Codice AI 2025: nuove regole per l'intelligenza artificiale rigenerativa e cosa cambia per aziende e sviluppatori

Dal 2 agosto 2025, il panorama normativo europeo sull'intelligenza artificiale (IA) subirà una significativa trasformazione. Questo cambiamento, previsto dal Regolamento (UE) 2024/1689, è destinato a incidere profondamente su aziende, sviluppatori e operatori economici che impiegano o rilasciano modelli di IA generativa di uso generale, noti anche come General Purpose AI (GPAI). L'approccio fortemente improntato alla sicurezza, trasparenza e responsabilità introduce per la prima volta, su scala globale, un insieme di regole dettagliate obbligatorie indirizzate a sviluppatori, integratori e utilizzatori di sistemi intelligenti, con particolare attenzione ai modelli aventi impatto sistemico.

Con la nuova disciplina si impone un'architettura multilivello di vigilanza, il rispetto della proprietà intellettuale nei dati di addestramento e nuove modalità di informazione agli utenti. Questo scenario normativo pone l'Unione Europea in posizione di guida nel definire uno standard globale sull'utilizzo etico, affidabile e conforme dell'AI, promuovendo la fiducia dei cittadini nei confronti delle tecnologie digitali.

AI Act: principi, tempistiche e tappe di implementazione in Europa

L'AI Act è stato adottato per armonizzare le regole sull'intelligenza artificiale nei 27 Stati membri UE, seguendo un approccio risk-based: le regole diventano proporzionalmente più rigorose quanto più elevato è il rischio connesso ai sistemi di IA. Il quadro normativo introduce quattro categorie di rischio: inaccettabile, elevato, limitato e minimo. I sistemi che rientrano tra quelli a rischio inaccettabile (ad es. manipolazione cognitiva, social scoring, riconoscimento biometrico indiscriminato) sono vietati dal 2 febbraio 2025.

Le norme sugli obblighi di trasparenza e governance per i modelli GPAI si applicano dal 2 agosto 2025 (regole AI 2 agosto), mentre la piena applicazione delle discipline relative ai sistemi ad alto rischio è fissata al 2 agosto 2026 e, per alcune tipologie di prodotti regolamentati, si estende fino al 2027. Nell'arco di questo processo, sarà indispensabile censire e valutare i sistemi impiegati e garantire la presenza delle salvaguardie previste, anche attraverso audit interni, formazione del personale e aggiornamento continuo dei contratti di filiera. La Commissione europea ha previsto inoltre codici di condotta e banche dati centralizzate per favorire la trasparenza e l'interoperabilità delle azioni di vigilanza.

I modelli GPAI, per la loro trasversalità e capacità di integrazione in diverse applicazioni, sono soggetti a una disciplina puntuale. Dal 2 agosto 2025, fornitori e utilizzatori dovranno predisporre documentazione tecnica dettagliata, specificare l'architettura del modello, le fonti e le sintesi dei dati di training, i limiti del sistema e le valutazioni di rischio. Sarà inoltre obbligatorio integrare policy sul rispetto del diritto d'autore e implementare marcature tecniche che evidenzino la generazione di output da parte dell'intelligenza artificiale. In pratica:

• Soggetti obbligati: fornitori di modelli GPAI inseriti sul mercato europeo, anche se con base extra-UE, deployer professionali o istituzionali e integratori di sistemi.
• Responsabilità diffuse: non soltanto lo sviluppatore, ma tutta la catena di valore, inclusi distributori e utilizzatori, dovrà assicurare la compliance ai nuovi requisiti. Ogni innovazione o modifica rilevante ai modelli comporterà la necessità di notifica alle autorità di competenza.
• Codice di condotta: introdotto come strumento volontario di dimostrazione della conformità, sarà possibile aderire a un Codice riconosciuto dalla Commissione europea che include regole dedicate alla trasparenza, copyright e sicurezza.

Requisiti di trasparenza: documentazione tecnica, marcatura e informazione degli utenti

I modelli GPAI dovranno prevedere marcature automatiche (watermark o metadati) sugli output generati, in modo che testi, immagini, audio e video creati dall'IA siano immediatamente riconoscibili come tali. L'informazione dell'utente, attraverso istruzioni d'uso chiare e accessibili, dovrà includere le modalità per distinguere contenuti generati dall'AI, le misure di sorveglianza umana e le condizioni di intervento sui sistemi in caso di anomalie. Queste prassi sono ora supportate da template e linee guida ufficiali che rendono l'adempimento più efficace e tracciabile lungo tutta la vita del sistema.

Rispetto del diritto d'autore nei dati di addestramento

La questione della proprietà intellettuale rappresenta uno degli snodi centrali per lo sviluppo di strumenti di intelligenza artificiale nel mercato europeo. Dal 2 agosto 2025, sarà obbligatorio per i fornitori pubblicare un riepilogo trasparente delle fonti di dati utilizzate per l'addestramento, specificando se e come sono stati utilizzati materiali protetti da diritto d'autore.

Le policy aziendali dovranno garantire la tracciabilità delle licenze e delle modalità di raccolta e trattamento dei dati. L'aderenza alle direttive UE in materia di copyright e la possibilità per i titolari dei diritti di esercitare azioni di richiesta informazioni o rimozione diventano requisiti strategici, non solo per evitare sanzioni ma anche per costruire rapporti affidabili tra industria tecnologica, enti culturali e detentori di diritti sulle opere digitali.

Valutazione e mitigazione dei rischi per i modelli a rischio sistemico

I modelli GPAI classificati come "a rischio sistemico" (ad esempio per potenza, scala, impatti autonomi o potenziale di influenza su salute e sicurezza) saranno soggetti a ulteriori obblighi. Sarà necessario effettuare una valutazione preventiva dei rischi connessi, coinvolgendo anche audit indipendenti su base annuale. dovranno essere istituiti meccanismi di segnalazione degli incidenti e registrazioni trasparenti di eventuali anomalie riscontrate nel funzionamento dei sistemi.

L'adozione di strumenti di robustezza, resilience e reporting tecnico consentirà di contenere il rischio di danni su larga scala. La tracciabilità dei dati utilizzati (soprattutto se protetti da copyright) viene rafforzata per consentire una maggiore sicurezza e compliance. Nella tabella seguente sono riportati i principali requisiti operativi:

Governance, autorità di vigilanza e ruolo degli Stati membri

Con le nuove regole, ogni paese UE dovrà dotarsi di una o più autorità di vigilanza specifiche per l'applicazione del Regolamento. In Italia, l'Agenzia per l'Italia Digitale (AgID) e l'Agenzia per la Cybersicurezza Nazionale (ACN) sono state individuate come organismi di riferimento per la notifica, il monitoraggio, la sorveglianza e la gestione delle ispezioni sui sistemi di IA.

La governance multilivello prevede inoltre l'istituzione dell'Ufficio europeo per l'intelligenza artificiale come nodo centrale di coordinamento e supervisiona la definizione dei codici di buone pratiche e delle banche dati comuni. Le autorità nazionali saranno tenute a dotarsi di risorse tecniche, finanziarie e umane adeguate, coordinare le attività di compliance e garantire i collegamenti con le autorità di settore (compresa la protezione dati e la sicurezza informatica). Anche il Garante Privacy avrà poteri specifici per quanto riguarda la tutela dei dati personali nell'ambito dello sviluppo di sistemi AI.

L'impianto sanzionatorio dell'AI Act si caratterizza per severità e proporzionalità. Le aziende che non risulteranno conformi potranno essere soggette a sanzioni amministrative fino a 35 milioni di euro o al 7% del fatturato globale per violazioni più gravi (come l'uso di pratiche proibite o la mancata sorveglianza dei sistemi GPAI a rischio sistemico). I fornitori che non rispettano gli obblighi di trasparenza e marcatura rischiano fino a 15 milioni di euro o il 3% del fatturato.

Gli obblighi decorrono dal 2 agosto 2025 con periodo transitorio per i modelli già in uso fino al 2 agosto 2027. PMI e startup beneficeranno di riduzioni proporzionali sulle sanzioni ma non potranno ritenersi esenti. Durante questo periodo di adeguamento graduale si raccomanda di avviare audit interni, aggiornare i processi e rinegoziare i contratti con fornitori e integratori per recepire le nuove clausole normative.

Sfide operative e opportunità per aziende e sviluppatori italiani

L'introduzione delle regole AI 2 agosto comporterà una revisione delle strategie operative per tutte le realtà coinvolte, dalle grandi aziende alle piccole e medie imprese, con oneri nuovi in termini di documentazione, tecnologie di tracciabilità, formazione e cybersecurity. Sarà richiesta una pianificazione integrata tra compliance, risk management e innovation, sia per minimizzare i rischi sanzionatori sia per sfruttare la maggiore fiducia nei sistemi conformi da parte di clienti e investitori.

L'approccio multilivello consente agli operatori italiani di posizionarsi come promotori di innovazione responsabile, soprattutto in settori come sanità, finanza, pubblica amministrazione e industria 4.0.

• Legge sull'intelligenza artificiale approvata in Italia: le regole e limiti di uso per aziende, professionisti e singoli cittadini
• Geoffrey Hinton, premio Nobel: il vero pericolo della IA è l'uso militare con super robot umanoide non solo occupazione
• Il ritorno degli investimenti in azioni, fondi ed Etf tecnologici: IA, ma no solo. Ecco i consigli degli esperti

Rimani aggiornato!
Seguici su Google News cliccando qui e poi fai click sulla Stellina in alto a destra