Codice di Condotta per GPAI, la UE sceglie una strada innovativa per normare l’AI

Dopo un lungo e complesso percorso normativo, l’Europa ha varcato una soglia cruciale nel governo delle tecnologie di Intelligenza Artificiale. Dal 2 agosto 2025, sono entrati in vigore i primi obblighi specifici per i fornitori di modelli di IA a finalità generali (i cosiddetti GPAI – General Purpose AI), una categoria sempre più centrale nell’ecosistema digitale. Questi fornitori, per immettere o continuare a utilizzare i loro modelli nel mercato comunitario, dovranno rispettare nuovi requisiti in materia di sicurezza, trasparenza e tutela del diritto d’autore. Contestualmente, si attivano gli organi previsti dal Regolamento: l’Ufficio Europeo per l’IA, incaricato del monitoraggio e dell’attuazione normativa, e le Autorità Nazionali di Vigilanza, nominate dagli Stati membri per vigilare, controllare e – se necessario – sanzionare.

La tabella di marcia scandita dal Regolamento UE 2024/1689 prevede che entro il 2 agosto 2026 i fornitori dei modelli generali GPAI ad alto impatto dimostrino la conformità ai requisiti, mentre il termine per i modelli già esistenti sul mercato (prima del 2 agosto 2025) è fissato al 2 agosto 2027.

In parallelo, da agosto 2026 si applicheranno anche tutte le disposizioni relative ai sistemi AI classificati come ad alto rischio.

Nonostante queste scadenze possano sembrare generose, il livello di complessità tecnica, operativa e giuridica che caratterizza i GPAI giustifica tempi di adeguamento dilatati. Questi sistemi, paragonabili per la loro dimensione a superpetroliere piuttosto che a imbarcazioni da regata, richiedono infatti processi articolati e tempi adeguati a poterne garantire piena conformità agli standard della normativa europea.

È interessante notare come i modelli GPAI siano entrati nella disciplina europea non attraverso il percorso parlamentare originario, ma solo nella fase successiva del trilogo, grazie a un intervento del Consiglio. Nel 2021, sotto la presidenza slovena, fu proposto un primo riconoscimento formale dei GPAI, sebbene senza obblighi concreti. Solo con la presidenza francese nel 2022 il Regolamento ha iniziato a includere disposizioni vincolanti che ne hanno generato una disciplina specifica e che oggi costituiscono il nucleo centrale della normativa.

Il Regolamento UE 2024/1689 definisce i modelli GPAI come sistemi AI addestrati su grandi quantità di dati, capaci di svolgere una vasta gamma di compiti e integrabili in molteplici applicazioni downstream. I considerando 98 e 99 ne precisano meglio i contorni, facendo riferimento a modelli con almeno un miliardo di parametri, addestrati con potenze di calcolo uguali o superiori a 10^23 FLOPs. e con capacità di generare in modo flessibile contenuti testuali, audio, visivi o video. È evidente che si fa riferimento ai più avanzati LLM, ampiamente disponibili sul web e integrati in molti, se non nella maggioranza, dei nuovi servizi digitali.

Per quanto sofisticati e costosi da sviluppare, questi modelli sono ormai fondamentali per la crescita tecnologica, ma comportano anche rischi potenzialmente sistemici. Ed è proprio per bilanciare questi due poli – innovazione e protezione – che l’architettura del Regolamento ha previsto strumenti di mediazione. Tra questi, il Codice di Condotta per i GPAI rappresenta oggi uno degli elementi più significativi e rilevanti per l’obiettivo della normazione europea. Il Codice, adottabile su base volontaria, ha una funzione duplice: da un lato anticipa grazie all’applicazione dei suoi contenuti un effetto analogo alla piena applicazione del Regolamento, dall’altro offre una cornice operativa semplificata per aiutare i fornitori, che per la maggioranza sono società extra EU, ad allinearsi agli obblighi europei.

Tuttavia, nonostante la sua utilità diretta, l’adozione fra i soggetti potenzialmente interessati, non sembra scontata. Ad esempi Meta, fornitore che conta almeno un miliardo di utenti di applicazioni AI integrate nei propri prodotti social network, ha infatti già deciso e comunicato di non aderire al nuovo Codice di condotta, un primo segnale di un contesto di potenziale contrapposizione tra le istituzioni europee e alcune geografie digitali che vedono nelle normative UE, un potenziale freno allo sviluppo tecnologico. Di contro almeno venticinque aziende, interessate a investimenti e attività in Europa, fra cui OpenAI, Anthropic, Google, Amazon, Microsoft, la francese Mistral, e xAI, ne hanno sottoscritto l’adozione.

La versione definitiva del Codice è stata consegnata alla Commissione Europea lo scorso 10 luglio, e l’adozione ufficiale è attesa entro la fine di agosto. La sua redazione, avvenuta in collaborazione con l’AI Board, ha coinvolto esperti indipendenti, stakeholder, rappresentanti degli Stati membri e osservatori internazionali, come previsto dall’articolo 56 del Regolamento UE 2024/1689.

Va sottolineato che, anche in assenza di adesione formale, i fornitori saranno comunque tenuti – entro un anno – a dimostrare con mezzi alternativi, la conformità agli obblighi di legge. Una strada in salita, certamente più onerosa, complessa e incerta. Inoltre, già dallo scorso 2 agosto 2025, possono potenzialmente essere avviate verifiche ufficiali sui modelli immessi sul mercato dopo questa data.

Il Codice di Condotta segna anche un cambio di paradigma nel modo di normare l’innovazione. Più che su una logica strettamente giuridica del precetto/sanzione, si fonda su un approccio ingegneristico e gestionale, pensato per essere flessibile e capace di adattarsi all’evoluzione continua della tecnologia. Tuttavia, questa adattabilità può generare incertezze interpretative e operative, aprendo un dibattito sul giusto equilibrio tra chiarezza normativa e dinamicità tecnica. Nel merito, il Codice affronta le quattro aree chiave individuate dall’articolo 56(2) del Regolamento UE 2024/1689:

Il capitolo sulla trasparenza specifica le informazioni che i fornitori devono rendere disponibili a seconda del destinatario: più generali per i soggetti downstream, più dettagliate – e su richiesta – per le autorità e per l’AI Office, sempre tuttavia nel rispetto della riservatezza e della tutela dei segreti industriali. Quest’ultimo tema apre tuttavia un secondo fronte importante circa l’applicabilità di questo modello rispetto al diritto vigente, con la previsione di una prossima abbondante giurisprudenza di merito.

Sul fronte del copyright, il Codice attuando l’articolo 53(1)(c) dell’AI Act, impone l’adozione di una policy coerente con il diritto UE, che copra l’intero ciclo di vita del modello: dall’accesso legittimo ai dati, alla prevenzione delle violazioni e alla gestione dei reclami. L’obiettivo è quello di evitare l’uso di contenuti protetti o la generazione di output in violazione dei diritti d’autore, tema che ha già per altro sollevato dibattiti dottrinali e interventi giurisprudenziali, data la complessità interpretativa e valutativa del tema nelle tecnologie IA.

Per quanto riguarda la sicurezza, il documento introduce un framework di governance pensato per i modelli ad alto rischio, che comprende impegni in materia di gestione dei rischi, sicurezza operativa e valutazione esterna indipendente nel post-market, a tutela della solidità tecnica e organizzativa.

Infine, è stato predisposto un template ufficiale, sviluppato dall’AI Office, che guiderà i fornitori nella redazione del riepilogo dei dati di addestramento, indicando le fonti utilizzate, le misure adottate per la pulizia dei dati e il rispetto dei diritti di proprietà intellettuale.

In sintesi, l’Europa ha scelto una strada innovativa per normare l’IA: flessibile ma rigorosa, collaborativa ma esigente. Il successo di questo approccio dipenderà ora dalla volontà e dalla capacità degli attori coinvolti di rendere questi strumenti operativi e realmente efficaci, in un contesto geopolitico ed economico complesso e certamente non unitario.

_______

*Dott. Riccardo Perlusz, Pollicino & Partners AIdvisory

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più