Il dispiegamento dell'AI Act segue un calendario scaglionato che va dal 2 febbraio 2025 fino alla fine del 2027. Questa gradualità mira a offrire agli operatori economici il tempo necessario per adeguarsi, attivando però rapidamente le tutele più urgenti.
Previsti dal capitolo V del regolamento, gli obblighi GPAI costituiscono il cuore della regolamentazione dei foundation models. Ogni fornitore di un modello di IA ad uso generale immesso sul mercato europeo - anche in open source, con esenzioni parziali - deve:
Per i modelli a rischio sistemico, identificati da un calcolo di addestramento superiore a 10²⁵ FLOPS o designati dalla Commissione, si aggiungono: valutazione continua dei rischi, test adversariali (red-teaming) standardizzati, misure di cybersicurezza, segnalazione degli incidenti gravi all'Ufficio IA e pubblicazione di un rapporto sulle performance energetiche. Al momento dell'entrata in vigore nell'agosto 2025, GPT-4, Gemini Ultra, Claude 3 Opus e Llama 3.1 405B rientravano nel perimetro. La soglia potrà essere rivista dalla Commissione per riflettere l'evoluzione dello stato dell'arte.
Per facilitare la conformità agli articoli 53 e 55 prima dell'adozione degli standard armonizzati, la Commissione europea ha avviato nel luglio 2024 la redazione di un Codice di buone pratiche per i modelli di IA ad uso generale. Coordinato dall'Ufficio IA e con la partecipazione di tredici esperti indipendenti e circa cento organizzazioni consultate, il codice ha conosciuto diverse versioni intermedie prima della pubblicazione finale il 10 luglio 2025.
Il codice si articola su tre pilastri: trasparenza (pubblicazione delle informazioni tecniche destinate agli utilizzatori e al pubblico), diritto d'autore (procedure operative per rispettare gli opt-out), e sicurezza/safety per i modelli a rischio sistemico. L'adesione è volontaria ma offre una presunzione di conformità: un fornitore che lo segue è considerato conforme ai requisiti corrispondenti. I principali laboratori americani ed europei hanno accettato di allinearsi alle sue disposizioni, con la notevole eccezione di Meta che ha rifiutato di firmarlo nel luglio 2025, invocando un quadro incompatibile con le sue pratiche su Llama. Google e Anthropic hanno firmato con riserve, mentre OpenAI, Mistral AI e Microsoft hanno dato pieno sostegno.
L'articolo 53 è divenuto il punto focale del dibattito sulla coesistenza tra IA generativa e industrie creative. Il suo §1(c) impone ai fornitori di GPAI di adottare una politica di rispetto del diritto d'autore, mentre il §1(d) richiede la pubblicazione di un riassunto sufficientemente dettagliato dei contenuti di addestramento, secondo un modello fornito dall'Ufficio IA.
In pratica, il meccanismo si basa sul binomio eccezione TDM (text and data mining, articolo 4 della direttiva 2019/790) e opt-out machine-readable. I titolari dei diritti che intendono opporsi all'uso delle proprie opere per l'addestramento di modelli IA devono esprimere questa riserva in un formato leggibile dalla macchina - tipicamente tramite un file robots.txt, un header HTTP, o un metadato integrato nell'opera. Diverse iniziative - TDM Reservation Protocol del W3C, ai.txt, C2PA - propongono standard concorrenti senza che nessuno si sia imposto nel 2026.
I titolari dei diritti francesi contestano l'efficacia del meccanismo. SACEM, SCAM, SACD e SDRM denunciano l'asimmetria informativa e la mancanza di sanzioni effettive in caso di mancato rispetto degli opt-out. Nel maggio 2026, la bocciatura all'Assemblée nationale della proposta di legge Darcos, che mirava a introdurre un meccanismo probatorio invertito (presunzione di utilizzo delle opere in assenza di trasparenza) tramite l'articolo L. 331-4-1 del Code de la propriété intellectuelle, ha lasciato i titolari dei diritti senza un appiglio legislativo nazionale, rimandandoli all'applicazione rigorosa dell'articolo 53 da parte della Commissione europea.
L'AI Act istituisce due organismi europei centrali. Il Ufficio europeo dell'IA (European AI Office), istituito con decisione della Commissione nel maggio 2024 e collegato alla DG CONNECT, supervisiona l'attuazione del regolamento per i GPAI e i modelli a rischio sistemico. Redige il codice di buone pratiche, vigila sui fornitori, gestisce i reclami e può imporre sanzioni. Al momento della sua creazione, contava un centinaio di funzionari ed era diretto da Lucilla Sioli.
Il Comitato europeo per l'intelligenza artificiale (European AI Board) riunisce i rappresentanti delle autorità nazionali di vigilanza dei 27 Stati membri. La sua prima riunione ufficiale si è tenuta a settembre 2024. Garantisce il coordinamento tra gli Stati membri, armonizza l'interpretazione del regolamento e consiglia la Commissione. Un Forum consultivo che riunisce industria, società civile, mondo accademico e PMI completa il quadro.
A livello nazionale, ogni Stato membro designa una o più autorità competenti. In Francia, la CNIL coordina l'applicazione delle disposizioni relative ai dati personali, mentre DGCCRF e DGE intervengono sugli aspetti prodotti e mercato interno. Un gruppo di coordinamento interministeriale è stato annunciato nel 2025 ma non era ancora formalizzato al momento dell'entrata in vigore delle regole GPAI.
L'AI Act prevede una scala di sanzioni calibrata in base alla gravità della violazione:
PMI e start-up beneficiano di un tetto proporzionato: si applica l'importo più basso tra i due. Le prime procedure formali dovrebbero essere avviate dall'Ufficio IA alla fine del 2026, dopo la fase di adeguamento progressivo.
L'AI Act ha profondamente trasformato l'ecosistema europeo dell'IA. Per le grandi aziende utilizzatrici (banche, assicurazioni, sanità, HR), si tratta ormai di integrare la conformità fin dalla progettazione dei sistemi - approccio detto compliance by design - il che implica mappatura degli utilizzi IA, analisi d'impatto, documentazione tecnica e governance interna. Studi come Wavestone, France Digitale e Gide hanno pubblicato già dal febbraio 2024 guide pratiche per accompagnare questa crescita di competenze.
Per i fornitori di modelli open source, il regolamento prevede esenzioni parziali sugli obblighi GPAI quando parametri, architettura e informazioni d'uso sono resi pubblici - salvo per i modelli a rischio sistemico. Una coalizione di attori dell'open source europeo (Hugging Face, GitHub, Mistral, La Quadrature du Net) aveva chiesto nel luglio 2023 un quadro più flessibile per salvaguardare l'innovazione collaborativa. Il compromesso finale mantiene queste esenzioni ma impone comunque la pubblicazione del riassunto dei dati di addestramento e della policy sul diritto d'autore, complicando la scalabilità di modelli su corpus molto vasti.
Per i campioni europei - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - l'AI Act rappresenta una doppia sfida: conformarsi in tempi brevi continuando ad addestrare modelli competitivi rispetto a OpenAI, Anthropic o Google. Diverse voci, tra cui quella di Arthur Mensch (Mistral AI), hanno messo in guardia contro il rischio di deindustrializzazione europea se gli oneri regolatori dovessero risultare sproporzionati rispetto a quelli imposti fuori dall'UE. Al contrario, Yoshua Bengio, Raja Chatila e Nicolas Miailhe ritengono che un quadro rigoroso sia fondamentale per preservare l'autonomia strategica europea e la fiducia del pubblico.
L'AI Act si inserisce in un panorama internazionale frammentato. Negli Stati Uniti, l'Executive Order di Biden dell'ottobre 2023 è stato in gran parte abrogato dall'amministrazione Trump nel gennaio 2025, lasciando alle agenzie federali e agli Stati (in particolare la California con SB 1047) il compito di costruire approcci settoriali o locali. La Cina ha imposto già dall'agosto 2023 un sistema di autorizzazione preventiva per i modelli di IA generativa destinati al grande pubblico, approvando oltre 190 LLMs al prezzo di un controllo politico sui contenuti generati.
Il Regno Unito ha scelto un approccio basato su principi attuati dai regolatori settoriali esistenti, senza una legge specifica al momento. Brasile, Canada, Giappone e Corea del Sud stanno sviluppando i propri quadri normativi, spesso ispirandosi all'approccio europeo basato sui rischi. L'effetto Bruxelles - l'extraterritorialità di fatto dei regolamenti europei quando i fornitori internazionali decidono di allinearsi globalmente invece di gestire più regimi - dovrebbe manifestarsi come per il RGPD, anche se nel 2026 non è ancora pienamente misurabile.
Diversi vertici internazionali hanno scandito questa evoluzione: AI Safety Summit di Bletchley Park (novembre 2023), Seoul AI Safety Summit (maggio 2024), AI Action Summit di Parigi (febbraio 2025). Tutti hanno confermato l'assenza di un consenso globale sulla regolamentazione, pur evidenziando la responsabilità particolare dell'UE come primo regolatore ad aver adottato un testo vincolante.
I nodi critici dei prossimi 18 mesi riguardano:
L'AI Act non è un punto d'arrivo ma un quadro dinamico. La sua revisione è prevista ogni quattro anni, con la prima attesa nel 2028. Il suo successo si misurerà meno sulla lettera del testo che sulla capacità di coniugare tutela dei diritti fondamentali, innovazione industriale e sovranità tecnologica europea.
Il regolamento è entrato in vigore il 1° agosto 2024, venti giorni dopo la sua pubblicazione sulla Gazzetta ufficiale dell'Unione europea il 12 luglio 2024. La sua applicazione si estende fino ad agosto 2027 a seconda della natura dei sistemi interessati: divieti effettivi dal 2 febbraio 2025, obblighi GPAI dal 2 agosto 2025, sistemi ad alto rischio da agosto 2026.
Un modello è presunto a rischio sistemico quando supera la soglia di 10²⁵ FLOPS di calcolo cumulato durante l'addestramento. Al momento dell'entrata in vigore dell'obbligo nell'agosto 2025, GPT-4, Gemini Ultra, Claude 3 Opus e Llama 3.1 405B erano interessati. La Commissione può inoltre designare altri modelli secondo criteri qualitativi (numero di utenti, modalità di utilizzo, capacità valutate).
Ogni fornitore di modelli a uso generale immessi sul mercato europeo deve mantenere una documentazione tecnica, pubblicare un riassunto dettagliato dei dati di addestramento, adottare una politica di rispetto del diritto d'autore e cooperare con l'Ufficio dell'IA. I modelli a rischio sistemico aggiungono obblighi di valutazione continua, test avversariali, cybersicurezza e segnalazione degli incidenti.
L'articolo 53 obbliga i fornitori di GPAI a rispettare gli opt-out espressi dai titolari dei diritti in virtù della direttiva 2019/790. Questo opt-out deve essere machine-readable (robots.txt, header HTTP, metadati). I titolari dei diritti francesi contestano l'efficacia del dispositivo, poiché l'abrogazione della legge Darcos nel maggio 2026 ha lasciato i titolari senza un riferimento legislativo nazionale.
Le sanzioni arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per pratiche vietate, 15 milioni o 3% per le violazioni degli obblighi applicabili ai sistemi ad alto rischio e ai GPAI, e 7,5 milioni o 1% per la fornitura di informazioni errate. L'importo più elevato si applica alle grandi imprese, quello più basso alle PMI.
È un documento di riferimento pubblicato il 10 luglio 2025 dalla Commissione europea, elaborato da tredici esperti indipendenti e un centinaio di organizzazioni consultate. La sua adozione volontaria conferisce una presunzione di conformità agli articoli 53 e 55. OpenAI, Mistral AI, Microsoft, Anthropic e Google lo hanno firmato, Meta lo ha rifiutato.
L'Ufficio europeo dell'IA, collegato alla Commissione europea (DG CONNECT), supervisiona i fornitori di GPAI e i modelli a rischio sistemico. Il Comitato europeo dell'IA riunisce le autorità nazionali dei 27 Stati membri. In Francia, la CNIL, la DGCCRF e la DGE sono le autorità competenti in base ai settori interessati.
Sì, i modelli i cui parametri, architettura e informazioni d'uso sono pubblicati sotto licenza libera beneficiano di esenzioni parziali dagli obblighi GPAI - salvo che il modello sia a rischio sistemico. Tuttavia, la pubblicazione del riassunto dei dati di addestramento e la politica di diritto d'autore restano obbligatorie per tutti i modelli open source.
Nel luglio 2025, più di 150 dirigenti di aziende europee - tra cui Carrefour, BNP Paribas, Airbus e TotalEnergies - hanno firmato una lettera aperta chiedendo una moratoria di due anni sull'applicazione dell'AI Act. Invocavano un rischio di svantaggio competitivo rispetto agli operatori americani e cinesi. La Commissione europea ha respinto questa richiesta, mantenendo il calendario iniziale.
Il RGPD disciplina il trattamento dei dati personali, mentre l'AI Act regola l'immissione sul mercato e l'utilizzo dei sistemi di IA, indipendentemente dal fatto che trattino o meno dati personali. I due testi si applicano in modo cumulativo: un sistema di IA ad alto rischio che tratta dati personali deve rispettare sia gli obblighi dell'AI Act che i principi del RGPD (liceità, minimizzazione, diritti delle persone).
La prima revisione quadriennale del regolamento è prevista per il 2028. La Commissione dovrà valutare l'efficacia del dispositivo, l'evoluzione dello stato dell'arte tecnologico e l'opportunità di modificare le soglie, gli elenchi degli usi ad alto rischio e i meccanismi di governance.
5 articles liés à ce sujet
La conferenza degli undici presidenti di gruppo dell'Assemblea nazionale non ha trattenuto la proposta di legge Darcos sul diritto d'autore e l'intell...
Le prime disposizioni dell'AI Act riguardanti i sistemi di IA a rischio inaccettabile sono in vigore. Gli obblighi per i modelli di IA a uso generale...
Dopo una terza bozza pubblicata lo scorso marzo, la Commissione europea ha presentato ieri la versione finale del codice di buone pratiche per i model...
Delle aziende europee, tra cui Carrefour, BNP Paribas, Airbus e TotalEnergies, hanno chiesto una pausa di due anni nell'applicazione della normativa e...
L'Ufficio dell'IA della Commissione europea ha pubblicato la terza bozza del Codice di buone pratiche per aiutare i fornitori di modelli di IA ad uso...
