più alto) per le violazioni delle applicazioni di IA vietate; 15 milioni di euro o il 3% per le violazioni di altri obblighi; e 7,5 milioni di euro o l’1,5% per la fornitura di informazioni non corrette. Sono previsti tetti più proporzionati per le sanzioni amministrative per le PMI e le start-up in caso di violazioni della legge sull’IA.
Guardando avanti, i prossimi obblighi dell’EU AI Act
Nel nuovo quadro, il concetto di rischio è determinante anche per la tempistica dei prossimi obblighi. Oggi, come già in vigore da febbraio di quest’anno, restano assolutamente proibiti i sistemi a rischio inaccettabile, dal social scoring governativo, alla manipolazione comportamentale, al riconoscimento facciale indiscriminato senza consenso. Ma la vera attenzione si concentra ora sui cosiddetti sistemi IA ad alto rischio e sui prodotti integranti IA.
I sistemi IA ad alto rischio sono applicazioni che, se mal progettate o non adeguatamente controllate, possono incidere in modo significativo sulla vita delle persone, sulla loro sicurezza, sui loro diritti o sulle infrastrutture critiche. Si tratta, per esempio, di IA impiegate nella sanità (diagnosi, triage, gestione delle emergenze), nella giustizia, nell’istruzione, nell’accesso a servizi pubblici o privati essenziali, nel controllo delle frontiere, nell’impiego lavorativo, nella gestione dei trasporti o nei dispositivi medicali e industriali che incidono sulla sicurezza.
Vuoi acquistare in asta
Consulenza gratuita
Per tutti questi sistemi, dal 2 agosto 2026 scatteranno obblighi ancora più stringenti: la valutazione di conformità dovrà essere completata prima dell’immissione sul mercato o della messa in servizio, dovranno essere adottate procedure di sorveglianza post-vendita, mantenuti registri di funzionamento, garantita la supervisione umana dove prevista, e assicurate robuste misure di sicurezza informatica. Solo i sistemi che superano questi requisiti potranno circolare legittimamente in Europa.
Un ulteriore passaggio normativo è fissato per il 2 agosto 2027, quando diventeranno vincolanti le norme sui cosiddetti prodotti integranti IA per quanto riguarda le componenti di sicurezza. Qui si parla di prodotti che includono sistemi IA come parti essenziali per il funzionamento sicuro (per esempio, dispositivi medici, macchinari industriali, veicoli a guida autonoma) nei quali la componente IA ha una funzione di sicurezza certificata. Dal 2027, le aziende dovranno dimostrare la piena conformità delle parti IA responsabili della sicurezza prima di poter vendere o installare il prodotto sul mercato europeo.
Accanto a questi obblighi, l’AI Act prevede anche la nascita di almeno una sandbox regolamentare in ogni Stato membro entro il 2026, dove sperimentare in sicurezza nuove soluzioni IA sotto la supervisione delle autorità.
Queste sandbox possono essere utilizzate da imprese, startup, enti pubblici e centri di ricerca che sono stabiliti in uno Stato membro dell’Unione Europea, cioè che possiedono almeno una sede legale, filiale o presenza operativa sul territorio nazionale. Anche aziende extra UE possono accedere ai sandbox, ma solo se formalmente presenti nel Paese UE che li offre.
Prestito personale
Delibera veloce
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
