Le Linee Guida GPAI della Commissione Europea ai sensi dell’AI Act sono arrivate – e stanno per cambiare radicalmente il modo in cui i modelli di intelligenza artificiale per finalità generali (GPAI) vengono sviluppati, distribuiti e regolamentati nell’Unione Europea. Se lavori con modelli linguistici di grandi dimensioni, sistemi di IA generativa o fornisci strumenti di IA a clienti nell’UE, queste linee guida stabiliscono le regole che dovrai seguire a partire dal 2 agosto 2025.
Questo articolo ti guida tra definizioni chiave, obblighi, esenzioni e scadenze applicative – per evitare sorprese.
Perché le Linee Guida GPAI dell’AI Act sono importanti
Il pacchetto di linee guida GPAI ai sensi dell’AI Act rappresenta una pietra miliare: per la prima volta, l’UE chiarisce come intende interpretare e applicare gli obblighi per i fornitori di IA per finalità generali (GPAI).
Le linee guida si applicano a:
- Sviluppatori di modelli di fondazione
- Fornitori di API
- Distributori di IA open source
- Aziende che integrano GPAI in strumenti downstream
- Qualsiasi impresa che modifica o personalizza modelli di base
Alcune domande che ogni azienda dovrebbe porsi:
- La tua attuale strategia in materia di IA presume che le regole si applichino solo ai sistemi ad alto rischio, e non ai modelli per finalità generali?
- Sei sicuro di non essere considerato un fornitore di GPAI secondo le nuove definizioni?
Cosa si intende per modello di IA per finalità generali?
L’AI Act definisce un modello GPAI come un modello che mostra una “generalità significativa” e che può “eseguire in modo competente un’ampia gamma di compiti distinti”. Ciò suona vago – ma le linee guida GPAI specificano una soglia concreta.
Un modello è presunto essere un GPAI se:
- È stato addestrato usando più di 10²³ FLOPs
- È in grado di generare linguaggio (testo/audio) o immagini/video a partire da testo
Si tratta di un aumento significativo rispetto alla proposta iniziale di 10²² FLOPs. Secondo la Commissione Europea, 10²³ FLOPs è il calcolo tipico richiesto per addestrare un modello con almeno 1 miliardo di parametri. Tuttavia, i modelli addestrati per scopi ristretti – anche con elevata capacità computazionale – non sono considerati GPAI. Ad esempio, un modello speech-to-text addestrato con 10²⁴ FLOPs non rientra se svolge solo quel compito.
Domande ancora senza risposta:
- L’utilizzo dei FLOPs come indicatore della generalità è troppo semplicistico?
- L’UE dovrebbe considerare benchmark alternativi, come le prestazioni reali su più domini?
Chi è un fornitore di GPAI?
Secondo le linee guida, sei considerato un fornitore GPAI se:
- sviluppi un modello GPAI direttamente; oppure
- lo fai sviluppare e lo immetti sul mercato UE a tuo nome, sia a pagamento che gratuitamente.
Non ha importanza se il modello è distribuito tramite:
- API
- Librerie software
- Repository pubblici
- Servizi cloud
- App mobili o web
Anche se la tua azienda ha sede fuori dall’UE, queste regole si applicano non appena il modello entra nel mercato europeo. In tal caso, devi nominare un rappresentante UE.
Domande aperte:
- Se un modello statunitense viene usato in un prodotto distribuito nell’UE, chi è il fornitore responsabile?
- Come sarà applicata la normativa per modelli globali accessibili da utenti UE?
Obblighi chiave per i fornitori GPAI
A partire dal 2 agosto 2025, i fornitori GPAI devono:
- Mantenere documentazione tecnica aggiornata
Deve includere architettura del modello, fasi di addestramento, test e valutazione (Art. 53(1)(a)).
- Fornire informazioni agli utenti downstream
Soprattutto a chi integra il modello nei propri sistemi IA (Art. 53(1)(b)).
- Adottare una policy sul copyright
Per rispettare la normativa UE sul copyright, incluse l’opt-out di cui all’Art. 4(3) della Direttiva 2019/790 (Art. 53(1)(c)).
- Pubblicare un riepilogo dei dati di addestramento
Questo riepilogo deve essere pubblico e indicare il contenuto usato per l’addestramento (Art. 53(1)(d)).
Domande ancora aperte:
- Quanto deve essere dettagliato il riepilogo dei dati per essere conforme?
- La conformità sul copyright costringerà a rimuovere retroattivamente i dati?
Requisiti aggiuntivi per modelli GPAI con rischio sistemico
Alcuni modelli GPAI saranno soggetti a regole più rigide a causa del loro potenziale impatto sulla sicurezza pubblica, sui diritti o sul mercato interno.
Un modello è presunto a rischio sistemico se:
- È stato addestrato con più di 10²⁵ FLOPs; oppure
- Ha capacità comparabili ai modelli più avanzati sul mercato
In questi casi, devi:
- Condurre test avversariali e valutazioni del modello
- Monitorare e segnalare incidenti gravi
- Implementare protezioni robuste in materia di cybersecurity
- Notificare l’Ufficio per l’AI prima e durante l’addestramento
Domande aperte:
- I modelli a rischio sistemico dovrebbero essere sottoposti ad audit esterni?
- Come la Commissione terrà aggiornato il valore soglia dei FLOPs rispetto all’evoluzione dei modelli?
Fine-Tuning o Modifica dei Modelli? Potresti Essere il Nuovo Fornitore
Le linee guida GPAI affrontano anche il tema dei modificatori downstream – aziende o individui che adattano un modello di base (ad esempio, tramite fine-tuning, quantizzazione o distillazione).
Se la tua modifica utilizza più di un terzo del calcolo (compute) utilizzato per addestrare il modello originario, diventi un fornitore di un nuovo modello GPAI.
Questo significa che:
- Sei completamente soggetto all’AI Act
- Devi rispettare subito gli obblighi – niente periodo di transizione di due anni
Alcune domande che ogni azienda dovrebbe porsi:
- Come possono gli attori downstream, inclusa la tua azienda, stimare l’uso computazionale originale se non viene reso pubblico?
- Questo scoraggerà innovazione ed esperimenti di valore?
L’Eccezione per i Modelli Open-Source: Non Così Aperta come Sembra
Non tutti i modelli open-source sono esenti.
Per qualificarsi, il tuo modello deve:
- Essere rilasciato con una licenza open-source gratuita che consenta accesso, uso, modifica e redistribuzione
- Non essere monetizzato
- Includere accesso pubblico ai pesi del modello, all’architettura e alle informazioni sull’utilizzo
Cosa ti squalifica:
- Limitare l’uso a scopi di ricerca o non commerciali
- Paywall, pubblicità o commissioni d’uso
- Richiedere licenze commerciali per l’uso su larga scala
Anche i modelli esenti devono comunque:
- Rispettare le norme sul copyright
- Pubblicare un riepilogo dei dati di addestramento
Domande che non trovano risposta nelle Linee Guida GPAI dell’AI Act:
- Le aziende saranno costrette a cambiare licenza o ritirare i modelli open-source?
- L’ecosistema open-source può sopravvivere senza opzioni di monetizzazione sostenibili?
Clausola di Transizione: Periodo transitorio per i Modelli Esistenti
Se hai già immesso un modello GPAI nel mercato UE prima del 2 agosto 2025, hai tempo fino al 2 agosto 2027 per adeguarti.
Non è necessario riaddestrare o far “disimparare” al modello – a patto che:
- Non si possano recuperare i dati di addestramento; oppure
- Il riaddestramento comporti un onere sproporzionato.
Inoltre, devi dichiarare e giustificare questa situazione nella documentazione.
Alcune domande che ogni azienda dovrebbe porsi:
- Quali modifiche a un modello GPAI lo rendono un “nuovo” modello, che non può più beneficiare della clausola di transizione?
- Questa clausola favorirà una trasparenza selettiva?
- Potranno concorrenti o autorità contestare la portata delle giustificazioni?
Codice di Condotta GPAI: Un Percorso Volontario verso la Conformità
Il Codice di Condotta GPAI, pubblicato il 10 luglio 2025, offre una via volontaria per dimostrare la conformità agli Articoli 53 e 55.
Firmare il codice comporta alcuni vantaggi:
- Fiducia normativa e minore pressione regolatoria
- Multe potenzialmente più basse
- Reputazione pubblica in tema di sviluppo responsabile
Tuttavia:
- Devi implementare le misure, non solo firmare
- La non conformità al codice può danneggiare la credibilità
Alcune domande che ogni azienda dovrebbe porsi:
- Firmare il codice diventerà di fatto obbligatorio?
- I codici di condotta dovrebbero essere sostituiti da standard formali?
Scadenze Chiave per l’Applicazione
- 2 agosto 2025: entrano in vigore gli obblighi per i fornitori GPAI
- 2 agosto 2026: diventano attive le sanzioni e i poteri di enforcement
- 2 agosto 2027: scadenza per i modelli legacy per conformarsi
Le sanzioni possono arrivare a 15 milioni di euro o al 3% del fatturato globale – a seconda di quale sia superiore.
Domande che non trovano risposta nelle Linee Guida GPAI dell’AI Act:
- L’Ufficio per l’AI darà priorità all’enforcement in base al settore, alla scala o al rischio?
- Come si coordinerà l’UE con i regolatori extra-UE sulla conformità transfrontaliera?
Considerazioni Finali: La Conformità GPAI come Vantaggio Strategico
Le linee guida GPAI dell’AI Act non sono solo regolamentazione – rappresentano un cambiamento più ampio verso uno sviluppo responsabile dell’intelligenza artificiale.
La conformità non è più una questione legale da back office: è una leva strategica per generare fiducia, differenziazione competitiva e attrattività per gli investimenti.
Le organizzazioni che iniziano a prepararsi ora – mappando i propri modelli, documentando i processi di addestramento e allineandosi al Codice di Condotta – non solo eviteranno sanzioni, ma si posizioneranno come leader nella nuova economia dell’IA.
Discutiamone
- Conosci il profilo computazionale dei tuoi modelli di IA?
- Hai mappato quali potrebbero rientrare tra i GPAI?
- Il tuo attuale approccio a licenze o monetizzazione è conforme?
- Sei pronto a firmare il Codice di Condotta?
About the Author: Giulio Coraggio
