Quando la Guida Diventa Eccessiva
Dal 2 agosto 2025, i fornitori di modelli di “Intelligenza Artificiale di Uso Generale” (GPAI) – come GPT, DALL-E, Gemini e Midjourney – affronteranno obblighi di vasta portata ai sensi della Legge sull’IA dell’UE. L’emergere di questi modelli di linguaggio (multimodali) alla fine del 2022 ha spinto i legislatori europei a includere frettolosamente le normative GPAI nella Legge sull’IA. I fornitori di modelli GPAI devono fornire documentazione tecnica, implementare una politica sul copyright, pubblicare un riepilogo dei contenuti di formazione e, per i modelli particolarmente potenti che possono comportare rischi sistemici, intraprendere misure di valutazione e mitigazione del rischio.
Per dimostrare la conformità, la Legge sull’IA consente ai fornitori di fare affidamento su un “Codice di Pratica”, attualmente in fase di redazione da oltre 1000 stakeholder sotto l’egida dell’Ufficio dell’IA, e previsto per essere adottato dalla Commissione Europea prima di agosto 2025.
Co-regolazione come strategia centrale della Legge sull’IA
La Legge sull’IA si basa sul Nuovo Quadro Legislativo (NLF), che si affida alla co-regolazione: un dialogo strutturato tra i regolatori e l’industria per tradurre obblighi legali generali in standard tecnici. Invece di specificare dettagli tecnici nella legislazione, la Legge sull’IA definisce requisiti essenziali e lascia il compito di concretizzazione alle organizzazioni di standardizzazione europee CEN e CENELEC attraverso il loro comitato congiunto, JTC21.
Gli standard armonizzati forniscono certezza legale: una volta adottati dalla Commissione, la conformità a questi standard crea una presunzione di conformità con la Legge sull’IA. Sebbene le aziende possano, in teoria, sviluppare le proprie soluzioni tecniche, le difficoltà amministrative e i costi aggiuntivi coinvolti di solito le portano a seguire gli standard. Riconoscendo questi effetti, la Corte di Giustizia Europea ha costantemente stabilito che gli standard armonizzati fanno parte del diritto dell’UE e devono essere sviluppati e pubblicati in conformità con lo stato di diritto.
Il Codice di Pratica come “parte del diritto dell’UE”
Sebbene siano previsti standard armonizzati per i modelli GPAI, gli sforzi di standardizzazione in questo dominio sono ancora in una fase preliminare. Per colmare questo divario, la Legge sull’IA introduce uno strumento intermedio: il Codice di Pratica. Una volta adottato dalla Commissione Europea attraverso un atto di attuazione, la conformità al Codice garantirà una presunzione di conformità ai sensi della Legge sull’IA – simile agli standard armonizzati. In teoria, i fornitori possono scegliere di non fare affidamento sul Codice e dimostrare la conformità attraverso mezzi alternativi. Tuttavia, nella pratica, il Codice plasmerà probabilmente l’interpretazione e l’applicazione degli obblighi GPAI da parte della Commissione.
Data la sua rilevanza legale e pratica, non c’è dubbio che anche la CGUE riconoscerà il Codice come “parte del diritto dell’UE”. Di conseguenza, il Codice deve essere sviluppato in conformità con lo stato di diritto – sia procedurale che sostanziale. Tuttavia, attualmente questo non è il caso.
Un processo non regolamentato con 1.000 stakeholder
Mentre lo sviluppo di standard armonizzati è governato dal Regolamento 1025/2012, la redazione del Codice di Pratica si basa esclusivamente sull’Articolo 56 della Legge sull’IA, che autorizza vagamente l’Ufficio dell’IA a invitare stakeholder.
Il risultato è un processo senza regole strutturate, senza trasparenza e senza salvaguardie democratiche. Inizialmente, l’Ufficio dell’IA aveva pianificato di redigere il Codice a porte chiuse. In risposta alle critiche, si è spostato all’estremo opposto, lanciando una consultazione con quasi 1.000 stakeholder — coordinata da 10 esperti, inclusi alcuni non europei.
Con una tempistica estremamente compressa e un numero di partecipanti così elevato, il processo ha lasciato poco spazio per una riflessione approfondita o un input bilanciato. Ancora più preoccupante, accademici — molti senza esperienza legale o esperienza nella standardizzazione tecnica — stanno guidando lo sforzo di redazione. Eppure, il Codice, una volta adottato, definirà le aspettative degli obblighi GPAI e influenzerà l’applicazione. Remarkably, questo sta accadendo senza una partecipazione significativa da parte di esperti di standardizzazione, senza input dal Parlamento Europeo e senza supervisione da parte degli Stati Membri.
Per essere chiari, questa critica non intende mettere in discussione l’expertise tecnica dei presidenti e degli stakeholder coinvolti o la loro disponibilità a considerare prospettive diverse. Piuttosto, la questione principale è che il processo di redazione non è governato da regole procedurali legali, ma è diventato uno sforzo dall’alto verso il basso per regolare i modelli GPAI in un breve lasso di tempo – tutto mentre le discussioni in ISO/IEC e CEN/CENELEC sugli standard GPAI sono ancora in una fase preliminare, per lo più informale.
Il Codice di Pratica come un cavallo di Troia per rimodellare la Legge sull’IA?
Il contenuto della bozza è altrettanto preoccupante. Mentre il suo scopo è aiutare i fornitori a conformarsi agli obblighi esistenti, la bozza attuale va oltre la mera chiarificazione – introducendo nuovi requisiti non previsti dalla Legge sull’IA.
Un esempio è il ruolo proposto di “valutatori esterni” prima del rilascio di modelli GPAI con rischi sistemici, che non è previsto dalla Legge sull’IA. La bozza impone ai fornitori di ottenere valutazioni esterne dei rischi sistemici, comprese le valutazioni dei modelli, prima di immettere i loro modelli sul mercato. Tuttavia, la Legge sull’IA stessa non impone questo requisito – richiede solo test avversariali delle valutazioni dei modelli, non valutazioni indipendenti esterne dei rischi.
Un altro esempio riguarda il copyright: la misura I.2.4 della bozza richiede agli sviluppatori di modelli GPAI di fare sforzi ragionevoli per determinare se i contenuti protetti sono stati raccolti da un crawler conforme a robots.txt – un obbligo non imposto dalla Legge sull’IA. Inoltre, la misura I.2.5 obbliga i fornitori di modelli GPAI a prendere misure ragionevoli per mitigare il rischio che i sistemi AI successivi generino ripetutamente contenuti in violazione del copyright e a vietare tali usi nei loro termini e condizioni. Tuttavia, questi requisiti non si trovano nella Legge sull’IA né nella Direttiva sul Copyright 2019/790, che affronta solo la responsabilità primaria.
Ancora una volta, la questione non è se questi requisiti siano ragionevoli, ma che il solo scopo del Codice è chiarire gli obblighi della Legge sull’IA, non ridefinirli. Pertanto, il Codice non deve essere utilizzato come un cavallo di Troia per rimodellare la Legge sull’IA secondo preferenze politiche – eludendo le procedure democratiche.
Prossimi passi: adottare o non adottare il Codice di Pratica
Cosa succede ora? Il Codice di Pratica entrerà in vigore solo se approvato dalla Commissione attraverso un atto di attuazione ai sensi dell’Articolo 56 della Legge sull’IA. A differenza degli atti delegati, gli atti di attuazione non consentono alla Commissione di modificare o integrare la legislazione di base, ovvero la Legge sull’IA. Come confermato dalla Corte di Giustizia Europea, gli atti di attuazione “non possono né modificare né integrare l’atto legislativo, neanche per quanto riguarda i suoi elementi non essenziali”.
Quindi, la Commissione e il Consiglio dell’IA non devono semplicemente approvare la bozza attuale. Invece, entrambe le entità dovrebbero condurre una revisione critica e approfondita per garantire che le misure proposte siano davvero necessarie per l’attuazione e non contraddicano o superino le disposizioni della Legge sull’IA.
Qualsiasi cosa meno di questo non solo minerebbe il compromesso politico accuratamente negoziato tra Parlamento e Consiglio nella Legge sull’IA, ma porterebbe anche a un eccesso incostituzionale dei poteri di attuazione della Commissione.
