i
Si tratta di una traduzione automatica fornita dal servizio eTranslation della Commissione europea per aiutarti a capire questa pagina. Si prega di leggere le condizioni d'uso.
Questo elenco di FAQ è stato compilato sulla base delle domande ricevute durante i webinar dell’AI Pact, nonché dei contributi presentati dalle parti interessate. L’elenco sarà aggiornato regolarmente e secondo necessità.
Il termine "agente dell'IA" è spesso usato in modo incoerente nel dibattito pubblico, in parte a causa di una demarcazione sfocata e ancora in evoluzione tra gli agenti dell'IA e altri tipi di IA. Tuttavia, vi è un ampio consenso sul fatto che un agente di IA deve avere la capacità di ricevere ed elaborare input dal proprio ambiente ed eseguire azioni basate su tale elaborazione che possono interagire con o influenzare il proprio ambiente (ad esempio, l'emissione di chiamate di funzioni). Il termine "IA agentica" è talvolta usato per descrivere configurazioni più sofisticate che integrano più agenti di IA. Tuttavia, la precisa interrelazione tra questi due termini è ancora in evoluzione.
In genere, un agente di IA conterrà almeno un modello di IA per finalità generali (GPAI) e costituirà un sistema di IA in quanto di solito avrà una qualche forma di interfaccia, che è considerata un componente del sistema (considerando 97 della legge sull'IA). Una dichiarazione più precisa di "tipicamente" è difficile da fare in quanto il termine agente dell'IA non è legalmente definito ed è utilizzato colloquialmente per diversi tipi di artefatti. Pertanto, sebbene gli agenti dell'IA non siano una categoria distinta di IA ai sensi della legge sull'IA, le definizioni di sistema di IA di cui all'articolo 3, paragrafo 1, della legge sull'IA e di modello GPAI di cui all'articolo 3, paragrafo 63, della legge sull'IA sono sufficienti per includere gli agenti dell'IA. Ciò significa che le norme applicabili ai sistemi di IA e ai modelli GPAI ai sensi della legge sull'IA si applicano anche agli agenti dell'IA.
Tra le norme per i sistemi di IA, particolarmente pertinenti sono i divieti della legge sull'IA di manipolazione dannosa e sfruttamento delle vulnerabilità (articolo 5, paragrafo 1, lettere a) e b), della legge sull'IA), il cui rispetto può richiedere garanzie nella progettazione e nello sviluppo degli agenti di IA per evitare pratiche vietate che possono ragionevolmente causare un danno significativo. Dal 2 agosto 2026 in poi, se l'agente dell'IA classifica come sistema di IA ad alto rischio, è anche soggetto a requisiti aggiuntivi che ne garantiscono la sicurezza e l'affidabilità per l'uso previsto (capo III della legge sull'IA). Inoltre, se l'agente dell'IA è destinato a interagire con persone fisiche o a generare contenuti, si applicheranno le norme in materia di trasparenza (articolo 50 della legge sull'IA) – è in fase di sviluppo un codice di buone pratiche per rendere operative tali norme.
Per quanto riguarda i modelli GPAI tipicamente sottostanti agli agenti dell'IA, fattori quali il livello di autonomia o l'uso degli strumenti del modello possono essere decisivi nella designazione del modello come modello con rischio sistemico (articolo 51, paragrafo 1, lettera b), allegato XIII, lettera e), della legge sull'IA). Inoltre, i fornitori di modelli GPAI a rischio sistemico sono soggetti a obblighi di gestione del rischio, che includono considerazioni relative alle capacità autonome del modello e al suo uso agentico (operazionalizzati ad esempio nella misura 5.1, punto 7, appendice 1.3.1, punti 5 e 7, appendice 1.3.3, punti 1, 4 e 12, o appendice 3.2, secondo paragrafo, capitolo sulla sicurezza del codice di buone pratiche GPAI).
Dato che gli sviluppi relativi agli agenti di IA sono recenti e in rapida evoluzione, le considerazioni normative della Commissione europea sono solo preliminari in questa fase. L'Ufficio per l'IA continua a monitorare attentamente questi sviluppi e, se necessario, prenderà in considerazione l'elaborazione di strategie per affrontare i potenziali rischi posti dagli agenti dell'IA. Ad esempio, il recente bando di gara dell'Ufficio per l'IA relativo all'assistenza tecnica per la sicurezza dell'IA comprende un lotto dedicato alla valutazione della sicurezza degli agenti dell'IA.
La legge sull'IA è entrata in vigore il 1o agosto 2024. Segue un'entrata in applicazione scaglionata, con alcune parti già applicabili, come alcuni divieti, l'alfabetizzazione in materia di IA e le norme per i modelli di IA per finalità generali. Altre parti della legge si applicheranno il 2 agosto 2026 e il 2 agosto 2027.
Questo roll-out progressivo ci consente di sfruttare l'esperienza acquisita nell'applicazione della prima parte delle regole. La Commissione si impegna ad apprendere costantemente e a intensificare i propri sforzi. Ciò è particolarmente importante nel contesto di una tecnologia in rapida evoluzione come l'IA.
Le consultazioni delle parti interessate nel corso del 2025 hanno rivelato le sfide di attuazione che devono essere affrontate affinché la legge sull'IA possa essere attuata con successo. La presente proposta presenta modifiche legislative a tal fine e integra gli sforzi in corso per facilitare il rispetto della legge sull'IA, come l'avvio di un Service Desk sulla legge sull'IA.
La Commissione è impegnata a favore di un'attuazione chiara, semplice e favorevole all'innovazione della legge sull'IA, come stabilito nel piano d'azione per il continente dell'IA e nella strategia Applica l'IA. La proposta della Commissione allinea la legge sull'IA a tale approccio:
Collegamento quando le norme si applicano alla disponibilità del sostegno
- Collegare l'applicazione delle norme per l'IA ad alto rischio alla disponibilità di strumenti di sostegno come le norme. La Commissione sta adeguando il calendario per l'applicazione delle norme ad alto rischio a un massimo di 16 mesi.
Introduzione della semplificazione:
- l'estensione di alcune modalità semplificate per l'adempimento degli obblighi giuridici da parte delle PMI alle piccole imprese a media capitalizzazione, come la documentazione tecnica semplificata;
- Richiedere alla Commissione e agli Stati membri di promuovere l'alfabetizzazione in materia di IA e garantire un sostegno continuo alle imprese basandosi sugli sforzi esistenti (come l'archivio delle pratiche di alfabetizzazione in materia di IA dell'Ufficio per l'IA) invece di imporre obblighi non specificati agli operatori, mantenendo nel contempo in vigore gli obblighi di formazione per i deployer ad alto rischio.
- eliminare la prescrizione di un piano armonizzato di monitoraggio post-commercializzazione, offrendo alle imprese una maggiore flessibilità;
- Ridurre l'onere di registrazione per i sistemi di IA utilizzati in zone ad alto rischio per compiti che non sono considerati ad alto rischio.
Migliorare l'efficacia della governance della legge sull'IA:
- centralizzare la sorveglianza dei sistemi di IA basati su modelli di IA per finalità generali con l'Ufficio per l'IA, al fine di ridurre la frammentazione della governance per gli sviluppatori di tali modelli e sistemi;
- Concentrare la sorveglianza dell'IA integrata nelle piattaforme online e nei motori di ricerca di dimensioni molto grandi a livello della Commissione assegnando tale sorveglianza all'Ufficio per l'IA.
Proroga delle misure a sostegno della conformità:
- consentire ai fornitori e agli operatori di trattare categorie particolari di dati personali per garantire l'individuazione e la correzione delle distorsioni, fatte salve adeguate garanzie;
- Ampliare l'uso degli spazi di sperimentazione normativa per l'IA e dei test nel mondo reale in modo che un maggior numero di innovatori possa beneficiare di questi strumenti. Ciò comprende l'istituzione di uno spazio di sperimentazione normativa a livello dell'UE a partire dal 2028 per sostenere i test nel mondo reale.
Migliorare le procedure e il funzionamento della legge sull'IA:
- Chiarire l'interazione tra la legge sull'IA e altre normative dell'UE. Semplificare le procedure per promuovere la tempestiva disponibilità degli organismi di valutazione della conformità.
Secondo le prime stime della Commissione, le misure proposte in materia di IA dovrebbero ridurre i costi di conformità per le imprese in tutta l'UE.
Allo stesso tempo, estendendo i benefici concessi alle PMI per includere le PMI, la Commissione sta facilitando l'attuazione per altre 8 250 imprese in Europa.
Nel complesso, le proposte presentate dalla Commissione aiuteranno le imprese a rispettare i loro obblighi. Offrono inoltre maggiori opportunità di innovare nell'UE, facilitando ulteriormente l'introduzione del quadro normativo concepito per creare un mercato unico per un'IA affidabile.
La proposta riconosce la sfida che il ritardo delle norme e di altri strumenti di sostegno comporta per l'attuazione della legge sull'IA.
Il calendario per le norme in materia di IA ad alto rischio è allineato alla disponibilità di norme e altri strumenti di sostegno. Una volta che la Commissione avrà confermato che sono sufficientemente disponibili, le norme inizieranno ad applicarsi dopo un periodo di transizione.
Questa flessibilità ha una data di fine: le norme per l'IA ad alto rischio in settori sensibili come l'occupazione e le attività di contrasto (allegato III) si applicheranno in ogni caso al massimo 16 mesi più tardi di quanto inizialmente previsto, le norme per l'IA ad alto rischio incorporata in prodotti come i dispositivi medici (allegato I) si applicheranno al massimo 12 mesi più tardi.
La proposta suggerisce inoltre un periodo di transizione di sei mesi per i fornitori che devono includere retroattivamente soluzioni tecniche nei loro sistemi di IA generativa per renderli rilevabili.
La legge dell'UE sull'IA è la prima legge globale sull'IA al mondo. Mira a promuovere l'innovazione e la diffusione dell'IA, garantendo nel contempo un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali, compresi la democrazia e lo Stato di diritto.
L'adozione dei sistemi di IA ha un forte potenziale per apportare benefici sociali, crescita economica e rafforzare l'innovazione dell'UE e la competitività globale. Tuttavia, in alcuni casi, le caratteristiche specifiche di determinati sistemi di IA possono creare rischi connessi alla sicurezza degli utenti, compresa la sicurezza fisica, e ai diritti fondamentali. Alcuni potenti modelli di IA ampiamente utilizzati potrebbero anche comportare rischi sistemici.
Ciò comporta incertezza giuridica e un'adozione potenzialmente più lenta delle tecnologie di IA da parte delle autorità pubbliche, delle imprese e dei cittadini, a causa della mancanza di fiducia. Risposte normative divergenti da parte delle autorità nazionali potrebbero rischiare di frammentare il mercato interno.
In risposta a tali sfide, era necessaria un'azione legislativa per garantire un mercato interno ben funzionante per i sistemi e i modelli di IA in cui sia i benefici che i rischi siano adeguatamente affrontati.
La legge sull'IA si applica progressivamente, con una piena attuazione entro il 2 agosto 2027.
I divieti, le definizioni e le disposizioni relativi all'alfabetizzazione in materia di IA sono diventati applicabili il 2 febbraio 2025;
Le norme sulla governance e gli obblighi per i modelli di IA per finalità generali sono diventate applicabili il 2 agosto 2025;
Gli obblighi relativi ai sistemi ad alto rischio elencati nell'allegato III, gli obblighi di trasparenza (articolo 50) e le misure a sostegno dell'innovazione si applicheranno a decorrere dal 2 agosto 2026. Questa è anche la data in cui inizierà l'applicazione della legge sull'IA;
Gli obblighi per i sistemi di IA ad alto rischio che si classificano come ad alto rischio in quanto incorporati in prodotti regolamentati, elencati nell'allegato I (elenco della normativa di armonizzazione dell'Unione), entreranno in vigore il 2 agosto 2027.
La legge sull'IA è concepita come una regolamentazione flessibile e adeguata alle esigenze future che consente di adattare le norme al rapido ritmo dello sviluppo tecnologico, nonché ai potenziali cambiamenti nell'uso dei sistemi di IA e ai rischi emergenti.
Mentre in generale la legge sull'IA può essere modificata solo attraverso la procedura legislativa, in alcuni casi alla Commissione è conferito il potere di modificare determinate parti della legge sull'IA. Ad esempio, la Commissione può adattare le seguenti parti della legge sull'IA:
L'elenco dei casi d'uso ad alto rischio di cui all'allegato III. La Commissione è tenuta a effettuare un riesame annuale per valutare se siano necessarie modifiche all'elenco.
La soglia al di sopra della quale si presume che i modelli di IA per finalità generali abbiano capacità di impatto elevato e siano classificati come modelli che presentano rischi sistemici.
La Commissione valuta inoltre periodicamente se siano necessarie altre modifiche alla legge sull'IA e riferisce al Parlamento europeo e al Consiglio. Tale valutazione periodica è prevista direttamente nella legge sull'IA.
La legge sull'IA non si applica a tutte le soluzioni di IA, ma solo a quelle che soddisfano la definizione di "sistema di IA" ai sensi dell'articolo 3, paragrafo 1, della legge sull'IA.
La legge sull'IA segue un approccio basato sul rischio e introduce norme per i sistemi di IA basate sul livello di rischio che possono comportare. Sono vietate tutte le pratiche di IA che presentano un rischio inaccettabile per la salute, la sicurezza o i diritti fondamentali sanciti dalla Carta dei diritti fondamentali (ad esempio i sistemi di IA utilizzati per rilevare le emozioni dei dipendenti sul lavoro, ad eccezione di motivi medici e di sicurezza; alcune pratiche di punteggio sociale). I sistemi di IA ad alto rischio per la salute, la sicurezza o i diritti fondamentali devono soddisfare determinati requisiti per garantire che siano sicuri e affidabili (ad esempio i sistemi di IA utilizzati nella gestione dei controlli di frontiera; le autorità di contrasto o i veicoli autonomi potrebbero essere esempi di sistemi di IA ad alto rischio). Alcuni sistemi di IA devono soddisfare i requisiti di trasparenza (ad esempio, i deep fake dovranno essere etichettati come generati dall'IA; i chatbot dovrebbero informare che una persona non sta comunicando con un essere umano). Tutti gli altri sistemi di IA non sono regolamentati e possono essere immessi sul mercato, messi in servizio o utilizzati nell'UE senza requisiti: al momento della preparazione della proposta di legge sull'IA, si stimava che sarebbero stati l'85%.
La legge sull'IA non si applica automaticamente a tutti i sistemi di IA immessi sul mercato prima della sua data di applicazione. Gli obblighi di conformità sono invece introdotti gradualmente a seconda della categoria e del fatto che il sistema subisca modifiche significative.
La legge sull'IA si applicherà a decorrere dal 31 dicembre 2030 ai sistemi di IA che sono componenti dei sistemi IT su larga scala istituiti dagli atti giuridici elencati nell'allegato X che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027. Nel caso in cui tali sistemi IT su larga scala siano valutati o gli atti giuridici di cui all'allegato X siano sostituiti o modificati prima del 31 dicembre 2030, si tiene conto della legge sull'IA.
La legge sull'IA si applicherà anche ai sistemi di IA ad alto rischio immessi sul mercato o messi in servizio prima del 2 agosto 2026 solo nel caso in cui tali sistemi siano modificati in modo significativo. La legge sull'IA si applicherà anche a decorrere dal 31 dicembre 2030 ai sistemi di IA ad alto rischio immessi sul mercato o messi in servizio prima del 2 agosto 2026 e (destinati ad essere) utilizzati dalle autorità pubbliche.
Infine, la legge sull'IA si applicherà dal 2 agosto 2027 ai modelli di IA per finalità generali immessi sul mercato prima del 2 agosto 2025.
Tuttavia, le norme sulle pratiche di IA vietate (articolo 5) si applicano a tutti i sistemi di IA, senza tenere conto della data della loro immissione sul mercato.
Concentrandosi specificamente sulla fase di costruzione del sistema di IA, il considerando 12 della legge sull'IA chiarisce ulteriormente che "le tecniche che consentono l'inferenza durante la costruzione di un sistema di IA comprendono approcci di apprendimento automatico che imparano dai dati come raggiungere determinati obiettivi e approcci logici e basati sulla conoscenza che deducono dalla conoscenza codificata o dalla rappresentazione simbolica del compito da risolvere". Tali tecniche dovrebbero essere intese come "tecniche di IA".
Oltre a vari approcci di apprendimento automatico, spesso intesi come tecnica di IA, la seconda categoria di tecniche di IA menzionata nel considerando 12 della legge sull'IA sono "approcci logici e basati sulla conoscenza che deducono dalla conoscenza codificata o dalla rappresentazione simbolica del compito da risolvere". Invece di imparare dai dati, questi sistemi di IA imparano dalle conoscenze, comprese le regole, i fatti e le relazioni codificate da esperti umani.
Sulla base delle conoscenze codificate da esperti umani, questi sistemi possono "ragionare" attraverso motori deduttivi o induttivi o utilizzando operazioni quali lo smistamento, la ricerca, l'abbinamento e l'incatenamento. Utilizzando l'inferenza logica per trarre conclusioni, tali sistemi applicano logica formale, regole predefinite o ontologie a nuove situazioni. Gli approcci basati sulla logica e sulla conoscenza comprendono, ad esempio, la rappresentazione della conoscenza, la programmazione induttiva (logica), le basi di conoscenza, i motori di inferenza e deduttivi, il ragionamento (simbolico), i sistemi esperti e i metodi di ricerca e ottimizzazione.
La legge sull'IA distingue tra un sistema di IA, definito all'articolo 3, paragrafo 1, e un modello di IA per finalità generali, definito all'articolo 3, paragrafo 63.
La legge sull'IA fa riferimento ai modelli di IA come a quelli che "sono componenti essenziali dei sistemi di IA. Non costituiscono sistemi di IA da soli. I modelli di IA richiedono l'aggiunta di ulteriori componenti, come ad esempio un'interfaccia utente, per diventare sistemi di IA. I modelli di IA sono generalmente integrati nei sistemi di IA e ne fanno parte" (considerando 97). "I modelli di IA generativa di grandi dimensioni sono un tipico esempio di modello di IA per finalità generali, dato che consentono una generazione flessibile di contenuti, ad esempio sotto forma di testo, audio, immagini o video, che possono facilmente ospitare un'ampia gamma di compiti distintivi" (considerando 99).
La legge sull'IA definisce un sistema di IA come un "sistema basato su macchine progettato per funzionare con diversi livelli di autonomia e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce, dall'input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare gli ambienti fisici o virtuali" (articolo 3, paragrafo 1, considerando 12).
Per maggiori informazioni si rimanda agli orientamenti sulla definizione di sistema di intelligenza artificiale.
La legge sull'IA segue un approccio basato sul rischio, classificando i sistemi di IA in quattro diverse categorie di rischio: rischio inaccettabile, rischio elevato, rischio per la trasparenza e rischio minimo o nullo.
Per la categoria di rischio inaccettabile, la legge sull'IA elenca pratiche specifiche vietate (articolo 5 della legge sull'IA). I sistemi di IA ad alto rischio sono definiti conformemente all'articolo 6 della legge sull'IA in combinato disposto con l'allegato I (elenco della normativa di armonizzazione dell'Unione) e l'allegato III della legge sull'IA. L'allegato III comprende otto settori in cui l'uso dell'IA può essere particolarmente sensibile ed elenca casi d'uso concreti per ciascun settore che, secondo la valutazione del colegislatore, presentano rischi significativi per la salute, la sicurezza e i diritti fondamentali. Per alcuni sistemi di IA in cui la trasparenza è particolarmente importante, sono previste norme in materia di trasparenza. Tutti gli altri sistemi di IA sono considerati sistemi di IA "minimi o privi di rischi" e la legge sull'IA non prevede alcun obbligo per loro. Su base volontaria, i fornitori di tali sistemi possono scegliere di applicare i requisiti per un'IA affidabile e di aderire a codici di condotta volontari.
A seconda del livello di rischio, gli obblighi e i requisiti relativi a specifici sistemi di IA varieranno.
I fornitori di sistemi di IA ad alto rischio devono garantire che il loro sistema di IA ad alto rischio sia conforme ai requisiti della legge sull'IA prima che il sistema sia immesso sul mercato o messo in servizio. Tra gli esempi di tali requisiti figurano l'esistenza di un sistema di gestione dei rischi, la registrazione dei registri e la garanzia della governance qualitativa dei dati e dei dati, nonché la sorveglianza umana. Inoltre, i fornitori dovranno registrare il loro sistema nella banca dati dell'UE e accompagnarlo con istruzioni per l'uso da parte dei deployer.
I fornitori di sistemi a rischio di trasparenza, come i chatbot, i compagni sociali dell'IA o i deep fake, devono rispettare determinati obblighi di trasparenza. Ciò include, ad esempio, informare le persone fisiche che interagiscono con un sistema di IA o garantire che i contenuti generati dall'IA possano essere rilevati come tali. I deployer di sistemi in grado di generare o manipolare contenuti devono rivelare che il contenuto è generato dall'IA.
La legge sull'IA non prescrive obblighi per i sistemi di IA a rischio minimo, ma gli Stati membri possono agevolare l'elaborazione di codici di condotta volontari per i sistemi di IA che non sono ad alto rischio.
In linea di principio, l'evoluzione di un sistema di IA non ha implicazioni giuridiche. Tuttavia, nel caso dei sistemi di IA ad alto rischio, tali sviluppi dovrebbero essere anticipati e affrontati nell'ambito del quadro di gestione dei rischi e dei relativi obblighi di conformità. Qualora un sistema di IA subisca modifiche sostanziali, ciò può comportare conseguenze giuridiche, compresa la necessità di una nuova valutazione della conformità a norma della legge sull'IA.
La legge sull'IA non richiede alcuna governance interna particolare all'interno dell'azienda.
Tuttavia, in linea con l'articolo 17, paragrafo 1, lettera m), i fornitori di sistemi di IA ad alto rischio dovrebbero istituire un sistema di gestione della qualità, che dovrebbe includere un quadro di responsabilità, che stabilisca le responsabilità della dirigenza e di altro personale per quanto riguarda tutti gli aspetti relativi al sistema di gestione della qualità elencati all'articolo 17 della legge sull'IA.
Il portale EU Funding & Tenders della Commissione europea è il luogo centrale in cui trovare qualsiasi opportunità di finanziamento da parte dell'UE, comprese quelle pertinenti per l'IA. Di particolare interesse tra i programmi di finanziamento sono Orizzonte Europa e il programma Europa digitale. Nell'ambito di Orizzonte Europa vi sono diversi settori di interesse, in particolare il polo tematico 4 e il Consiglio europeo per l'innovazione. Possono essere pertinenti anche altri settori, come il Consiglio europeo della ricerca dal basso verso l'alto.
L'iniziativa faro GenAI4EU offre ampie opportunità di sviluppare e diffondere un'IA generativa affidabile nei settori strategici europei. Con quasi 700 milioni di euro impegnati, ci sono molte opportunità per aiutare l'Europa a diventare più competitiva e innovativa. Un sito web dedicato offre una panoramica dei diversi inviti a presentare proposte disponibili nell'ambito di Orizzonte Europa e del programma Europa digitale.
Il concetto di alfabetizzazione all'IA di cui all'articolo 4 della legge sull'IA si basa sulla definizione del termine di cui all'articolo 3, punto 56, della legge sull'IA, secondo cui: "alfabetizzazione in materia di IA": le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei rispettivi diritti e obblighi nel contesto del presente regolamento, di effettuare una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell'IA e ai possibili danni che può causare.
Non esiste un approccio unico che funzioni per tutti. Dipende dal tipo di sistema di IA che l'azienda si occupa e dalla conoscenza del personale in questione. Non vi è tuttavia alcun obbligo di formazione esterna o di certificazione esterna.
Si prega di consultare ulteriormente AI Literacy - Questions & Answers.
La legge sull'IA non impone alle imprese di designare funzionari incaricati dell'IA. Tuttavia, la legge sull'IA impone ai fornitori e ai deployer di sistemi di IA di garantire, nella migliore misura possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale e di altre persone che si occupano del funzionamento e dell'uso dei sistemi di IA per loro conto.
La Commissione ha pubblicato un archivio vivente per promuovere l'apprendimento e lo scambio sull'alfabetizzazione in materia di IA,Domande e risposte sull'alfabetizzazione in materia di IA e un webinar registrato sull'alfabetizzazione in materia di IA. Il repository verrà ampliato. Ci sono molti corsi di formazione online gratuiti. La scelta dipende dalle competenze individuali del personale in questione.
I divieti di cui all'articolo 5 della legge sull'IA comprendono determinate pratiche manipolative, il punteggio sociale, la polizia predittiva basata esclusivamente sulla profilazione, lo scraping di Internet e del materiale CCTV per creare o espandere banche dati sul riconoscimento facciale, il riconoscimento delle emozioni nell'istruzione e sul luogo di lavoro, la categorizzazione biometrica per dedurre attributi sensibili come l'opinione politica o l'orientamento sessuale e l'identificazione biometrica remota in tempo reale a fini di contrasto in spazi accessibili al pubblico (con alcune limitate eccezioni).
Per ulteriori informazioni, fare riferimento alle linee guida sulle pratiche di intelligenza artificiale vietate.
I divieti di cui all'articolo 5 comprendono determinate pratiche manipolative, il punteggio sociale, la polizia predittiva basata esclusivamente sulla profilazione, lo scraping di Internet e del materiale CCTV per creare o ampliare banche dati sul riconoscimento facciale, il riconoscimento delle emozioni nell'istruzione e sul luogo di lavoro, la categorizzazione biometrica per dedurre attributi sensibili come l'opinione politica o l'orientamento sessuale e l'identificazione biometrica remota in tempo reale a fini di contrasto in spazi accessibili al pubblico (con alcune limitate eccezioni).
Gli orientamenti sono stati pubblicati nel febbraio 2025.
La Commissione sta attualmente elaborando orientamenti sulla classificazione dei sistemi di IA ad alto rischio, che dovrebbero essere pubblicati nel febbraio 2026.
È vietata l'immissione sul mercato, la messa in servizio a tale scopo specifico o l'uso di sistemi di IA per dedurre le emozioni di una persona fisica nei settori del luogo di lavoro e degli istituti di istruzione. Tuttavia, tale divieto non si applica all'uso di un sistema di IA quando il sistema di IA è destinato a essere messo in atto o immesso sul mercato per motivi medici o di sicurezza.
L'allegato III comprende otto settori ed elenca casi d'uso specifici per ciascuno di essi, che il colegislatore dell'UE ha valutato come ad alto rischio di danni alla salute e alla sicurezza o ai diritti fondamentali.
In termini semplici, i settori sono elencati come punti nell'allegato III (ad esempio punto 1 – Biometria, punto 2 – Infrastrutture critiche, punto 3 – Istruzione e formazione professionale, ecc.). I casi d'uso sono elencati in ciascuna area. Ad esempio, il punto 6 dell'allegato III riguarda il settore delle attività di contrasto, che comprende cinque casi d'uso (a)–e)).
Per essere classificato come ad alto rischio, un sistema di IA deve rientrare in uno dei settori di cui all'allegato III e corrispondere a uno dei casi d'uso ivi elencati. In altre parole, non tutti i sistemi di IA utilizzati in un particolare settore (come le attività di contrasto) sono automaticamente considerati ad alto rischio; solo quelli che rientrano nei casi d'uso specifici di cui all'allegato III sono ammissibili.
L'articolo 16 della legge sull'IA fornisce una panoramica degli obblighi che i fornitori di sistemi di IA ad alto rischio devono rispettare per conformarsi alla legge sull'IA.
Prima di immettere il loro sistema di IA ad alto rischio o di metterlo in servizi, i fornitori di tali sistemi devono garantire che il loro sistema di IA ad alto rischio sia conforme agli articoli da 8 a 15 della legge sull'IA e sia stato sottoposto a una valutazione della conformità. Tale conformità dovrebbe essere dimostrata su richiesta ragionevole di un'autorità nazionale competente.
A seguito di tale valutazione della conformità, i fornitori devono redigere una dichiarazione di conformità UE e apporre la marcatura CE sul sistema (o sul suo imballaggio o sulla documentazione di accompagnamento), nonché indicare le loro informazioni di contatto sul sistema di IA ad alto rischio in modo da poter essere contattati. I fornitori devono inoltre registrare il loro sistema di IA ad alto rischio nella banca dati dell'UE.
Inoltre, i fornitori devono rispettare gli articoli da 17 a 20 della legge sull'IA istituendo un sistema di gestione della qualità, conservare la documentazione per 10 anni, conservare i registri generati automaticamente dal sistema di IA ad alto rischio e adottare le necessarie azioni correttive e fornire informazioni relative a tali azioni.
Infine, i fornitori di sistemi di IA ad alto rischio devono garantire che il loro sistema sia conforme ai pertinenti requisiti di accessibilità.
I dati di localizzazione normalmente non sono biometrici. Di conseguenza, non rientra nei casi d'uso ad alto rischio elencati nell'allegato III, punto 1, né nelle pratiche vietate di cui all'articolo 5, paragrafo 1, lettera g).
La maggior parte dei sistemi di IA biometrici non è vietata ai sensi della legge sull'IA. Le pratiche di IA vietate per quanto riguarda i sistemi biometrici sono limitate e comprendono in particolare: il riconoscimento delle emozioni sul luogo di lavoro, alcuni sistemi di categorizzazione biometrica e l'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di contrasto. Questi sono soggetti a eccezioni definite in modo restrittivo.
Esistono tuttavia alcune norme aggiuntive che si applicano ai sistemi biometrici consentiti. In particolare, alcune applicazioni biometriche sono considerate ad alto rischio (sistemi di identificazione biometrica remota, alcuni sistemi di IA destinati alla categorizzazione biometrica e sistemi di IA destinati al riconoscimento delle emozioni). La legge sull'IA stabilisce requisiti specifici per i sistemi di IA ad alto rischio. Tali requisiti riguardano, tra l'altro, la governance dei dati e dei dati, la documentazione e la tenuta dei registri, la trasparenza e la fornitura di informazioni agli utenti, la sorveglianza umana, la solidità, l'accuratezza e la sicurezza.
L'uso di sistemi di IA per la verifica biometrica, vale a dire la conferma che una persona è chi afferma di essere, non è vietato ai sensi della legge sull'IA e non rientra nella categoria dei sistemi ad alto rischio.
Per ulteriori informazioni, consultare le linee guida sulle pratiche di intelligenza artificiale vietate.
La legge dell'UE sull'IA sottolinea l'importanza della sorveglianza umana per i sistemi di IA ad alto rischio. Ciò significa che questi sistemi devono essere progettati e sviluppati in modo che gli esseri umani possano monitorarli mentre sono in uso. Dovrebbero essere messi in atto strumenti e misure adeguati per aiutare le persone a controllare efficacemente l'IA, garantendo che eventuali rischi per la salute, la sicurezza o i diritti fondamentali siano evitati o ridotti al minimo. Quando il sistema è in uso, la sorveglianza umana comprende anche misure appropriate che devono essere attuate dal deployer. Tali misure dovrebbero essere descritte nelle istruzioni per l'uso ed essere efficaci e commisurate al rischio, al livello di autonomia del sistema e al contesto di utilizzo del sistema di IA ad alto rischio.
I datori di lavoro dovrebbero attuare misure di sorveglianza umana e assegnare tale compito alle persone fisiche che dispongono delle competenze, della formazione e dell'autorità necessarie, nonché del sostegno necessario.
La legge sull'IA introduce una serie di misure di sostegno adattate alle piccole e medie imprese (PMI). tra cui la possibilità di preparare una documentazione tecnica semplificata e di attuare sistemi di gestione della qualità semplificati per i sistemi di IA ad alto rischio. Alle PMI è inoltre concesso l'accesso gratuito agli spazi di sperimentazione normativa per l'IA, che consentono loro di testare e sviluppare sistemi di IA in un ambiente controllato. Inoltre, ai sensi dell'articolo 62, la Commissione europea e le autorità nazionali sono tenute a fornire misure di sostegno specifiche alle PMI. I loro interessi sono ulteriormente rappresentati attraverso una speciale categoria di membri nel forum consultivo, garantendo che le loro esigenze siano prese in considerazione nel processo di regolamentazione. Infine, le PMI beneficiano di una particolare considerazione quando vengono irrogate sanzioni, che riflettono la loro particolare posizione sul mercato e il potenziale impatto delle sanzioni.
Quando un modello di IA per finalità generali è integrato in un sistema di IA o ne fa parte, il sistema risultante dovrebbe essere considerato un sistema di IA per finalità generali se acquisisce la capacità di servire molteplici finalità attraverso tale integrazione. I sistemi di IA per finalità generali possono essere utilizzati direttamente o integrati in altri sistemi di IA.
Data la loro versatilità, i sistemi di IA per finalità generali possono essere utilizzati come sistemi di IA ad alto rischio a pieno titolo o come componenti di altri sistemi di IA ad alto rischio. Per garantire un'equa distribuzione delle responsabilità lungo tutta la catena del valore dell'IA, i fornitori di sistemi di IA per finalità generali dovrebbero cooperare strettamente con i fornitori di pertinenti sistemi di IA ad alto rischio, salvo altrimenti specificato nel presente regolamento. Tale cooperazione dovrebbe consentire ai fornitori di sistemi di IA ad alto rischio di rispettare i loro obblighi a norma del presente regolamento e facilitare le interazioni con le autorità competenti istituite dal regolamento.
Sebbene gli agenti dell'IA non siano una categoria distinta ai sensi della legge sull'IA, potrebbero dover rispettare i requisiti per i sistemi di IA e/o gli obblighi per i fornitori di modelli di IA per finalità generali. Particolarmente pertinenti sono i divieti della legge sull'IA di manipolazione dannosa o sfruttamento delle vulnerabilità, che possono richiedere garanzie tecniche nella progettazione di un sistema di IA agente. Se il sistema di IA agentica è classificato come ad alto rischio, è soggetto a requisiti aggiuntivi che ne garantiscono la sicurezza e l'affidabilità.
Inoltre, se il sistema di IA agentica è destinato a interagire con persone fisiche o a generare contenuti, si applicano le norme in materia di trasparenza (per ulteriori informazioni, cfr. le presenti domande frequenti ela presente consultazione). Per quanto riguarda i modelli di IA per finalità generali, fattori quali il livello di autonomia o l'uso di strumenti di un modello possono essere decisivi nella sua designazione come avente un rischio sistemico. I fornitori di modelli di IA per finalità generali con rischio sistemico sono soggetti a obblighi di gestione del rischio, che includono considerazioni relative alle capacità autonome del modello e al suo uso agentico.
Dato che gli sviluppi sono recenti e in rapida evoluzione, le considerazioni normative della Commissione europea sono solo preliminari in questa fase, anche alla luce del fatto che la comprensione di ciò che costituisce un agente di IA varia notevolmente. La Commissione europea continua a monitorare attentamente lo sviluppo degli agenti di IA e, se necessario, prenderà in considerazione azioni al riguardo. Ad esempio, il recente bando di gara dell'Ufficio per l'IA relativo all'assistenza tecnica per la sicurezza dell'IA comprende un lotto dedicato alla valutazione della sicurezza degli agenti dell'IA.
La legge sull'IA disciplina, tra l'altro, i modelli di IA per finalità generali immessi sul mercato dell'Unione, compresi il loro sviluppo e uso. Per ulteriori informazioni sulle condizioni in cui un modello di IA è considerato "generale", cfr. la domanda "Quando un modello si qualifica come modello di IA per finalità generali?" e la sezione 2.1 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali.
"immissione sul mercato": la prima fornitura di un sistema di IA o di un modello di IA per finalità generali per la distribuzione o l'uso sul mercato dell'Unione durante un'attività commerciale, a titolo oneroso o gratuito (articolo 3, paragrafo 9, punto 10, della legge sull'IA). Alcuni esempi di ciò che costituisce un'immissione sul mercato sono riportati nella sezione 3.1.2 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali.
Una versione open source può costituire un'immissione sul mercato. In particolare, la fornitura commerciale del modello può essere gratuita (articolo 3, paragrafo 10, della legge sull'IA). Tuttavia, i fornitori di un modello di IA per finalità generali open source che non presenta rischi sistemici sono esentati da determinati obblighi. Per ulteriori informazioni, cfr. la domanda "In che modo la legge sull'IA si applica ai modelli di IA per finalità generali rilasciati come open source?" e la sezione 4 degli orientamenti sulla portata degli obblighi per i modelli di IA per finalità generali.
L'uso interno di un modello di IA per finalità generali costituisce un'immissione sul mercato almeno se è essenziale per fornire un prodotto o un servizio a terzi sul mercato dell'Unione o se incide sui diritti delle persone fisiche nell'Unione. Ulteriori esempi sono forniti nella sezione 3.1.2 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali.
I modelli di IA specificamente sviluppati e messi in servizio al solo scopo di ricerca e sviluppo scientifici non rientrano nell'ambito di applicazione della legge sull'IA (articolo 2, paragrafo 6, della legge sull'IA).
L'articolo 3, punto 63, della legge sull'IA definisce un "modello di IA per finalità generali" come "un modello di IA, anche quando tale modello di IA è addestrato con una grande quantità di dati utilizzando l'autocontrollo su larga scala, che mostra una generalità significativa ed è in grado di svolgere con competenza un'ampia gamma di compiti distinti indipendentemente dal modo in cui il modello è immesso sul mercato e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima della loro immissione sul mercato". Questa definizione elenca in modo generale i fattori che determinano se un modello è un modello di IA per finalità generali. Tuttavia, non stabilisce criteri specifici che i potenziali fornitori possono utilizzare per valutare se il loro modello è un modello di IA per finalità generali.
La sezione 2.1 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali fornisce un criterio indicativo: un modello è considerato un modello di IA per finalità generali se le risorse computazionali utilizzate per la sua formazione superano le 10^23 operazioni in virgola mobile e può generare linguaggio (testo o audio), da testo a immagine o da testo a video. Questa soglia di calcolo corrisponde alla quantità tipica di calcolo utilizzata per addestrare modelli con un miliardo di parametri su set di dati di grandi dimensioni. Inoltre, le modalità scelte consentono una generazione flessibile di contenuti in grado di soddisfare un'ampia gamma di compiti distinti. Tuttavia, questa non è una regola assoluta: i modelli che soddisfano questo criterio possono eccezionalmente non essere considerati modelli di IA per finalità generali se non hanno una generalità significativa, mentre i modelli al di sotto di questa soglia possono ancora essere modelli di IA per finalità generali se presentano una generalità significativa e possono svolgere con competenza un'ampia gamma di compiti.
Un modello di IA per finalità generali è classificato come modello di IA per finalità generali con rischio sistemico se soddisfa una delle due condizioni seguenti.
In primo luogo, se ha capacità che corrispondono o superano quelle dei modelli più avanzati. La legge sull'IA presume che i modelli addestrati con una quantità cumulativa di risorse computazionali superiore a 10^25 operazioni in virgola mobile abbiano tali capacità (articolo 51, paragrafo 2, della legge sull'IA). La soglia è fissata sulla base del fatto che l'uso di tale quantità di calcolo indica che il modello potrebbe avere un impatto significativo sul mercato dell'Unione a causa della sua portata o dei suoi potenziali effetti negativi sulla salute pubblica, sulla sicurezza, sui diritti fondamentali o sulla società. La Commissione europea adegua tale soglia ove necessario per tenere conto degli sviluppi tecnologici.
In secondo luogo, la Commissione europea può designare un modello come modello di IA per finalità generali con rischio sistemico, di propria iniziativa o a seguito di una segnalazione qualificata del gruppo di esperti scientifici, se il modello ha capacità o un impatto equivalenti a quelli dei modelli più avanzati (articolo 51, paragrafo 1, lettera b), della legge sull'IA). Ciò spiega il fatto che esistono modelli che possono presentare rischi sistemici nonostante non raggiungano la soglia di calcolo.
Per un modello che soddisfa una delle due condizioni, il suo fornitore deve rispettare obblighi aggiuntivi, tra cui la valutazione e l'attenuazione dei rischi sistemici (cfr. la domanda "Quali sono i requisiti aggiuntivi per i modelli di IA per finalità generali con rischio sistemico?").
I fornitori di modelli formati con meno di 10^25 operazioni in virgola mobile di calcolo cumulativo non sono tenuti a notificare alla Commissione europea il loro modello e a rispettare gli obblighi in materia di sicurezza, a meno che il loro modello non sia stato designato come presentante rischi sistemici dalla Commissione europea.
La formazione di un modello di IA per finalità generali (con o senza rischio sistemico) richiede un'allocazione anticipata considerevole delle risorse di calcolo. Pertanto, i fornitori sono in grado di sapere se il loro modello soddisferà il criterio indicativo per costituire un modello di IA per finalità generali, di cui alla sezione 2.1 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali, o la soglia di calcolo cumulativa dell'addestramento di cui all'articolo 51, paragrafo 2, della legge sull'IA, prima che l'addestramento sia completato (considerando 112 della legge sull'IA). In particolare, i fornitori dovrebbero stimare se il loro modello sarà un modello di IA per finalità generali (addestrato con più di 10^23 operazioni in virgola mobile di calcolo cumulativo) e un modello di IA per finalità generali con rischio sistemico (addestrato con più di 10^25 operazioni in virgola mobile di calcolo cumulativo) prima dell'inizio di un'ampia corsa di pre-formazione.
Una volta che un modello supera la soglia cumulativa di calcolo dell'addestramento di 10^25 operazioni in virgola mobile, di cui all'articolo 51, paragrafo 2, della legge sull'IA, o il fornitore sa che il modello supererà tale soglia, il fornitore ha due settimane per notificarlo alla Commissione europea (articolo 52 della legge sull'IA). Per ulteriori informazioni sulla notifica cfr. la domanda "Se un modello di IA per finalità generali supera la soglia di calcolo per tali modelli a rischio sistemico, si ritiene che abbia sempre un rischio sistemico?"
I fornitori possono scegliere il loro metodo per calcolare/stimare il calcolo cumulativo della formazione nelle operazioni in virgola mobile. Gli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali, nel loro allegato, offrono due possibili approcci: basati sull'architettura e sull'hardware; nonché principi generali per ciò che dovrebbe essere incluso/escluso nel calcolo. Il calcolo utilizzato per generare dati sintetici — dati di addestramento creati artificialmente prodotti da algoritmi (compresi altri modelli) piuttosto che raccolti da fonti del mondo reale — deve essere incluso nel calcolo cumulativo del calcolo dell'addestramento, in aggiunta al calcolo utilizzato per addestrare i dati sintetici, se i dati sintetici non sono accessibili al pubblico. Tuttavia, il calcolo cumulativo dell'addestramento del modello padre (ossia il modello che genera i dati sintetici) non deve essere incluso nel calcolo/nella stima.
I fornitori possono contestare la classificazione automatica come modello di IA per finalità generali con rischio sistemico quando raggiungono la soglia di calcolo di cui all'articolo 51, paragrafo 2, della legge sull'IA. Ad esempio, possono confutare la presunzione che il loro modello abbia capacità ad alto impatto fornendo prove del fatto che le capacità del loro modello non corrispondono o superano quelle registrate nei modelli più avanzati. La sezione 2.3 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali fornisce ulteriori orientamenti su come farlo. Se la Commissione europea accetta le argomentazioni del fornitore, il modello cesserà di essere classificato come rischio sistemico, riducendo così gli obblighi per il fornitore in relazione a tale modello specifico dal momento dell'accettazione in poi.
In linea con l'applicazione collaborativa e proporzionata della legge sull'IA e con il diritto del fornitore a una buona amministrazione, la Commissione europea può tenere conto delle nuove informazioni presentate dal fornitore dopo la notifica, una volta che siano disponibili. Inoltre, la decisione della Commissione europea di accettare o respingere le argomentazioni del prestatore può tenere conto delle incertezze nelle informazioni fornite e delineare di conseguenza le condizioni per un eventuale riesame futuro. Tuttavia, gli obblighi per i fornitori di modelli di IA per finalità generali con rischio sistemico si applicano dal momento in cui il modello soddisfa la condizione di cui all'articolo 51, paragrafo 1, lettera a), della legge sull'IA (ossia capacità ad alto impatto, presunte raggiungendo la soglia di calcolo).
In generale, no. Le misure di sicurezza possono essere invocate per attenuare i rischi sistemici derivanti dal modello di IA per finalità generali del fornitore con rischio sistemico. Tuttavia, le attenuazioni non modificano il fatto che il modello presenta un rischio sistemico (accettabile). Se il modello non presenta rischi sistemici, anche in assenza di misure di sicurezza attuate, i fornitori possono contestare la classificazione automatica a norma dell'articolo 52, paragrafo 2, della legge sull'IA (cfr. la domanda "Se un modello di IA per finalità generali è superiore alla soglia di calcolo per tali modelli con rischio sistemico, è sempre considerato avere un rischio sistemico?").
La Commissione europea ritiene che qualsiasi successivo sviluppo del modello a valle della sua grande corsa di pre-formazione faccia parte dello stesso ciclo di vita del modello e quindi dello stesso modello, se effettuato dallo stesso fornitore o per conto dello stesso fornitore (cfr. la sezione 2.2 delle linee guida sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali).Si applicano considerazioni diverse se un altro soggetto modifica il modello (cfr. la domanda "Se un modello di IA per finalità generali è modificato da un soggetto diverso dal fornitore originale, l'entità che modifica diventa il fornitore?" e la sezione 3.2 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali).
Questa comprensione di un modello è stata scelta dalla Commissione europea dopo un'attenta valutazione. Nel moderno sviluppo dell'IA, è comune apportare piccole modifiche iterative ai modelli di IA dopo il posizionamento sul mercato. I fornitori spesso effettuano anche una post-formazione più significativa al loro modello già immesso sul mercato e il modello modificato che ne risulta viene commercializzato con un nuovo nome, colloquialmente denominato "nuovo modello". Poiché la nostra comprensione della tecnologia è ancora in evoluzione, attualmente è difficile definire un buon confine in ciò che conta come una modifica rilevante o irrilevante allo scopo di delineare le successive versioni del modello in modelli distinti. Pertanto, per ora, la Commissione europea ritiene che ogni versione del modello derivata dalla stessa grande preformazione gestita dallo stesso fornitore sia lo stesso modello per garantire la certezza del diritto. Di conseguenza, non tutte le "distribuzioni" che sono bollate come tali dai fornitori costituiscono necessariamente un nuovo modello ai fini della legge sull'IA, seguendo l'interpretazione contenuta negli orientamenti. Potrebbero essere necessari dettagli tecnici non pubblici sul processo di formazione per determinare se un "rilascio" costituisca un nuovo modello.
Poiché i modelli immessi sul mercato prima del 2 agosto 2025 devono essere conformi alla legge sull'IA solo a partire dal 2 agosto 2027 (articolo 111, paragrafo 3, della legge sull'IA), è possibile che tale periodo transitorio si applichi ancora a una "liberazione" in corso.
Diversamente dalle disposizioni sui sistemi di IA, che coprono molteplici ruoli diversi come il fornitore, l'operatore, l'importatore o il distributore, le disposizioni sui modelli di IA per finalità generali disciplinano solo il "fornitore". In tale contesto, per "fornitore" si intende chiunque sviluppi un modello di IA per finalità generali o abbia sviluppato un modello di IA per finalità generali e lo immetta sul mercato con il proprio nome o marchio, a titolo oneroso o gratuito (articolo 3, paragrafo 3, della legge sull'IA). È importante sottolineare che "lo immette sul mercato" si riferisce alla prima fornitura commerciale del modello per la distribuzione o l'uso sul mercato dell'Unione (articolo 3, paragrafo 9, punto 10, della legge sull'IA).
Ad esempio, un datore di lavoro che fornisce ai propri dipendenti licenze per un modello già disponibile sul mercato dell'Unione non sarebbe considerato il fornitore di tale modello né sarebbe tenuto a verificarne la conformità ai sensi della legge sull'IA. Tuttavia, se un attore a valle integra nel proprio sistema di IA un modello già messo a disposizione sul mercato dell'Unione, potrebbe dover far fronte agli obblighi previsti dalle disposizioni della legge sull'IA sui sistemi di IA.
La Commissione europea ritiene che un modificatore a valle diventi il fornitore del modello di IA per finalità generali modificato solo se la modifica comporta un cambiamento significativo della generalità, delle capacità o del rischio sistemico del modello. Un criterio indicativo a tal fine è che il calcolo dell'addestramento utilizzato per la modifica è superiore a un terzo del calcolo dell'addestramento del modello originale (cfr. l'allegato delle linee guida sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali per come dovrebbe essere inteso il "calcolo dell'addestramento"). Tuttavia, se non ci si può aspettare che il modificatore a valle conosca questo valore e non possa stimarlo, la soglia dovrebbe essere sostituita come segue.
Se il modello originale è un modello di IA per finalità generali con rischio sistemico, la soglia dovrebbe essere sostituita con un terzo della soglia per un modello che si presume abbia capacità ad alto impatto (ossia, attualmente 10^25 operazioni in virgola mobile). In caso contrario, dovrebbe essere sostituito con un terzo della soglia per un modello che si presume essere un modello di IA per finalità generali (ossia, attualmente 10^23 operazioni in virgola mobile, cfr. la sezione 2.1 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali).
Tale soglia si basa sull'aspettativa che un modello modificato con tale quantità di calcolo mostrerà una modifica significativa che giustifica che il modificatore a valle sia soggetto agli obblighi per i fornitori o i modelli di IA per finalità generali e potenzialmente per i modelli di IA per finalità generali con rischio sistemico. Sebbene attualmente poche modifiche possano soddisfare questo criterio, il numero di modificatori a valle che diventano fornitori di modelli di IA per finalità generali può aumentare nel tempo con l'aumentare del calcolo utilizzato per modificare i modelli. Il criterio è quindi principalmente lungimirante e in linea con l'approccio basato sul rischio della legge sull'IA. Pertanto, l'approccio della Commissione europea potrebbe cambiare in futuro con l'evoluzione della tecnologia e del mercato.
Per ulteriori informazioni cfr. la sezione 3.2 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali.
La legge sull'IA riconosce che l'entità che forma il modello può non essere quella che è contrattualmente, economicamente e/o tecnicamente responsabile dello sviluppo (cfr. la definizione del fornitore che afferma "ha sviluppato" all'articolo 3, paragrafo 3, della legge sull'IA). La questione sotto la cui autorità viene formato un modello richiede una valutazione caso per caso, che può tenere conto, tra gli altri fattori, delle relazioni contrattuali. Alcuni esempi sono forniti nella sezione 3.1.1 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali.
I fornitori di modelli di IA per finalità generali devono (articolo 53 della legge sull'IA):
elabora e mantiene la documentazione tecnica sul modello, comprese le informazioni sul processo di sviluppo, da fornire all'ufficio per l'IA su richiesta; le autorità nazionali competenti possono inoltre chiedere all'ufficio per l'IA di richiedere informazioni per loro conto quando tali informazioni sono necessarie per l'esercizio dei loro compiti di vigilanza;
fornire informazioni e documentazione ai fornitori di sistemi di IA a valle per aiutarli a comprendere le capacità e le limitazioni del modello e a rispettare i propri obblighi;
attuare una politica per conformarsi al diritto d'autore dell'Unione e ai diritti connessi, compresa l'individuazione e il rispetto delle riserve di diritti attraverso tecnologie all'avanguardia; pubblicare una sintesi sufficientemente dettagliata del contenuto utilizzato per la formazione del modello; se sono stabiliti al di fuori dell'UE, nominano un rappresentante autorizzato nell'Unione prima di immettere il loro modello sul mercato.
I fornitori possono dimostrare la conformità attraverso il codice di buone pratiche dell'IA per finalità generali che è stato valutato come adeguato o attraverso mezzi alternativi adeguati.
Oltre agli obblighi standard per i fornitori di tutti i modelli di IA per finalità generali, i fornitori di modelli di IA per finalità generali con rischio sistemico devono (articolo 55 della legge sull'IA):
effettuare la valutazione dei modelli utilizzando protocolli standardizzati e strumenti all'avanguardia, compresa la conduzione e la documentazione di prove contraddittorie per individuare e mitigare i rischi sistemici;
valutare e attenuare i possibili rischi sistemici a livello dell'Unione, comprese le loro fonti, che possono derivare dallo sviluppo, dall'immissione sul mercato o dall'uso di tali modelli;
tracciare, documentare e comunicare senza indebito ritardo le informazioni pertinenti sugli incidenti gravi e sulle possibili misure correttive all'ufficio per l'IA e, se del caso, alle autorità nazionali;
garantire un'adeguata protezione della cibersicurezza sia per il modello che per la sua infrastruttura fisica, al fine di prevenire accessi non autorizzati, furti o fughe.
I fornitori di tali modelli possono dimostrare la conformità aderendo al codice di buone pratiche dell'IA per finalità generali o mostrare mezzi alternativi adeguati di conformità. Se i fornitori scelgono di conformarsi con mezzi alternativi, devono presentare argomentazioni sul motivo per cui tali mezzi sono adeguati, ai fini della valutazione da parte della Commissione europea.
I fornitori di modelli di IA per finalità generali rilasciati come open source possono essere esentati da determinati obblighi (articolo 53, paragrafo 2, e articolo 54, paragrafo 6, della legge sull'IA), in particolare:
l'obbligo di conservare la documentazione tecnica per le autorità;
l'obbligo di fornire documentazione ai fornitori di sistemi di IA a valle;
l'obbligo di nominare un rappresentante autorizzato (per i fornitori di paesi terzi).
Tali esenzioni richiedono che il modello di IA per finalità generali:
è rilasciato sotto una licenza libera e open source, che consente l'accesso, l'uso, la modifica e la distribuzione senza monetizzazione;
ha a disposizione del pubblico i suoi parametri, compresi i pesi, l'architettura e le informazioni sull'utilizzo;
non è un modello di IA per finalità generali con rischio sistemico: i fornitori di modelli di IA per finalità generali con rischio sistemico devono rispettare tutti gli obblighi per i fornitori di modelli di IA per finalità generali, indipendentemente dal fatto che il modello sia rilasciato come open source.
Tali esenzioni riconoscono che i modelli open source contribuiscono alla ricerca e all'innovazione, pur fornendo già trasparenza attraverso la loro natura aperta. Tuttavia, i fornitori i cui modelli soddisfano i suddetti requisiti open source non sono esentati dall'obbligo della politica in materia di diritto d'autore o dall'obbligo di pubblicare una sintesi dei dati di addestramento (articolo 53, paragrafo 1, lettera c), lettera d), della legge sull'IA), poiché la loro natura open source non rende necessariamente disponibili informazioni sui dati utilizzati per l'addestramento o la modifica del modello, né su come è stata garantita la conformità alla normativa sul diritto d'autore.
La sezione 4 degli orientamenti della Commissione europea sulla portata degli obblighi per i modelli di IA per finalità generali fornisce ulteriori orientamenti sull'esenzione open source.
Il codice di buone pratiche sull'IA per finalità generali è uno strumento volontario, preparato da esperti indipendenti nell'ambito di un processo multilaterale, concepito per aiutare l'industria a rispettare gli obblighi della legge sull'IA per i fornitori di modelli di IA per finalità generali, garantendo che i modelli di IA per finalità generali immessi sul mercato europeo siano sicuri e trasparenti, compresi quelli più potenti.
Delinea un modo per i fornitori di modelli di IA per finalità generali e di modelli di IA per finalità generali con rischio sistemico di dimostrare la conformità agli obblighi della legge sull'IA di cui agli articoli 53 e 55 della legge sull'IA.
Il codice si articola in tre capitoli: Trasparenza e diritto d'autore, entrambi rivolti a tutti i fornitori di modelli di IA per finalità generali, e sicurezza, pertinenti solo per il numero limitato di fornitori dei modelli più avanzati soggetti agli obblighi della legge sull'IA per i fornitori di modelli di IA per finalità generali con rischio sistemico. Qualsiasi fornitore (o potenziale futuro fornitore) di un modello di IA per finalità generali può firmare il codice compilando il modulo di firma e inviandolo a EU-AIOFFICE-CODE-SIGNATURES@ec.europa.eu. Il modulo dovrebbe essere firmato da una persona avente l'autorità sufficiente per vincolare il fornitore al codice (ad esempio un dirigente di alto livello). Ulteriori informazioni sul processo di firma sono disponibili in questi Q&A.
Per ulteriori informazioni su quali modelli di IA sono "generali" e a quali condizioni sono classificati come "rischio sistemico", cfr. le altre domande e la sezione 2 degli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali. Per saperne di più, leggi il codice di buone pratiche dell'IA per finalità generali in questi Q&A.
La Commissione europea monitorerà e valuterà regolarmente il conseguimento degli obiettivi del codice di buone pratiche sull'IA per finalità generali (codice). Il meccanismo di aggiornamento è ulteriormente elaborato nella valutazione dell'adeguatezza del codice effettuata dalla Commissione europea.
In particolare, la Commissione europea valuterà la possibilità di agevolare gli aggiornamenti formali del codice almeno ogni due anni, ad esempio sulla base dell'emergere di norme, dei pertinenti sviluppi tecnologici o dei cambiamenti nel panorama dei rischi.
Per monitorare il conseguimento degli obiettivi del codice, la Commissione europea rimarrà in scambio con i firmatari per capire dove è necessario il sostegno all'attuazione e può cooperare con le autorità nazionali competenti, i fornitori a valle, i titolari dei diritti e altri attori. Inoltre, il codice lascia impregiudicata la responsabilità della Commissione europea di emanare orientamenti sull'applicazione della legge sull'IA, che possono essere pertinenti per i concetti contenuti nel codice. In particolare, nel caso di una minaccia imminente di danno irreversibile su vasta scala o per affrontarne gli effetti negativi, la Commissione europea valuterà se siano appropriati orientamenti rapidi sull'applicazione della legge sull'IA o un rapido aggiornamento del codice concordato dai firmatari, oltre a misure di esecuzione adeguate. Gli orientamenti sull'ambito di applicazione degli obblighi per i modelli di IA per finalità generali saranno riesaminati e aggiornati periodicamente, se del caso.
A norma dell'articolo 53, paragrafo 1, lettera a), e dell'allegato XI, sezione 1, punto 2, lettera e), della legge sull'IA, i fornitori di modelli di IA per finalità generali devono documentare il consumo energetico noto o stimato del loro modello. Se non è noto, questa stima può essere basata sulle risorse computazionali utilizzate. Alla Commissione europea è inoltre conferito il potere di adottare un atto delegato per specificare le metodologie di misurazione e calcolo che i fornitori dovrebbero utilizzare per misurare o stimare il consumo energetico dei loro modelli, al fine di consentire una documentazione comparabile e verificabile. Per il periodo fino all'adozione di tale atto delegato, il modello di modulo di documentazione in combinato disposto con il capo sulla trasparenza del codice di buone pratiche sull'IA per finalità generali (codice) fornisce orientamenti sul modo in cui i fornitori possono dimostrare la conformità a tale requisito, alla voce "Consumo di energia (durante la formazione e l'inferenza)".
In particolare, se un firmatario del codice non conosce il consumo energetico dell'addestramento del proprio modello, si impegna a comunicare un importo stimato a meno che non manchino informazioni critiche sul calcolo o sull'hardware che impediscano loro di effettuare una stima. In tal caso, il firmatario si impegna a documentare le informazioni di cui non dispone. Ai fini della stima del consumo energetico, l'ufficio per l'IA utilizzerà le informazioni disponibili sulle risorse computazionali utilizzate per l'addestramento per ricavare una stima. A tal fine, l'Ufficio per l'IA si baserà sulla conoscenza delle informazioni critiche mancanti al fornitore, sulle risorse scientifiche disponibili, nonché sui risultati preliminari dello studio in corso della Commissione europea sull'IA efficiente sotto il profilo energetico e a basse emissioni e si avvarrà delle competenze del gruppo di esperti scientifici.
I fornitori di modelli di IA per finalità generali con rischio sistemico devono tenere traccia, documentare e segnalare, senza indebito ritardo, all'ufficio per l'IA e, se del caso, alle autorità nazionali competenti, le informazioni pertinenti sugli incidenti gravi e le possibili misure correttive per affrontarli (articolo 55, paragrafo 1, lettera c), della legge sull'IA). La Commissione europea ritiene che tale obbligo copra le gravi violazioni della cibersicurezza relative al modello o alla sua infrastruttura fisica, compresa l'(auto)esfiltrazione dei parametri del modello e gli attacchi informatici, a causa delle loro possibili implicazioni per gli obblighi di cui all'articolo 55, paragrafo 1, lettere b) e d), della legge sull'IA. Oltre a ciò, la Commissione europea considera "incidente grave" nel contesto del capo V della legge sull'IA qualsiasi incidente o malfunzionamento di un modello di IA per finalità generali che porti direttamente o indirettamente a uno degli eventi elencati nella definizione corrispondente di sistemi di IA di cui all'articolo 3, punto 49, lettere da a) a d), della legge sull'IA. Il capo "Sicurezza e protezione" del codice di buone pratiche sull'IA per finalità generali, mediante il suo impegno 9, fornisce un mezzo per dimostrare il rispetto di tale obbligo.
La Commissione europea si aspetta che i fornitori rispettino gli obblighi per i fornitori di modelli di IA per finalità generali previsti dalla legge sull'IA, entrata in vigore nell'agosto 2025. Alcuni di questi sono semplici, ad esempio la notifica all'ufficio per l'IA quando un fornitore sta formando un modello di IA per finalità generali con rischio sistemico di cui all'articolo 52 della legge sull'IA. I fornitori sono tenuti a inviare tali notifiche senza ulteriori ritardi. Altri obblighi sono più complessi. Per questi ultimi, i fornitori possono dimostrare la conformità attraverso il codice di buone pratiche dell'IA per finalità generali (codice) o dimostrando mezzi alternativi adeguati di conformità.
La Commissione europea comprende che, soprattutto per quanto riguarda gli obblighi più complessi, potrebbe non essere possibile per alcuni fornitori attuare pienamente le misure del codice, o mezzi altrettanto adeguati per dimostrare la conformità, entro agosto 2025. Nei casi in cui un fornitore non rispetti pienamente tutti gli impegni del codice immediatamente, la Commissione europea li considererà in buona fede e sarà pronta a collaborare per trovare il modo di garantire la piena conformità. In particolare, la Commissione europea incoraggia una stretta cooperazione informale con i fornitori durante la formazione dei loro modelli di IA per finalità generali con rischio sistemico per facilitare la conformità e garantire un tempestivo posizionamento sul mercato. Inoltre, la Commissione europea si aspetta che i fornitori di modelli di IA per finalità generali con rischio sistemico presentino una segnalazione proattiva, nell'ambito degli impegni assunti a norma del codice o nell'ambito di mezzi alternativi per dimostrare la conformità. Ciò è particolarmente importante durante il primo anno, in cui la Commissione europea si concentrerà sugli scambi tecnici a livello operativo per facilitare quanto prima la piena conformità dei fornitori.
Gli spazi di sperimentazione normativa per l'IA sono ambienti sicuri e controllati per la sperimentazione, lo sviluppo, la formazione e la sperimentazione di sistemi di IA innovativi. Le autorità competenti che vigilano sugli spazi di sperimentazione possono fornire orientamenti e consulenza sull'interpretazione delle disposizioni della legge sull'IA e di altre normative pertinenti dell'Unione o nazionali. Qualsiasi fornitore con un sistema di IA che rientra nell'ambito di applicazione della legge sull'IA può chiedere di partecipare a uno spazio di sperimentazione normativa per l'IA.
Gli Stati membri dovrebbero disporre dei loro spazi di sperimentazione normativa per l'IA entro il 2 agosto 2026, dopodiché i (potenziali) fornitori possono presentare domanda di partecipazione agli spazi di sperimentazione. Almeno uno spazio di sperimentazione normativa per l'IA sarà disponibile in ciascuno Stato membro.
Gli Stati membri dovrebbero disporre di uno spazio di sperimentazione normativa per l'IA con copertura nazionale entro il 2 agosto 2026.
Qualsiasi fornitore con un sistema di IA che rientra nell'ambito di applicazione della legge sull'IA può chiedere di partecipare a uno spazio di sperimentazione normativa per l'IA. Ciò significa che gli spazi di sperimentazione normativa per l'IA possono (tra l'altro) supervisionare progetti specifici di IA per soddisfare i requisiti e gli obblighi di cui alla legge sull'IA, anche per quanto riguarda la valutazione della conformità dei sistemi di IA ad alto rischio, la conformità dei sistemi di IA interattivi e generativi ai requisiti di trasparenza di cui all'articolo 50 della legge sull'IA, o per consentire l'identificazione, la prova e l'attuazione di misure preventive e di attenuazione efficaci per garantire che casi limite specifici di sistemi di IA non costituiscano pratiche vietate.
Gli spazi di sperimentazione normativa per l'IA e lo sportello di servizio per la normativa sull'IA dovrebbero integrarsi a vicenda. Gli spazi di sperimentazione normativa per l'IA sono concepiti per rispondere a questioni e sfide normative più specifiche e complesse e l'obiettivo del Service Desk della legge sull'IA è fornire risposte a domande più generali riguardanti la legge sull'IA. Le sfide normative affrontate e le domande cui è stata data risposta negli spazi di sperimentazione normativa per l'IA possono anche sostenere l'obiettivo dello sportello di servizio della legge sull'IA avvalendosi degli insegnamenti tratti, degli orientamenti e delle risposte forniti negli spazi di sperimentazione normativa per l'IA.