EU AI Act: dal 2 agosto 2025 sono in vigore gli obblighi per i modelli GPAI. Trasparenza, copyright, gestione dei rischi e Code of Practice. Impatti pratici per provider e imprese italiane.
Dal 2 agosto 2025 sono in applicazione in tutta l’UE gli obblighi per i modelli di AI a uso generale (GPAI). Con loro, arriva anche il Code of Practice definitivo: un binario volontario—ma “ufficiale”—per dimostrare la conformità su trasparenza, copyright e, per i modelli più avanzati, safety & security. Ecco perché impatta subito chi sviluppa modelli e chi integra LLM nei processi aziendali.
Indice dei contenuti
EU AI Act: cosa è già applicabile
La Commissione europea ha confermato che dal 2 agosto 2025 gli obblighi per i provider di modelli GPAI sono effettivi in tutta l’Unione. Nella pratica significa più informazioni pubbliche su come sono addestrati i modelli, tutela del diritto d’autore sin dalla raccolta dei dati e responsabilità rafforzate per i modelli con rischio sistemico. Per i modelli già sul mercato prima del 2 agosto 2025 vale una finestra transitoria: adeguamento entro il 2 agosto 2027. L’architettura di governance dell’AI Act è anch’essa attiva da agosto.
Nella propria nota ufficiale, la Commissione spiega che sono GPAI i modelli addestrati con oltre 10^23 FLOP e capaci di generare linguaggio. I modelli con rischio sistemico—cioè i più avanzati e impattanti—superano 10^25 FLOP e devono notificare l’AI Office, documentare la gestione del rischio e dimostrare controlli di sicurezza coerenti con l’AI Act. È un criterio operativo pensato per dare certezza tecnica agli operatori. (Strategia Digitale Europea)
Il Code of Practice: la via rapida (e verificabile) alla conformità
Il General-Purpose AI Code of Practice è stato pubblicato il 10 luglio 2025 e confermato come strumento adeguato dalla Commissione e dall’AI Board. Non è una legge, ma chi lo firma può dimostrare la conformità agli obblighi su trasparenza e copyright (Art. 53) e, se rientra tra i modelli sistemici, al capitolo Safety & Security (Art. 55). Riduce oneri amministrativi e aumenta la certezza legale nel dialogo con i regolatori.
Sul piano pratico, il Code introduce un Model Documentation Form riutilizzabile per versione di modello, linee guida operative per la policy copyright (incluso rispetto di opt-out e fonti lecite) e uno scheletro di risk management per i modelli sistemici: valutazioni, red-teaming, incident reporting e Safety & Security Model Report da condividere con l’AI Office prima dell’immissione sul mercato.
Trasparenza sui dati di training: arriva il “riepilogo pubblico”
Per rendere la trasparenza misurabile, la Commissione pubblica anche il Template per il Public Summary of Training Content: un formato minimo comune che chiede di indicare le fonti (inclusi domini principali), il processo di raccolta e trattamento, e altre informazioni utili a titolari di diritti e soggetti con interesse legittimo. È la cerniera tra disclosure e diritto d’autore.
Le Guidelines for providers of general-purpose AI models chiariscono il perimetro degli obblighi, distinguono tra modifiche significative (che fanno scattare il ruolo di “provider” anche per chi integra) e interventi minori (che non lo fanno), e spiegano il calendario: applicazione dal 2 agosto 2025, enforcement dei poteri sanzionatori della Commissione dal 2 agosto 2026, adeguamento dei modelli pre-esistenti entro il 2 agosto 2027. Nel frattempo l’AI Office supporta i provider—specie i firmatari del Code—nel percorso di conformità.
Cosa significa per chi sviluppa modelli
Se produci modelli proprietari, oggi devi sapere con precisione dove ricadi: GPAI “standard” o con rischio sistemico. Il primo passo è allineare documentazione tecnica e copyright policy al Code, preparare la sintesi pubblica dei dati di training, e—se “sistemico”—impostare un framework di safety & security con responsabilità organizzative chiare e Model Report per l’AI Office. Gli studi legali segnalano che l’adozione del Code riduce sensibilmente l’attrito regolatorio nel prossimo anno di enforcement progressivo.
Cosa significa per chi integra LLM in azienda
Se non sviluppi un foundation model ma lo integri in prodotti e processi, la partita è di supply-chain: chiedi ai fornitori la documentazione prevista (Model Documentation Form, policy copyright, sintesi delle fonti), incorpora in contratto obblighi coerenti con l’AI Act e struttura post-market monitoring e incident handling per i casi d’uso più delicati. Le linee guida della Commissione chiariscono quando un integratore diventa, di fatto, provider della versione modificata. È il momento di rifare DPIA, matrice dei rischi e responsabilità interne.
EU AI Act: timeline
Il quadro dell’AI Act procede a ondate: pratiche vietate e AI literacy in applicazione dal 2 febbraio 2025; GPAI e governance attivi dal 2 agosto 2025; regime pieno e poteri sanzionatori dal 2 agosto 2026; alcune aree ad estensione fino al 2027. Chi ha modelli “legacy” ha ancora tempo, ma da oggi l’asticella della trasparenza e del copyright è già alta per chi immette nuovi modelli sul mercato UE.
La fase GPAI segna il passaggio dall’annuncio alla ingegneria della conformità. Il Code of Practice non è un bollino, ma un manuale condiviso per dimostrare ciò che si dichiara: come hai addestrato il modello, quali fonti hai usato, che rischi hai previsto e come li governi. Per chi si muove adesso, la compliance diventa un vantaggio competitivo: riduce rischi legali, accelera gli audit dei clienti e rende più fluida l’adozione in ambito enterprise.
