Aristotelis Zervos
Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.
Il regolamento UE sull'IA (legge sull'IA) è entrato formalmente in vigore il 1° agosto 2024. Dal 2 febbraio 2025 sono vincolanti i primi divieti sulle pratiche inaccettabili di IA e gli obblighi di competenza in materia di IA. Dal 2 agosto 2025 sono in vigore norme specifiche sulle GPAI ("General-Purpose AI"). La Commissione europea ha presentato il "Codice di prassi per l'IA per scopi generali". Forniamo una panoramica di questo codice di condotta e spieghiamo i vantaggi che offre.
Contesto e sviluppo del Codice di condotta per l'IA per scopi generali
Da agosto, il regolamento sull'IA regolamenterà per la prima volta anche i modelli di IA per scopi generali (GPAI). Ciò include anche i modelli linguistici di grandi dimensioni che possono essere utilizzati per una varietà di compiti (ad esempio ChatGPT).
Tuttavia, il processo legislativo ha rivelato che i requisiti precisi per tali modelli GPAI sono complessi e che la tecnologia si sta sviluppando rapidamente. L'UE ha quindi deciso di sviluppare un codice di condotta supplementare per i modelli GPAI. Questo codice volontario è stato sviluppato a partire da luglio 2024 in un processo a più fasi e con più parti interessate, guidato da 13 esperti indipendenti. Oltre 1.000 partecipanti (tra cui fornitori di IA, PMI, mondo accademico, esperti di sicurezza, rappresentanti del diritto d'autore e ONG) hanno fornito il loro feedback nel corso di consultazioni e workshop.
Il 10 luglio 2025, la Commissione UE ha presentato la versione finale del "Codice di condotta generale per l'IA".
L'obiettivo del codice è quello di aiutare gli sviluppatori e i fornitori di modelli GPAI ad adempiere in modo pratico ai nuovi obblighi legali del Regolamento AI. L'obiettivo è garantire che anche i modelli di base di IA più potenti che arrivano sul mercato europeo siano sicuri e trasparenti.
Suggerimento di lettura: Regolamento AI - L'UE pubblica le prime linee guida
Volontarietà contro effetto vincolante di fatto del Codice
In termini giuridici, il Codice di condotta generale per l'IA è una volontario Guida alla conformità. È nessuno standard giuridicamente vincolanti, ma piuttosto uno standard sviluppato da esperti e sostenuto dalla Commissione europea. Codice di condotta.
Il Codice in sé non crea nuovi obblighi. Si limita a concretizzare gli obblighi per i fornitori di AAP già previsti dal regolamento AI, senza estenderli o renderli più stringenti..
La partecipazione è volontaria; nessun fornitore è formalmente obbligato ad aderire. Tuttavia, il Codice ha una notevole Effetto vincolante di fatto. Da un lato, si prevede il riconoscimento ufficiale da parte della Commissione europea mediante un atto di esecuzione, dopo l'esame da parte del nuovo Ufficio europeo per l'AI (Ufficio AI) e del Consiglio per l'AI degli Stati membri.. Questo gli conferisce uno status quasi ufficiale di più riconosciuto Percorso di conformità. La firma del codice è quindi riconosciuta come prova che un fornitore di GPAI adempie agli obblighi previsti dal regolamento AI. Infatti, la sottoscrizione del codice segnala alle autorità di vigilanza che il fornitore prende sul serio i requisiti pertinenti e li attua sistematicamente.
Di conseguenza Firmatari del codice vantaggi evidenti: La Commissione sottolinea che il rispetto volontario del Codice con Meno lavoro amministrativo e maggiore certezza del diritto andrebbero di pari passo. Il monitoraggio dell'autorità di AI si concentrerà principalmente sulla verifica del rispetto degli impegni del codice, piuttosto che sull'audit individuale e completo di ciascun fornitore..
Soprattutto nella delicata fase iniziale della regolamentazione, il Codice può quindi servire da Meccanismo simile a un porto sicuro hanno un impatto. Infine, ma non per questo meno importante, il sostegno politico ha fatto sì che note aziende di IA, come OpenAI o la start-up europea Mistral, dichiarassero immediatamente la loro intenzione di aderire al Codice.. Questo aumenta la pressione sull'industria per l'adempimento del Codice in quanto migliori pratiche riconoscere.
Tuttavia, se un fornitore non firma, deve dimostrare da solo la propria conformità alla legge sull'AI, il che è probabilmente associato a una maggiore incertezza giuridica e a un maggiore sforzo.. In pratica, il codice volontario diventa il Quasi standardche i responsabili dell'AI e i responsabili della compliance delle aziende utilizzeranno come guida.
Codice di condotta per l'IA di uso generale: trasparenza, copyright, sicurezza
In termini di contenuti, il Codice di condotta GPAI è suddiviso in tre capitoli principali: Trasparenza, Copyright e Sicurezza. I primi due capitoli si applicano a tutti fornitori di modelli GPAI, mentre il terzo solo per i modelli più potenti con Rischio sistemico è rilevante. Il Codice riprende quindi i nuovi obblighi legali dell'articolo 53 e seguenti del Regolamento AI e li concretizza con misure e procedure dettagliate. del Regolamento AI e li concretizza con misure e procedure dettagliate.
Trasparenza e documentazione tecnica
I fornitori di GPAI si impegnano a documentare in modo esaustivo i loro modelli e le loro proprietà e a fornire informazioni su di essi.. Una corrente tecnica Documentazione che possono essere presentate all'Ufficio AI e alle autorità di vigilanza nazionali su richiesta.
Questi Documentazione in particolare il Capacità e limiti del modello e un riepilogo dei dati di addestramento utilizzati. Inoltre, i dati di contatto del fornitore devono essere resi pubblici in modo che i fornitori a valle (che integrano il modello nei propri sistemi di IA) o le autorità possano richiedere le informazioni necessarie. Il Codice fornisce anche un modello standardizzato Modello di schedaper standardizzare le informazioni sulla trasparenza e renderle più facili da usare.
Importante è anche la Garanzia di qualità delle informazioni fornite. Il Codice richiede che la documentazione sia accuratamente controllata per verificarne l'accuratezza, conservata come prova di conformità e protetta da modifiche non autorizzate.. Questi requisiti di trasparenza hanno lo scopo di garantire che i modelli GPAI per Terza parte sono tracciabili e affidabili e consentono agli utenti a valle di sviluppare le proprie applicazioni di IA in modo conforme e sicuro.
Suggerimento per il collegamento: Il Codice di condotta per l'IA di uso generale - Il capitolo sulla trasparenza (PDF)
Codice di prassi per l'IA di uso generale e requisiti di copyright
Un nuovo argomento chiave nella compliance dell'IA è la gestione dei contenuti protetti nella formazione e nel funzionamento dei modelli di IA. Secondo il regolamento sull'IA, i fornitori di IAP devono disporre di un sistema interno di gestione dei contenuti protetti. Politica di conformità al copyright creare e attuare (articolo 53, paragrafo 1, lettera c), del regolamento AI).
Il codice concretizza questo impegno attraverso una serie di impegni volontari a tutela della proprietà intellettuale. Ad esempio, i firmatari si impegnano a far sì che nella formazione dei loro modelli solo contenuti legalmente accessibili da Internet. In particolare, è vietato aggirare le misure tecniche di protezione o i paywall per accedere a materiale protetto da copyright. I siti web che notoriamente offrono grandi quantità di materiale in violazione del copyright devono essere esplicitamente esclusi dai web crawler dei fornitori di IA.
Inoltre, i partecipanti al Codice si impegnano, Rispettare le riserve legali dei fornitori di contenuti. Ad esempio, le informazioni contenute nel robots.txt-Protocollo o altri avvisi di opt-out leggibili a macchina con cui gli autori possono proibire l'uso delle loro opere per l'estrazione di testo e di dati.. Se si utilizzano i web crawler per la formazione, è necessario leggere e seguire queste istruzioni di protocollo.
Inoltre, i fornitori di IA devono Precauzioni tecniche per evitare che i loro modelli riproducano inalterati i dati di addestramento protetti e quindi violino le opere protette dal diritto d'autore nei risultati..
Nei loro termini di utilizzo, devono anche proibire ai clienti di utilizzare i modelli in modo da violare il diritto d'autore..
Infine, il Codice richiede l'istituzione di Punti di contatto per i titolari dei dirittiOgni azienda firmataria deve designare una persona di contatto e disporre di una procedura per assicurare che gli autori Reclamo se sospettano che i loro diritti siano stati violati dal modello di IA. Gli artisti o gli editori, ad esempio, possono utilizzare tale procedura di reclamo per presentare segnalazioni che il fornitore deve controllare ed elaborare.
Nel complesso, il capitolo sul diritto d'autore del Codice crea un quadro pratico per l'adempimento dell'obbligo di fornire informazioni sul diritto d'autore sancito dal regolamento AI. Protezione dei diritti d'autore nello sviluppo dell'IA e per raggiungere un giusto equilibrio di interessi tra i titolari dei diritti e gli sviluppatori di IA.
Suggerimento per il collegamento: Il Codice di buone pratiche per l'IA per scopi generali - Il capitolo sul copyright (PDF)
Requisiti di sicurezza e di rischio per i modelli di rilevanza sistemica
Il terzo Il presente capitolo si rivolge ai fornitori di modelli GPAI che sono "rischio sistemico" sono classificati in categorie. Si tratta dei modelli di IA più avanzati che hanno il potenziale per avere un impatto particolarmente grande sul mercato e sulla società..
Il regolamento AI definisce i criteri per stabilire quando un modello GPAI rappresenta un rischio sistemico. Ad esempio, se supera Capacità altamente scalabili e di ampia portata ha. Un indizio è un impegno computazionale estremamente elevato durante lo sviluppo (si ipotizza un valore soglia di ~10^25 FLOP per l'addestramento).. Tali modelli possono potenzialmente Rischi significativi per la sicurezza pubblica, i diritti fondamentali o i processi democratici.
In questo caso, il Codice richiede ai fornitori di attenersi a una procedura estremamente rigorosa. Gestione del rischio. In particolare, devono stabilire un quadro completo di sicurezza e protezione che rifletta lo stato attuale della scienza e della tecnologia.. Prima di tutto Identificare sistematicamente i rischi sistemici. I fornitori devono analizzare i rischi che il loro modello potrebbe comportare nelle varie aree di applicazione (come l'uso improprio per la disinformazione, gli attacchi informatici, le violazioni massicce dei diritti fondamentali, ecc.) Per ogni aspetto di rischio identificato, è necessario fornire un Analisi approfondita e valutare se il rischio può essere mantenuto a un livello accettabile.
Per quanto riguarda questi criteri Misure di minimizzazione delle perdite da attuare. In altre parole, precauzioni tecniche e organizzative per mitigare il più possibile qualsiasi rischio sistemico identificato.. Questo include, in particolare, lo stato dell'arte Misure di sicurezza informatica proteggere il modello e la sua infrastruttura da accessi non autorizzati, fughe di dati o furti.
La creazione di un vero e proprio Cultura del rischio, cioè la sensibilizzazione di tutti i dipendenti interessati ai rischi di IA e il miglioramento continuo dei processi di sicurezza, fa parte degli impegni volontari..
Dopo tutto, anche i fornitori devono essere informati di tutte queste attività. Rapporti e documentazione creare: Ad esempio, il Codice prevede un Modello di sicurezza e protezione. Rapporto all'Ufficio AI, in cui il fornitore illustra la propria gestione del rischio per il modello. Anche le sintesi delle misure di sicurezza e delle analisi devono essere pubblicate in forma appropriata, al fine di Trasparenza verso il pubblico.
Suggerimento per il collegamento: Il Codice di prassi per l'IA per uso generale - Il capitolo sulla sicurezza (PDF)
Codice di condotta generale sull'IA: importanza per le strategie di conformità nelle aziende
Nel Strategia di conformità Il Codice di Condotta GPAI dovrebbe quindi essere ancorato come elemento centrale per le aziende che sviluppano l'IA. Sia che si tratti di adattare le linee guida interne, di formare i dipendenti sui requisiti del codice o di istituire task force per la gestione dell'intelligenza artificiale. DocumentazioneConformità della PI e gestione del rischio dell'IA.
Sebbene la partecipazione rimanga volontaria, vista la volontà delle principali aziende di IA di partecipare e il sostegno politico già manifestato, è prevedibile che il Codice diventi lo standard de facto. Standard industriale è avanzato, su cui responsabile allineare l'azienda.
Per i responsabili dell'IA e per i responsabili della protezione dei dati e della conformità nelle aziende, il Codice di condotta generale per l'IA offre un'indicazione concreta Orariocome i requisiti astratti del regolamento sull'IA possono essere tradotti in processi aziendali operativi. Rispettando il Codice firmato e implementato volontariamentepuò dimostrare in modo efficace la propria conformità alle nuove norme sull'IA.
Le autorità competenti segnalano la volontà di concedere ai firmatari del codice un certo margine di manovra. Salto della fede sovvenzione: Nella fase iniziale, a partire dall'agosto 2025, l'Ufficio AI vuole lavorare a stretto contatto con i partecipanti al Codice invece di insistere immediatamente sulle sanzioni.. In questo modo si garantisce che un fornitore che non adempie perfettamente a tutti gli impegni volontari subito dopo l'adesione al Codice non venga immediatamente trattato come un trasgressore della legge nel primo anno.
Questo accordo di avviamento fino all'agosto 2026 fornisce alle aziende un'importante Periodo di transizioneper adattare i loro processi interni ai nuovi requisiti. I responsabili della compliance dovrebbero utilizzare questo tempo per implementare gradualmente le misure previste dal Codice: Ad esempio, la creazione della documentazione prescritta, la definizione di una politica sul copyright, l'introduzione di sistemi di gestione del rischio per l'IA, ecc.
Infine, ma non meno importante, rispettando il Codice, le aziende possono anche Multe evitare: A partire dalla data di piena applicazione (2026/27), un Violazione Le violazioni degli obblighi previsti dalla legge sull'AI sono sanzionate. Tuttavia, coloro che rispettano le misure del Codice riducono significativamente il rischio di tali violazioni e possono dimostrare di aver agito al meglio delle proprie conoscenze e convinzioni in caso di emergenza.
State per implementare il regolamento sull'IA?
Vi forniamo una consulenza completa sul regolamento UE sull'IA, sul codice di condotta generale sull'IA e sull'attuazione pratica nella vostra azienda. Che si tratti di obblighi di documentazione, gestione del rischio o conformità al copyright, vi supportiamo nell'integrazione legale e strategica dell'IA.
Contattateci subito senza impegno.
Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.
German 
English 
Italian 
French