Il 18 luglio 2025 la Commissione europea ha pubblicato le Linee guida sull’ambito delle obbligazioni per i modelli di intelligenza artificiale per finalità generali (premere qui per leggere), previste dal Regolamento (UE) 2024/1689 (AI Act). Queste linee guida chiariscono i profili più complessi dell’applicazione della normativa, con particolare attenzione ai modelli general-purpose e ai modelli considerati a rischio sistemico.
Il ruolo dei modelli di intelligenza artificiale general-purpose
La Commissione definisce come general-purpose AI model quei modelli capaci di eseguire un’ampia gamma di compiti distinti, integrabili in diversi sistemi e applicazioni. Non rientrano invece in questa categoria i modelli sviluppati esclusivamente per attività di ricerca o prototipazione.
Elemento cruciale per la qualificazione è il training compute, ossia la quantità di risorse computazionali impiegate nell’addestramento. Un modello che supera la soglia di 10^23 FLOP e che sia in grado di generare linguaggio, immagini o video viene in via indicativa considerato un modello di intelligenza artificiale general-purpose.
La categoria dei modelli con rischio sistemico
Il regolamento introduce la figura dei general-purpose AI models with systemic risk, ossia modelli talmente potenti da poter produrre impatti rilevanti su salute, sicurezza, diritti fondamentali e mercato interno.
Un modello è presunto a rischio sistemico quando l’addestramento supera i 10^25 FLOP. In tali casi, i provider sono sottoposti ad obblighi ulteriori:
- valutazioni periodiche delle capacità e dei rischi,
- notifica immediata alla Commissione,
- gestione continua degli incidenti gravi,
- garanzie di cybersecurity avanzata lungo tutto il ciclo di vita del modello.
Provider e obblighi lungo la catena del valore
La qualifica di provider non riguarda solo chi sviluppa ex novo un modello, ma anche chi lo immette sul mercato sotto il proprio nome o marchio, persino a titolo gratuito. La nozione di placing on the market è ampia e comprende: distribuzione tramite librerie software, API, cloud, app store, repository pubblici o integrazione in chatbot e sistemi aziendali.
Un tema centrale è quello dei downstream modifiers, ossia gli attori che modificano un modello esistente. Questi diventano provider a tutti gli effetti quando le modifiche incidono significativamente su generalità, capacità o rischi sistemici del modello.
Le eccezioni per i modelli open-source
Il regolamento riconosce alcune esenzioni agli obblighi di trasparenza e di rappresentanza legale per i modelli rilasciati con licenza open-source, a condizione che siano effettivamente privi di monetizzazione, consentano accesso, uso, modifica e distribuzione senza restrizioni discriminatorie, e che rendano pubblici parametri, pesi e architettura.
Restano comunque obbligatorie le policy di rispetto del diritto d’autore e la pubblicazione del summary sui dati di training.
Enforcement e fasi di transizione
Dal 2 agosto 2025 gli obblighi per i provider entrano formalmente in vigore, ma in ogni caso, la Commissione potrà avviare attività sanzionatorie solo a partire dal 2 agosto 2026, lasciando un anno di margine per l’adeguamento.
In questo periodo, la conformità potrà essere dimostrata aderendo a un codice di condotta riconosciuto come adeguato, che alleggerisce gli oneri burocratici e costituisce elemento attenuante in caso di contestazioni.
Sull'autore
