IA per finalità generali (GPAI) e l’AI Act europeo

In sintesi

  • Il modello di IA per finalità generali è la categoria giuridica che il regolamento europeo sull’IA riserva ai modelli ad ampia capacità, definita all’articolo 3(63): una generalità significativa, la capacità di svolgere con competenza un’ampia gamma di compiti distinti e la vocazione a essere integrato in altri sistemi.
  • La Commissione europea presume che un modello sia per finalità generali quando la potenza di calcolo di addestramento supera circa 10^23 operazioni in virgola mobile e il modello sa generare testo, immagini o video, anche se la generalità reale conta più del numero.
  • Una seconda soglia, più alta, fissata a 10^25 operazioni, segna l’IA per finalità generali con rischio sistemico, soggetta agli obblighi rafforzati dell’articolo 55.
  • Ogni fornitore sostiene quattro obblighi di base ai sensi dell’articolo 53: documentazione tecnica, informazioni per gli attori a valle, una politica sul diritto d’autore e una sintesi pubblica dei contenuti di addestramento.
  • Il codice di buone pratiche per l’IA per finalità generali, pubblicato il 10 luglio 2025, è la via concreta per dimostrare la conformità, e gli obblighi di base si applicano dal 2 agosto 2025.
modello di IA per finalità generali e l'AI Act europeo

Che cos’è un modello di IA per finalità generali?

Un modello di IA per finalità generali, spesso abbreviato in GPAI, apprende un’ampia capacità da grandi volumi di dati e può poi essere orientato verso molti compiti diversi. Il regolamento sull’IA gli attribuisce un significato giuridico preciso all’articolo 3(63): un modello che «presenta una generalità significativa» ed è «in grado di svolgere con competenza un’ampia gamma di compiti distinti», idoneo a essere integrato in sistemi o applicazioni a valle. I grandi modelli linguistici dietro gli assistenti più noti ne sono l’esempio più chiaro, accanto ai modelli di immagine e multimodali dei principali laboratori. La definizione conta perché stabilisce chi porta gli obblighi. Il regolamento disciplina il modello in sé, distinto da qualsiasi prodotto finito costruito al di sopra. Un laboratorio che addestra un modello e lo immette sul mercato dell’Unione è fornitore di un modello di IA per finalità generali, anche se non distribuisce mai un’applicazione per il pubblico. Per una visione d’insieme del regolamento si veda la piattaforma AI Sigil.

IA per finalità generali, modello di base e IA generativa

Questi tre termini descrivono la stessa tecnologia da angolazioni diverse, e confonderli porta a errori di conformità.

  • L’IA per finalità generali è il termine giuridico usato dal regolamento. È ciò che attiva gli obblighi qui descritti.
  • Il modello di base è la descrizione tecnica: un grande modello addestrato su dati ampi, che funge da fondamento per molti usi a valle. La maggior parte dei modelli di base sono modelli di IA per finalità generali nel senso giuridico.
  • L’IA generativa indica una capacità, quella di produrre nuovo testo, immagini, audio o codice. Un sistema generativo poggia di solito su un modello per finalità generali, ma «generativo» è una funzione, non la categoria giuridica.

Per mappare gli obblighi, ragionate a partire dal termine giuridico. Un modello rientra nel campo perché è per finalità generali ai sensi dell’articolo 3(63), non perché una brochure lo definisce generativo.

Come il regolamento stabilisce se il modello è per finalità generali

La potenza di calcolo è il primo segnale. Nelle linee guida pubblicate il 18 luglio 2025 la Commissione ha tracciato un riferimento indicativo: un modello si presume per finalità generali quando il calcolo cumulativo di addestramento supera 10^23 operazioni in virgola mobile e il modello sa generare linguaggio (testo o audio), testo verso immagine o testo verso video. Corrisponde grosso modo a modelli addestrati con circa un miliardo di parametri. Il numero è un punto di partenza, non un verdetto. La Commissione è esplicita: la generalità è decisiva. Un modello che supera la soglia di calcolo ma svolge un solo compito ristretto, come trascrivere il parlato o generare musica, può restare fuori dalla categoria. Un modello sotto la soglia ma davvero versatile può rientrarvi. Il test legge prima capacità e ampiezza, e usa il calcolo solo come indizio. Per la maggior parte delle organizzazioni che acquistano o perfezionano modelli anziché addestrarli da zero, la vera domanda non è se hanno superato 10^23 operazioni. È se hanno fatto abbastanza da diventare fornitori a pieno titolo, tema affrontato nella sezione sulla catena del valore.

Due livelli: finalità generali e rischio sistemico

Il regolamento divide l’IA per finalità generali in due livelli, e il secondo pesa nettamente di più. L’articolo 51 traccia la linea del rischio sistemico. Un modello si presume dotato di «capacità di impatto elevato» quando «la quantità cumulativa di calcolo utilizzata per il suo addestramento, misurata in operazioni in virgola mobile, è superiore a 10^25». Un modello può anche essere designato con decisione della Commissione, d’ufficio o dopo un avviso del gruppo scientifico, secondo i criteri dell’allegato XIII. L’articolo 51(3) consente alla Commissione di spostare queste soglie man mano che hardware e algoritmi migliorano, affinché la linea segua la frontiera. I due numeri svolgono compiti diversi e si confondono facilmente:

  • 10^23 operazioni: l’innesco indicativo dello status stesso di IA per finalità generali, dalle linee guida.
  • 10^25 operazioni: l’innesco del livello di rischio sistemico, scritto nell’articolo 51.

Una manciata di modelli di frontiera supera la seconda linea. La grande maggioranza dei modelli per finalità generali resta al livello standard, con i soli obblighi dell’articolo 53. Conoscere il livello giusto è la prima decisione di conformità, perché dimensiona tutto ciò che segue.

Gli obblighi di ogni fornitore (articolo 53)

L’articolo 53(1) fissa quattro obblighi di base che valgono per ogni fornitore di un modello di IA per finalità generali, a prescindere dal livello.

  1. Documentazione tecnica. Il fornitore deve «elaborare e mantenere aggiornata la documentazione tecnica del modello, compreso il processo di addestramento e prova», secondo l’allegato XI, e renderla disponibile all’Ufficio per l’IA e alle autorità nazionali su richiesta.
  2. Informazioni per i fornitori a valle. Il fornitore prepara e mantiene una documentazione per le organizzazioni che costruiscono sul modello, prevista dall’allegato XII, affinché comprendano capacità e limiti del modello e rispettino i propri obblighi.
  3. Politica sul diritto d’autore. Il fornitore deve «attuare una politica volta a rispettare il diritto dell’Unione in materia di diritto d’autore e diritti connessi», individuando e rispettando le riserve di diritti espresse ai sensi dell’articolo 4(3) della direttiva sul diritto d’autore nel mercato unico digitale.
  4. Sintesi pubblica dei contenuti di addestramento. Il fornitore deve «elaborare e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti usati per l’addestramento», secondo il modello dell’Ufficio per l’IA.

Insieme, questi obblighi trasformano un modello da scatola nera a oggetto documentato e responsabile. Due dei quattro guardano verso l’esterno, agli sviluppatori a valle e al pubblico, ed è per questo che richiedono più preparazione.

L’esenzione open source (e il suo limite)

Il regolamento concede una tregua parziale ai modelli aperti. Ai sensi dell’articolo 53(2), un modello rilasciato con «una licenza libera e open source» che consente accesso, uso, modifica e distribuzione, con parametri, architettura e informazioni d’uso resi pubblici, è esentato dai primi due obblighi: la documentazione tecnica e il pacchetto informativo a valle. La politica sul diritto d’autore e la sintesi di addestramento restano dovute. C’è un limite netto. L’esenzione «non si applica ai modelli di IA per finalità generali con rischio sistemico». Un modello di frontiera a pesi aperti che supera la linea dei 10^25 porta l’intero insieme di obblighi, licenza aperta o meno. L’apertura riduce la burocrazia al livello standard; non esenta un modello sistemico da nulla.

Obblighi rafforzati per il rischio sistemico (articolo 55)

Al livello del rischio sistemico il fornitore assume quattro ulteriori obblighi oltre all’articolo 53, enunciati all’articolo 55.

  • Valutazione del modello. Il fornitore deve «effettuare la valutazione del modello conformemente a protocolli e strumenti standardizzati», compreso «il test in modalità contraddittorio per individuare e attenuare i rischi sistemici». Il red teaming passa da buona prassi ad aspettativa giuridica.
  • Valutazione e attenuazione dei rischi. Il fornitore deve «valutare e attenuare i possibili rischi sistemici a livello dell’Unione», comprese le loro fonti, lungo sviluppo, immissione sul mercato e uso.
  • Segnalazione degli incidenti gravi. Il fornitore deve «tenere traccia, documentare e comunicare senza indebito ritardo all’Ufficio per l’IA e, se del caso, alle autorità nazionali competenti le informazioni pertinenti sugli incidenti gravi», con le possibili misure correttive.
  • Cibersicurezza. Il fornitore deve «garantire un livello adeguato di protezione della cibersicurezza per il modello e per la sua infrastruttura fisica».

Questi doveri si leggono come un programma di gestione del rischio, ed è per questo che cornici come il profilo dell’Università di Berkeley per i modelli per finalità generali e di base, che estende il quadro di gestione del rischio dell’IA del NIST, vi si applicano senza attriti. In Italia, il Garante per la protezione dei dati personali per i dati personali e l’AgID per il coordinamento digitale offrono riferimenti nazionali utili. Per le organizzazioni che già conducono processi di rischio strutturati, il lavoro consiste nell’estenderli al livello del modello anziché ripartire da zero. Il nostro approccio alla gestione del rischio IA segue la stessa logica.

Il codice di buone pratiche GPAI: la via rapida

Il codice di buone pratiche per l’IA per finalità generali, pubblicato il 10 luglio 2025, è lo strumento che la maggior parte dei fornitori userà davvero. È volontario, ma l’adesione apre una presunzione di conformità agli obblighi degli articolo 53 e articolo 55 finché non esistono norme europee armonizzate. In pratica è la via più breve e credibile per dimostrare la conformità. Il codice ha tre capitoli:

  • Trasparenza. Questo capitolo fornisce un modulo di documentazione del modello che il fornitore compila una volta e condivide con l’Ufficio per l’IA e gli attori a valle. Compilarlo vale come presunzione di conformità agli obblighi di documentazione degli articolo 53 e articolo 54.
  • Diritto d’autore. Questo capitolo descrive come il fornitore rende operativa la politica sul diritto d’autore richiesta dall’articolo 53, compreso il rispetto delle riserve sull’estrazione di testo e dati.
  • Sicurezza e protezione. Questo capitolo riguarda i fornitori con rischio sistemico. Descrive un quadro di sicurezza e protezione che copre valutazioni del modello, red teaming, sorveglianza dopo l’immissione sul mercato, cibersicurezza, segnalazione degli incidenti e responsabilità, che insieme soddisfano i doveri dell’articolo 55.

Firmare il codice non cancella gli obblighi sottostanti. Offre un modo riconosciuto di attestarli, assai più semplice che difendere un approccio su misura davanti a un’autorità.

Fornitore, deployer o fornitore a valle?

La domanda più frequente tra gli addetti ai lavori non riguarda le soglie. È: «che ruolo abbiamo?» Il regolamento distingue il fornitore del modello dal deployer che lo usa, e la risposta cambia radicalmente gli obblighi. La maggior parte delle organizzazioni è deployer. Accede a un modello per finalità generali tramite un’interfaccia o un contratto aziendale e ci costruisce sopra. Il deployer non eredita i doveri dell’articolo 53, ma ha bisogno della documentazione a valle del fornitore per soddisfare i propri obblighi, soprattutto se il suo sistema finito è ad alto rischio ai sensi di altre parti del regolamento. La trappola è il perfezionamento. Un attore a valle che modifica un modello per finalità generali può diventare a sua volta fornitore di un modello di IA per finalità generali, e portare allora i doveri dell’articolo 53 per il modello modificato. Le linee guida usano un indicatore: una modifica che impiega più di circa un terzo del calcolo di addestramento originario è il tipo di cambiamento che supera la linea. Un perfezionamento leggero resta ben al di sotto. Un riaddestramento sostanziale può far passare un’organizzazione da deployer a fornitore senza che nessuno lo decida di proposito, ed è esattamente per questo che la valutazione del ruolo appartiene alla governance e non alla testa di un singolo ingegnere. Una regola pratica: documentate la decisione sul ruolo, registrate il calcolo usato per ogni perfezionamento e conservate il pacchetto informativo a valle del fornitore. Queste tre abitudini rispondono alla maggior parte delle domande di un’autorità o di un cliente.

Tempistiche, applicazione e sanzioni

Le date sono fissate. Il regolamento sull’IA è entrato in vigore il 1º agosto 2024. Gli obblighi per l’IA per finalità generali si applicano dal 2 agosto 2025, un anno dopo. I modelli già sul mercato prima di tale data hanno più tempo, con conformità richiesta entro il 2 agosto 2027. L’applicazione delle regole GPAI spetta all’Ufficio europeo per l’IA, che vigila direttamente sui fornitori e non solo tramite le autorità nazionali. L’Ufficio può richiedere la documentazione, valutare i modelli ed esigere misure correttive. Le sanzioni sono calibrate per contare. Ai sensi dell’articolo 101, la Commissione può infliggere a un fornitore di un modello di IA per finalità generali un’ammenda fino al 3 % del fatturato annuo mondiale totale o 15 milioni di euro, se superiore, per violazione degli obblighi o mancata risposta a una richiesta. Per un grande fornitore è una cifra da consiglio di amministrazione, ed è il motivo per cui la conformità GPAI è passata dalla revisione legale alla pianificazione di prodotto.

Rendere operativa la conformità GPAI

Gli obblighi diventano gestibili appena ciascuno è legato a un risultato concreto:

  • La documentazione tecnica corrisponde a un dossier di modello tenuto aggiornato (allegato XI).
  • L’informazione a valle corrisponde a un pacchetto consegnato a ogni cliente (allegato XII).
  • La politica sul diritto d’autore corrisponde a una regola scritta e applicata di reperimento dei dati.
  • La sintesi di addestramento corrisponde a un documento pubblicato secondo il modello dell’Ufficio per l’IA.
  • Per i modelli sistemici, valutazione, segnalazione degli incidenti e cibersicurezza corrispondono a un programma continuo di gestione del rischio.

La difficoltà non è produrli una volta. È tenerli aggiornati mentre il modello viene riaddestrato, i clienti cambiano e gli incidenti accadono. Una piattaforma di governance che conserva ogni risultato, ne segue il responsabile e ne segnala l’obsolescenza trasforma una serie di doveri giuridici in un processo ripetibile. È proprio il compito di AI Sigil: riunire documentazione, registri dei rischi e prove in un unico luogo, per produrre un’attestazione di conformità su richiesta.

Domande frequenti

ChatGPT è un’IA per finalità generali? Il modello alla base di ChatGPT è un modello di IA per finalità generali ai sensi del regolamento sull’IA, perché presenta una generalità significativa e svolge un’ampia gamma di compiti distinti. Il prodotto conversazionale è un sistema costruito su quel modello. Il fornitore del modello sottostante porta gli obblighi dell’articolo 53; un’organizzazione che si limita a usare l’assistente è deployer. Che differenza c’è tra IA per finalità generali e IA generale? L’IA per finalità generali è una categoria giuridica e pratica per i modelli ampiamente capaci di oggi. L’intelligenza artificiale generale (AGI) è un sistema futuro ipotetico che eguaglierebbe o supererebbe l’essere umano su quasi tutti i compiti. Il regolamento disciplina l’IA per finalità generali che esiste; non definisce né regola l’AGI come oggetto distinto. Che cos’è un modello di IA per finalità generali con rischio sistemico? Un modello per finalità generali si presume a rischio sistemico quando il suo calcolo cumulativo di addestramento supera 10^25 operazioni in virgola mobile, ai sensi dell’articolo 51. La Commissione può anche designarlo secondo i criteri dell’allegato XIII. Questi modelli portano i doveri aggiuntivi dell’articolo 55, oltre alla base. I modelli open source devono conformarsi? In parte. Ai sensi dell’articolo 53(2), un modello realmente libero e open source è esentato dalla documentazione tecnica e dall’informazione a valle, ma deve mantenere una politica sul diritto d’autore e una sintesi pubblica dei contenuti di addestramento. L’esenzione non vale affatto per i modelli a rischio sistemico, che si conformano integralmente. Usare un modello per finalità generali rende la mia azienda un fornitore? Di norma no. Accedere a un modello e costruirci sopra fa di voi un deployer. Potete diventare fornitori se modificate o perfezionate il modello in modo sostanziale, e la Commissione indica i cambiamenti che impiegano più di circa un terzo del calcolo di addestramento originario. Documentate ciò che fate, perché il ruolo sia chiaro. Come dimostra la conformità un fornitore? La via più diretta è il codice di buone pratiche per l’IA per finalità generali, pubblicato il 10 luglio 2025. L’adesione apre una presunzione di conformità agli obblighi degli articolo 53 e articolo 55 in attesa delle norme armonizzate, e il suo modulo di documentazione del modello offre un modello pronto all’uso.

Conclusione

L’IA per finalità generali non è più una formula vaga. Sotto il regolamento europeo è una categoria giuridica con una definizione chiara, due soglie di calcolo e un insieme di obblighi in vigore dall’agosto 2025. Il percorso è ordinato: confermare se il vostro modello è per finalità generali, stabilire se raggiunge il livello sistemico, lavorare i doveri dell’articolo 53 e, se del caso, dell’articolo 55, e attestarli con il codice di buone pratiche. Le organizzazioni che riescono trattano il tema come un problema di documentazione e gestione del rischio, con responsabili e scadenze, non come un esercizio legale una tantum. Cominciate dalla qualificazione, poi costruite i risultati una volta e teneteli aggiornati.

IA per finalità generali (GPAI) e l’AI Act europeo

Cosa definisce un modello di IA per finalità generali, le soglie di 10^23 e 10^25 FLOP e gli obblighi degli articoli 53 e 55 dell'AI Act europeo.

Spiegabilità dell’IA: guida a conformità e governance

La spiegabilità è ora un obbligo del regolamento sull'IA. Cosa significa, come si distingue dall'interpretabilità e come dimostrarla nella governance.

Sistema di gestione della conformità: la guida nell’era dell’IA

Un sistema di gestione della conformità trasforma regole sparse in un programma verificabile. Elementi, ISO 37301 e ciò che l'IA cambia.

Bias algoritmico: cause, esempi e controlli

Il bias algoritmico è ormai un obbligo di legge, non solo una questione etica. Cause, esempi reali e controlli conformi al regolamento UE sull'IA e al NIST.

Documentazione dei sistemi di IA: cosa richiede l’AI Act

La documentazione di un sistema di IA ne dimostra la conformità. Scopri cosa richiedono l'articolo 11 e l'allegato IV dell'AI Act, quali artefatti conservare e come restare pronti all'audit.

Cos’è un modello di IA? Tipi, esempi e governance

Un modello di IA è un programma addestrato sui dati per fare previsioni. Scopri i tipi di modelli, esempi e la loro governance secondo l'AI Act europeo.