Intelligenza Artificiale e AI Act: cosa cambia per le aziende dal 2 agosto 2025

A partire dal 2 agosto 2025 troveranno applicazione nuove disposizioni dell’AI Act. In particolare, scattano nuovi obblighi per chi sviluppa, commercializza o utilizza modelli di intelligenza artificiale generali (GPAI – General-Purpose AI) e apre la strada alla piena attuazione della governance europea sull’AI.

In questo articolo vediamo:

• quali disposizioni dell’AI Act diventano operative dal 2 agosto e chi interessano;
• il ruolo e i benefici del nuovo Codice di Condotta GPAI;
• le azioni concrete che le aziende devono intraprendere per la compliance e la gestione del rischio.

Le disposizioni dell’AI Act operative dal 2 agosto 2025.

Oltre agli obblighi per i fornitori di modelli GPAI (Capo V dell’AI Act), dal 2 agosto 2025 diventano vincolanti anche altre importanti disposizioni del regolamento:

• Designazione delle autorità competenti per la vigilanza sull’AI da parte degli stati membri (Capo III sez. 4);
• Attivazione della governance europea (Capo VII);
• Applicabilità delle sanzioni: In questa fase, le sanzioni si applicano esclusivamente ai soggetti già soggetti agli obblighi operativi, cioè ai fornitori di GPAI (Capo XII).

Cosa sono i modelli GPAI?

I modelli GPAI sono sistemi di IA addestrati su enormi quantità di dati, capaci di svolgere compiti diversificati e integrabili in molteplici applicazioni (es. chatbot, generazione di testo, immagini, audio e video).

Nelle linee guida emanate il 18 luglio, la Commissione Europea specifica che sono considerati GPAI se:

• Il training compute è superiore a 10^23 FLOP;
• È in grado di generare linguaggio (sotto forma di testo o audio), testo-immagine o testo-video.

Tra questi, alcuni sono classificati come a rischio sistemico se:

• hanno un training compute superiore a 10²⁵ FLOP; oppure
• sono designati dalla Commissione Europea in base al loro potenziale impatto elevato.

Questi ultimi sono soggetti a obblighi rafforzati in materia di valutazione dei rischi, cybersecurity, e incident reporting.

Il ruolo strategico del Codice di Condotta GPAI

Per facilitare i fornitori di modelli di IA per finalità generali e di modelli di IA per finalità generali con rischio sistemico ad adempiere ai loro obblighi e alla compliance la Commissione Europea, sulla base dell’art. 56 dell’AI Act, ha pubblicato il Codice di Condotta GPAI prevedendo che i fornitori di devono:

1. predisporre e aggiornare la documentazione tecnica del modello da mettere a disposizione dei fornitori a valle e delle autorità competenti;
2. definire una politica in materia di diritto d’autore e pubblicare una sintesi dei dataset di addestramento;
3. notificare il modello alla Commissione, valutare i rischi sistemici, garantire adeguate misure di sicurezza e segnalare eventuali incidenti gravi.

Aderire al Codice comporta vantaggi operativi e reputazionali, tra cui:

• maggiore certezza giuridica e trasparenza;
• possibilità di un enforcement più proporzionato;
• dialogo collaborativo con l’AI Office;
• dimostrazione di impegno proattivo nella governance responsabile dell’IA.

 

Chi è il Fornitore su cui incombono obblighi?

È considerato “fornitore” del modello GPAI:

• chi lo sviluppa o lo fa sviluppare per proprio conto;
• chi lo immette per la prima volta sul mercato UE (anche via API, repository o piattaforme).

Un soggetto che modifica un modello esistente può diventare fornitore se la modifica è sostanziale e incide su generalità, capacità o rischio del modello. Indicativamente, ciò avviene quando il compute della modifica supera un terzo di quello originario.

Per i modelli open-source, il regolamento prevede esenzioni da alcuni obblighi del fornitore, a condizione che:

• il modello non presenti rischio sistemico;
• sia effettivamente libero, accessibile, modificabile e redistribuibile;
• non generi profitti (diretti o indiretti).

In questi casi, il fornitore è esentato da:

• obblighi di documentazione tecnica (Art. 53.1 lett. a e b dell’AI Act);
• nomina del rappresentante autorizzato (Art. 54 dell’AI Act) se extra-UE.

Tuttavia, permangono alcuni obblighi chiave, come la pubblicazione del riepilogo dei dati di addestramento e la compliance con le regole sul diritto d’autore.

I deployer sono coinvolti?  

Anche i deployer, cioè i soggetti che mettono in esercizio sistemi IA, sono indirettamente coinvolti:

• devono valutare la documentazione ricevuta dai fornitori GPAI;
• verificare che i sistemi integrati siano conformi al regolamento;
• potrebbero essere soggetti a ispezioni, audit o richieste da parte delle autorità;
• devono garantire trasparenza verso gli utenti finali, soprattutto nei casi in cui si integrino GPAI a rischio.

Il regolamento disegna quindi una responsabilità condivisa lungo la catena del valore, che chiama in causa non solo chi sviluppa ma anche chi utilizza e distribuisce IA.

Cosa devono fare le aziende?

Indipendentemente dal ruolo (fornitore, deployer, distributore), per affrontare la fase di piena applicazione dell’AI Act le aziende devono:

1. Mappare i propri sistemi IA e modelli GPAI, individuando eventuali rischi sistemici;
2. Analizzare gli obblighi applicabili, distinguendo tra quelli derivanti dal modello e quelli legati al sistema finale;
3. Verificare le condizioni per eventuali esenzioni, soprattutto per l’open-source;
4. Considerare l’adesione al Codice di Condotta GPAI;
5. Aggiornare policy e processi interni, con particolare attenzione a:
   • gestione della documentazione tecnica,
   • trasparenza informativa,
   • gestione degli incidenti,
   • sicurezza informatica;
6. Prepararsi a interagire con l’AI Office e le autorità competenti;
7. Formare i team legali, compliance e tecnici sulle nuove disposizioni.

Attuazione e vigilanza

Gli obblighi per i fornitori di modelli di AI di scopo generale si applicano a partire dal 2 agosto 2025. Per i modelli immessi sul mercato prima del 2 agosto 2025, i fornitori avranno tempo fino al 2 agosto 2027 per conformarsi agli obblighi. Le azioni di applicazione, incluse le multe, potranno essere imposte a partire dal 2 agosto 2026

La Commissione, attraverso l’Ufficio Europeo per l’Intelligenza Artificiale (“AI Office”), è incaricata di supervisionare e far rispettare questi obblighi.

L’AI Office adotterà un approccio collaborativo e proporzionato, incoraggiando la cooperazione informale con i fornitori e offrendo supporto pratico per la procedura di notifica e per garantire la conformità alla normativa europea.

Conclusioni

Il 2 agosto 2025 segna una tappa decisiva nella costruzione di una governance europea sull’IA. Le nuove regole introdotte dall’AI Act pongono al centro la trasparenza, la responsabilità e la sicurezza lungo l’intero ciclo di vita dei modelli di intelligenza artificiale.

Per le aziende, un approccio proattivo alla compliance rappresenta oggi la scelta strategica più efficace per:

• gestire i rischi giuridici e reputazionali,
• rafforzare la fiducia degli stakeholder,
• cogliere le opportunità di un mercato regolamentato, affidabile e competitivo.