AI ACT: dal 2 agosto in vigore obblighi di trasparenza e disposizioni sui modelli GenAI

Contesto normativo e attori coinvolti nell'AI Act Il Reg. UE 2024/1689 (AI Act), pubblicato a luglio 2024, ha introdotto la prima cornice legislativa organica sull'intelligenza artificiale in Unione Europea. Com'è noto la norma adotta un approccio graduato su diversi livelli di rischio (inaccettabile, alto, limitato, minimo) e prevede obblighi differenziati a seconda dell'appartenenza di un sistema di intelligenza artificiale ad una o altra categoria. L'AI Act si applica con portata extraterritoriale a tutti gli attori della filiera dell'IA: fornitori che immettono sistemi di IA sul mercato UE, sistemi IA collocati anche extra-UE il cui output viene usato nell'Unione, nonché importatori, distributori, fabbricanti e rappresentanti autorizzati. Per graduare, per così dire, l'impatto della normativa il legislatore europeo ha previsto delle tempistiche di applicazione scaglionate nel tempo. Seppur entrato in vigore nell'agosto 2024, infatti, una parte di disposizioni (quelle relative all'alfabetizzazione e alle c.d. pratiche vietate) sono divenute efficaci a decorrere dal 2 febbraio 2025 ed ora, dal prossimo 2 agosto 2025 è prevista la piena operatività di un ulteriore “blocco” di previsioni tra cui quelle più importanti sono sicuramente quelle inerenti agli obblighi di trasparenza per fornitori e deployer (ossia gli utilizzatori) e le previsioni inerenti ai modelli di intelligenza artificiale per finalità generali (General Purpose AI - GPAI) in cui ricadono i modelli che sono utilizzati dai sistemi più diffusi, come ChatGPT, Claude, Gemini, ecc., per i quali, essendo sul mercato prima della data del 2 agosto 2025, è previsto un periodo transitorio aggiuntivo per l'adeguamento di due ulteriori anni, con scadenza il 2 agosto 2027. Infine, sul piano istituzionale, entro la stessa data del 2 agosto 2025 ogni Stato membro dovrà designare le autorità nazionali competenti (autorità di vigilanza sul mercato ed autorità di notifica) per svolgere le funzioni ad esse demandate per l'attuazione del regolamento e predisporre meccanismi di controllo e sanzione. Obblighi di trasparenza per i sistemi che interagiscono con le persone e relativamente ai contenuti generati dall'IA Gli artt. 50-54 Reg. UE 2024/1689 delineano una serie di obblighi di trasparenza a carico sia dei fornitori sia di chi implementa o utilizza i sistemi di IA. In generale, quando un'IA interagisce con un essere umano, vi è un obbligo di rendere evidente a quest'ultimo che sta interagendo con un sistema automatizzato e non con un altro essere umano, ciò a meno che tale interazione non sia già ovvia per l'utente. Analogo principio vale per i contenuti generati o manipolati dall'IA: quando un sistema di IA genera testi, immagini, audio o video, tali contenuti dovranno essere contrassegnati come generati con un sistema IA. L'art. 50 impone ai fornitori di sistemi di IA generativa (inclusi i GPAI) di implementare soluzioni tecniche affinché gli output possano essere appunto contrassegnati in formato leggibile da una macchina e riconoscibili come creati dall'IA. Ciò implica, ad esempio, inserire watermark digitali o metadati nei contenuti. L'obbligo di marcatura è escluso in alcune ipotesi: non è necessario se l'IA svolge mere funzioni di assistenza all'editing senza alterare sostanzialmente il contenuto fornito dall'utente, oppure se l'uso avviene nell'ambito di attività lecite di prevenzione e repressione dei reati. Inoltre, qualora il contenuto generato con l'IA sia manifestamente artistico, creativo o satirico, resta l'obbligo di dichiarare la generazione artificiale artificialmente, ma in modo da non pregiudicare la fruizione dell'opera (ad esempio per un video disclaimer aggiunti al termine o inizio dello stesso). La stessa disciplina è prevista per i testi informativi destinati al pubblico generati dall'IA, per i quali deve essere effettuata la dichiarazione che il testo è stato prodotto o alterato dall'intelligenza artificiale, salvo che vi sia stato un successivo intervento umano editoriale volto a garantirne l'affidabilità e idoneo ad allocare eventuali responsabilità (come nel caso di contenuti di testate giornalistiche). Ulteriore obbligo di trasparenza riguarda i sistemi di riconoscimento delle emozioni o di categorizzazione biometrica rivolto principalmente agli utilizzatori e volto a tutelare gli individui che potrebbero essere assoggettati a tali pratiche senza esserne a conoscenza. Gli obblighi di trasparenza sopra descritti rappresentano quelli che possono essere definiti requisiti di base dei sistemi di IA non ad alto rischio destinati ad interagire con gli utenti. L'obiettivo principale è quelli di scongiurare usi decettivi dell'IA in cui gli utenti possono essere manipolati tramite tali sistemi senza esserne a conoscenza, ciò nell'ottica di garantire trasparenza e correttezza nell'utilizzo dei sistemi di intelligenza artificiale anche al fine di aumentare la fiducia dei cittadini in tali soluzioni tecnologiche. Modelli di IA per finalità generali (GPAI): definizione e obblighi dedicati Durante l'iter legislativo dell'AI Act il Parlamento europeo ha inserito nel testo originario una serie di disposizioni volte a regolare i “modelli di intelligenza artificiale per finalità generale”, intendendosi quei modelli di IA addestrati su un'ampia scala e con elevate capacità di generalizzazione, tali da poter svolgere una vasta gamma di compiti eterogenei e da poter essere integrati in molteplici applicazioni a valle. Si tratta, ad esempio, dei modelli di IA generativa (come grandi modelli linguistici o di conversione testo-immagine) che possono essere riutilizzati in contesti diversi. L'AI Act fornisce criteri tecnici per identificare i GPAI più avanzati: le Linee guida della Commissione UE hanno chiarito che rientrano in tale definizione i modelli addestrati con importanti risorse computazionali e capaci di generare linguaggio (testo o audio) o convertire testo in immagini/video. In sostanza, i fondamenti tecnologici dell'odierna IA generativa rientrano in questa categoria regolata ad hoc. Tale inserimento ha creato, per così dire, un salto upstream del livello tecnologico di regolazione, passando dal normare i sistemi di intelligenza artificiale (che possono o non possono essere basati su modelli per finalità generali) ai modelli, che spesso sono il “motore” su cui è costruito un sistema. Obblighi generali per i fornitori di modelli GPAI A partire dal 2 agosto 2025, i fornitori che immettono sul mercato modelli di GPAI dovranno rispettare una serie di obblighi specifici, pensati per garantire trasparenza, sicurezza e affidabilità lungo l'intera catena del valore. Tali obblighi sono principalmente volti a consentire ai c.d. fornitori a valle, ossia a chi vuole integrare questi modelli in propri sistemi, una serie di informazioni utili o necessarie per procedere, in maniera sicura e affidabile, a tale attività di integrazione. In primo luogo, essi dovranno predisporre e mantenere una documentazione tecnica completa del modello, conforme ai requisiti indicati nell'AI Act (Allegato XI). Tale documentazione – che va tenuta aggiornata – dovrà descrivere dettagliatamente il funzionamento del modello, la sua architettura, le metodologie di addestramento e i dataset utilizzati, le limitazioni e le prestazioni, nonché i possibili rischi identificati. L'obbligo di trasparenza sui dati di training si sostanzia anche nella pubblicazione di un riepilogo pubblico (“summary”) dei contenuti impiegati per l'addestramento. Questo training data summary dovrà essere messo a disposizione liberamente, con informazioni aggregate sulle fonti dei dati (ad esempio percentuali di dati provenienti da determinate tipologie di repository, lingue o domini). La Commissione europea ha già fornito a luglio 2025 un template standard per aiutare i fornitori a pubblicare questi riassunti in modo uniforme e completo, in attuazione di quanto richiesto dall'art. 53 Reg. UE 2024/1689. Oltre alla documentazione tecnica e al data summary, i fornitori di modelli GPAI dovranno adottare e attuare una policy aziendale sul copyright relativa ai dati utilizzati per addestrare il modello, ciò al fine di garantire che i modelli vengano addestrati nel rispetto dei diritti di proprietà intellettuale, potendo essere utilizzati solamente contenuti reperiti in modo lecito (ad esempio contenuti pubblici o con licenze appropriate, o dati estratti nel rispetto delle eccezioni di text and data mining), dovendo rispettare le eventuali riserve di diritti espresse dagli aventi diritto e implementando misure per mitigare il rischio che il modello produca output che violino il diritto d'autore. Inoltre, i fornitori sono tenuti a designare un punto di contatto e una procedura per gestire reclami su potenziali inadempimenti in materia di copyright. Gli obblighi appena descritti costituiscono misure di trasparenza e accountability applicabili a tutti i fornitori di modelli GPAI, indipendentemente dalla grandezza del modello o dal suo uso. Tali requisiti, come anticipato, mirano a rendere i modelli più “conoscibili” e controllabili anche per i fornitori e utilizzatori a valle: ad esempio, un'impresa che acquisisce un modello generativo da un fornitore dovrà poter ottenere da quest'ultimo la model card redatta sulla base delle previsioni dell'AI Act, con le previste informazioni tecniche così da integrare il modello nei propri sistemi in modo conforme. Tali informazioni includono dettagli sulle prestazioni e limitazioni del modello, sulle misure di sicurezza implementate e sulle modalità corrette di utilizzo. La trattazione delle nuove disposizioni seguirà in un altro contributo dedicato al GPAI Code of Practice e alle linee guida della Commissione UE per i fornitori.