La Legge sull’Intelligenza Artificiale dell’UE: Regole GPAI, Guida all’Alfabetizzazione AI e Possibili Ritardi
La Legge sull’Intelligenza Artificiale dell’UE (AI Act), entrata in vigore a febbraio 2025, introduce un quadro normativo basato sul rischio per i sistemi di intelligenza artificiale e un regime parallelo per i modelli di intelligenza artificiale a uso generale (GPAI). Questa legge impone obblighi a vari attori, tra cui fornitori, utilizzatori, importatori e produttori, richiedendo alle organizzazioni di garantire un livello adeguato di alfabetizzazione AI tra il personale.
La legge proibisce l’uso di intelligenza artificiale considerata di “rischio inaccettabile” e impone requisiti rigorosi sui sistemi “ad alto rischio”. A metà del 2025, il panorama di attuazione è in evoluzione, e questo aggiornamento esamina la situazione attuale, concentrandosi su: (i) nuove linee guida sugli obblighi di alfabetizzazione AI per fornitori e utilizzatori; (ii) lo stato dello sviluppo di un Codice di Pratica per l’Intelligenza Artificiale a Uso Generale e le sue implicazioni; e (iii) la prospettiva di ritardi nell’applicazione di alcune disposizioni chiave della legge.
Requisiti di Alfabetizzazione AI
A partire dal 2 febbraio 2025, l’Articolo 4 della Legge sull’AI impone ai fornitori (cioè le entità che sviluppano sistemi di AI per il mercato dell’UE a proprio nome) e ai utilizzatori di sistemi di AI (cioè coloro che utilizzano i sistemi di AI sotto la propria autorità) di garantire un “livello sufficiente di alfabetizzazione AI” tra il personale. Questo requisito si applica a tutti i sistemi di AI, non solo a quelli ad alto rischio.
Il 7 maggio 2025, la Commissione Europea ha pubblicato domande e risposte dettagliate che chiariscono l’ambito di questa obbligazione. Secondo la guida, l’alfabetizzazione AI comprende non solo una comprensione generale delle capacità e limitazioni dell’AI, ma anche la capacità di valutare le implicazioni legali ed etiche, interpretare criticamente i risultati e applicare la supervisione appropriata. Particolarmente rilevante per tutti i tipi di imprese, la guida stabilisce che le organizzazioni che utilizzano AI generativa per funzioni aziendali (ad esempio, testi di marketing, traduzioni) devono garantire che gli utenti siano formati sui rischi associati, come le allucinazioni.
L’obbligo si estende a tutto il personale che interagisce con i sistemi di AI, compresi appaltatori e fornitori di servizi. Sebbene la legge non prescriva un curriculum specifico, la Commissione Europea suggerisce che le iniziative di alfabetizzazione AI dovrebbero riflettere il ruolo dell’organizzazione (ad esempio, fornitore o utilizzatore), la natura e il profilo di rischio dei sistemi di AI coinvolti e le competenze tecniche del personale. Affidarsi unicamente alle istruzioni per l’uso o alla documentazione passiva non sarebbe generalmente considerato sufficiente e potrebbero essere necessarie politiche, procedure e formazione personalizzate.
La formazione dovrebbe essere adattata a ruoli e responsabilità specifiche e integrata in sistemi più ampi di gestione del rischio e conformità. La guida sottolinea ulteriormente che questo obbligo si applica e sarà applicato in modo proporzionale, significando che coloro che utilizzano sistemi ad alto rischio sono attesi implementare programmi di alfabetizzazione più robusti.
Modelli GPAI e Codice di Pratica
La Legge sull’AI definisce un modello GPAI in termini di “generale significatività” nelle sue capacità e competenza nel “svolgere un’ampia gamma di compiti distinti, indipendentemente dal modo in cui il modello viene immesso sul mercato” — catturando modelli linguistici di grandi dimensioni come GPT-4, Gemini 2.5 Pro, DeepSeek-VL, ecc. Il 12 giugno 2025, la Commissione Europea ha pubblicato un insieme di domande e risposte utili riguardanti ciò che costituisce un modello GPAI e gli obblighi della Legge dell’AI in relazione a tali modelli.
L’Articolo 56 della Legge sull’AI prevede la pubblicazione di un Codice di Pratica per l’AI a Uso Generale da parte dell’Ufficio AI Europeo, inclusa una guida generale per i fornitori di modelli GPAI (e ulteriore guida per modelli che presentano un “rischio sistemico“) sulla conformità agli obblighi della Legge sull’AI. Questo Codice GPAI, sebbene volontario, costituirà eventualmente la base su cui l’Ufficio AI Europeo valuterà la conformità alla Legge sull’AI. Il Codice GPAI copre regole relative alla trasparenza e al copyright, che si applicano a tutti i fornitori di modelli GPAI (ad eccezione di quelli sotto licenza open-source), oltre a requisiti tecnici e di governance specifici per i fornitori di modelli GPAI con “rischio sistemico“.
In precedenza, sono stati commentati alcuni degli elementi chiave della prima bozza del Codice in un precedente articolo. Le seconde e terze bozze del Codice GPAI sono state successivamente pubblicate dalla Commissione Europea. La terza bozza, pubblicata l’11 marzo 2025, ha rimosso notevolmente l’uso di indicatori di prestazione chiave come benchmark, introdotto nella seconda bozza, insieme a varie semplificazioni e cambiamenti di riorganizzazione. L’ultima bozza sottolinea anche la necessità che l’Ufficio AI Europeo riveda e aggiorni il Codice GPAI nel tempo, man mano che la tecnologia avanza. Si prevede che questa bozza sia l’ultima per cui possono essere inviati feedback e formerà la base del Codice GPAI finale. Tuttavia, la finalizzazione del Codice GPAI è stata ritardata dalla scadenza iniziale del 2 maggio 2025 e ora è attesa per agosto 2025, sollevando preoccupazioni nel settore riguardo all’incertezza normativa e alla preparazione disomogenea alla conformità.
Possibili Ritardi nell’Implementazione
Sebbene le prime disposizioni della Legge sull’AI siano entrate in vigore a febbraio 2025, altri obblighi, come quelli posti ai fornitori di modelli GPAI, non entreranno in vigore fino al 2 agosto 2025, secondo le tempistiche attuali, con ulteriori attuazioni che arriveranno in fasi fino all’estate 2027. Il recente ritardo del Codice GPAI fino ad agosto ha portato a speculazioni che alcune disposizioni chiave della Legge sull’AI potrebbero anch’esse essere ritardate. È stato riferito a maggio che la Commissione Europea stava considerando un ritardo nell’applicazione degli obblighi GPAI ai sensi della Legge sull’AI per consentirle di “semplificare” alcune delle regole. Questa motivazione segue altri recenti sforzi di semplificazione da parte della Commissione Europea, in corso tra le richieste delle imprese di ridurre il carico normativo per operare nell’UE. Sebbene il ritardo non sia ancora stato confermato pubblicamente da fonti ufficiali dell’UE, varie figure influenti degli Stati Membri, incluso il Primo Ministro svedese, hanno espresso sostegno per un ritardo nell’implementazione, in alcuni casi per un massimo di due anni.
Conclusioni Chiave
Le organizzazioni che sviluppano o utilizzano sistemi di intelligenza artificiale nell’UE devono navigare con attenzione in questi requisiti in evoluzione. I potenziali ritardi nell’applicazione offrono una finestra per rafforzare le strategie di conformità, ma introducono anche incertezze. Garantire l’alfabetizzazione AI tra il personale è ora un obbligo legale, richiedendo lo sviluppo di programmi di formazione su misura. Per i fornitori di modelli GPAI, comprendere e prepararsi per i futuri obblighi è fondamentale, anche se le linee guida finali rimangono in attesa.
Le organizzazioni in questione dovrebbero:
- Migliorare l’alfabetizzazione AI: Sviluppare e implementare programmi di formazione per soddisfare i requisiti di alfabetizzazione AI delineati nell’Articolo 4.
- Monitorare gli Aggiornamenti Normativi: Rimanere informati sui cambiamenti nelle tempistiche di applicazione e sulla finalizzazione del Codice di Pratica GPAI.
- Prepararsi agli Obblighi GPAI: Anche in assenza di linee guida finalizzate, iniziare a valutare le pratiche attuali rispetto ai requisiti previsti per i modelli GPAI.
