Varata la seconda fase del regolamento sull'IA: Cosa si applica dall'agosto 2025?

La seconda fase di attuazione del regolamento AI è entrata in vigore il 2 agosto 2025.
Categorie:
, , ,
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

Quando il 2 agosto 2025 entrerà in vigore la seconda fase di attuazione del regolamento sull'IA, verranno attivate le norme generali per i fornitori di IA per scopi generali (GPAI). Forniamo una panoramica delle aziende interessate e dei requisiti normativi ad esse applicabili.

Regolamento AI: Destinatari interessati

Gli obblighi previsti dal capo V del regolamento AI si applicano esclusivamente ai fornitori della cosiddetta AI generica (GPAI). Secondo la definizione giuridica contenuta in Articolo 3 N. 44 KI-VO I modelli GPAI sono modelli di intelligenza artificiale che sono stati addestrati con un'ampia base di dati senza essere ottimizzati per un'applicazione specifica e che possono essere utilizzati in diversi contesti. Spesso servono come base per ulteriori applicazioni specializzate attraverso Terza parte (i cosiddetti utenti a valle o deployer).

Sono interessati in particolare i seguenti giocatori:

  • Sviluppatori di modelli linguistici di grandi dimensioni (LLM)Aziende come OpenAI, Google, Mistral o Anthropic, che sviluppano modelli di base come GPT, Gemini o Claude.
  • Fornitore open source di potenti modelli di baseAnche le società o i consorzi che sviluppano e distribuiscono modelli come LLaMA o Falcon possono essere soggetti agli obblighi GPAI, soprattutto se il modello è disponibile al pubblico e può creare rischi sistemici.
  • PMI e start-upse formano essi stessi modelli GPAI o se li sviluppano e li diffondono ulteriormente sulla base di modelli esistenti, ad esempio in un contesto B2B.


Gli obblighi si applicano al "fornitore" ai sensi del Regolamento AI. In altre parole, la persona fisica o giuridica che immette sul mercato o mette in funzione per la prima volta un modello GPAI (cfr. art. 3 n. 7 della legge sull'AI). I puri utilizzatori o distributori di sistemi GPAI in questa fase sono non direttamente interessati dal Capitolo V, ma possono essere soggetti ad altri regolamenti (ad esempio dal Capitolo III per le applicazioni ad alto rischio).

Il regolamento sull'IA comporta nuovi obblighi per i fornitori di GPAI

Con effetto immediato, il regolamento sottopone i fornitori di tali sistemi GPAI a obblighi specifici derivanti in particolare da Capitolo V (articoli da 50 a 56 del regolamento AI). Le aree di regolamentazione più importanti includono

Tecnica Documentazione (Art. 53 Legge AI):
I fornitori di GPAI devono disporre di un'ampia Documentazione fornire informazioni, tra l'altro, su

  • dell'architettura del modello,
  • le procedure di formazione,
  • la composizione e l'origine dei dati di formazione,
  • le metriche di valutazione e i loro risultati,
  • e le prestazioni del modello in contesti diversi. Questi Documentazione deve essere concepito in modo tale da consentire una valutazione di conformità da parte delle autorità di vigilanza competenti.

Obblighi di trasparenza e di rendicontazione (art. 50 e 56 KI-VO):
I fornitori di GPAI sono tenuti a pubblicare regolarmente rapporti sulle proprietà e sulla funzionalità dei loro modelli. Questi includono in particolare

  • Descrizioni di scenari applicativi tipici,
  • i limiti e le limitazioni funzionali,
  • rischi sistemici noti o potenziali malfunzionamenti,
  • nonché i limiti di applicazione raccomandati e le istruzioni per Terza parte (i cosiddetti "deployer").

Obblighi in relazione al materiale protetto da diritto d'autore (art. 52 par. 1 lett. c del Regolamento AI):
I fornitori devono dichiarare se per la formazione dei modelli GPAI sono stati utilizzati contenuti protetti da copyright. Devono inoltre spiegare quali misure hanno adottato per dare ai titolari dei diritti l'opportunità di far valere i propri diritti (ad esempio, attraverso opzioni di obiezione o meccanismi di trasparenza).

Rischi sistemici e modelli ad alto rendimento (art. 51 legge AI):
I modelli considerati potenzialmente rilevanti per il sistema a causa delle loro dimensioni e della loro potenza di calcolo (ad esempio, con una potenza di calcolo di almeno 10^25 FLOP) sono soggetti a requisiti più severi:

  • Esecuzione di analisi dei rischi per determinare i potenziali effetti sistemici,
  • Implementazione di adeguate misure di gestione del rischio,
  • Istituzione di un sistema di segnalazione degli incidenti gravi e delle vulnerabilità,
  • Cooperazione con la futura agenzia per l'IA a livello europeo per il monitoraggio dei rischi.

I fornitori di GPAI si troveranno ad affrontare requisiti normativi significativi a partire dall'agosto 2025, che richiederanno un'infrastruttura di documentazione e reportistica approfondita, nonché strategie chiare per la gestione dei diritti d'autore e dei rischi.

Governance e monitoraggio

L'attuazione e l'applicazione del regolamento sull'IA richiede un'interazione a più livelli tra istituzioni nazionali ed europee, con il coinvolgimento attivo di fornitori e utenti di sistemi di IA. Le disposizioni centrali per la governance e la supervisione sono contenute in Capitolo VII Ordinanza AI (artt. 59-69) ed entreranno in vigore successivamente.

Autorità di vigilanza nazionali (artt. 59 e 60 del regolamento AI)

Ciascuno Stato membro è tenuto a designare una o più autorità nazionali competenti per il controllo dell'applicazione del regolamento. A tali autorità sono attribuiti, tra gli altri, i seguenti compiti e poteri:

  • Sorveglianza del mercato e controlli di conformità per i sistemi GPAI e AI ad alto rischio,
  • Esecuzione di audit e l'accesso alla documentazione tecnica,
  • Imporre ordini, divieti o ammende per i reati,
  • Cooperazione con le autorità di altri Stati membri e con la Commissione europea.


Le autorità di vigilanza possono agire sia in modo reattivo (ad esempio in caso di reclami) che proattivo (ad esempio con controlli a campione).

Istituzione di sandbox di regolamentazione dell'IA (art. 61 del regolamento IA)

Al più tardi entro l'agosto 2026, gli Stati membri dovranno avere almeno una cosiddetta "carta di credito". sandbox normativa sono stati istituiti. Questi vengono utilizzati per la sperimentazione controllata di applicazioni innovative di IA sotto la supervisione dell'autorità competente.

L'obiettivo delle sandbox è quello di promuovere l'innovazione e il Conformità in armonia. Offrono:

  • le aziende un quadro sicuro per sviluppare e testare soluzioni innovative di intelligenza artificiale,
  • Verifica simultanea della conformità legale da parte delle autorità,
  • potenziali indicatori precoci per i necessari aggiustamenti all'interpretazione degli standard o alla prassi normativa.


Le PMI hanno un accesso preferenziale a queste strutture.

Valutazione della conformità e organismi notificati (art. 43 del regolamento AI)

Per Sistemi di intelligenza artificiale ad alto rischio prima dell'immissione sul mercato o della messa in servizio del prodotto deve essere effettuata una valutazione di conformità. Questa può essere effettuata:

  • attraverso Autovalutazione sulla base di standard tecnici (ad esempio, nel caso di sviluppo interno in base a specifiche chiare), oppure
  • attraverso il coinvolgimento di un organismo notificato ("organismo notificato"), ad esempio nel caso di sistemi di intelligenza artificiale complessi o critici per la sicurezza.


La dichiarazione di conformità deve essere documentata e deve poter essere presentata all'autorità di vigilanza del mercato in qualsiasi momento su richiesta. I modelli GPAI non sono generalmente soggetti a una valutazione formale della conformità ai sensi del Capitolo III, a meno che non vengano ulteriormente elaborati per applicazioni ad alto rischio.

Sanzioni e applicazione (art. 99 del regolamento AI)

L'ordinanza prevede multe considerevoli per le infrazioni. A seconda della gravità e della parte di regolamento interessata, le multe possono arrivare fino a:

  • 35 milioni di euro o 7 % di vendite annuali globali per gravi violazioni (ad esempio, dei divieti di cui all'art. 5 o degli obblighi GPAI di cui agli artt. 52-56),
  • 15 milioni di euro o 3 % di vendite annuali globali per infrazioni ad altri regolamenti,
  • 7,5 milioni di euro o 1 % di vendite per false dichiarazioni o mancata collaborazione.


Le sanzioni devono essere valutate caso per caso, tenendo conto della gravità, del rischio di reiterazione, delle circostanze finanziarie e della cooperazione.

Significato del Codice di condotta volontario (CoP)

Il 10 luglio 2025, la Commissione europea ha pubblicato il documento "Codice di prassi per l'IA di uso generale". che fornisce alle aziende modelli concreti e best practices per Trasparenza, sicurezza e copyright.

Grandi fornitori come Google e OpenAI hanno annunciato che firmeranno il codice per dimostrare i loro standard di conformità. Altri, in primo luogo Meta e xAIha rifiutato parti o tutto il codice.

Sebbene il codice non sia giuridicamente vincolante, la sua sottoscrizione può essere considerata un indicatore di affidabilità normativa, soprattutto in caso di audit o ispezioni da parte delle autorità.

Suggerimento di lettura: Codice di prassi per l'IA per scopi generali - L'UE presenta un nuovo codice per l'IA

Raccomandazioni per le aziende

Governance e gestione del rischio:

  • Implementare un quadro di governance con strutture di rischio e conformità.
  • Designare chiare responsabilità per le analisi, Documentazione e la gestione degli incidenti.


Trasparenza e documentazione:

  • Sviluppare una documentazione tecnica comprensibile e relazioni di trasparenza.
  • Divulgazione ragionevole per Terza parte comprese le spiegazioni sullo scopo del modello, i set di dati e le limitazioni.


Conformità dei dati e del copyright:

  • Fornire origini verificabili dei dati, compresa l'autorizzazione dei diritti.
  • Implementare le procedure per la gestione delle denunce di violazione del copyright.

Formazione e sensibilizzazione:

  • Prosecuzione del programma di formazione sulle competenze di IA di cui all'art. 4 per i dipendenti e gli stakeholder esterni, in corso dal 2 febbraio 2025.

Conclusione

Con il 2 agosto 2025 Per molte aziende inizia la fase operativa del regolamento sull'IA, soprattutto per i fornitori e gli utenti di IA generica. Il compito è ora quello di adempiere agli obblighi di trasparenza, di Documentazionerapporti sui rischi e programmi di formazione in conformità con la legge, al fine di evitare multe e rischi per la reputazione. La sottoscrizione volontaria del Codice di condotta dell'UE può servire come salvaguardia strategica e rafforzare la cultura della compliance. D'ora in poi, guardate alla prossima importante scadenza dell'agosto 2026.

Suggerimento per il collegamento: Il Codice di condotta per l'IA per scopi generali

State per implementare il regolamento sull'IA?

Vi forniamo una consulenza completa sul regolamento UE sull'IA, sul codice di condotta generale sull'IA e sull'attuazione pratica nella vostra azienda. Che si tratti di obblighi di documentazione, gestione del rischio o conformità al copyright, vi supportiamo nell'integrazione legale e strategica dell'IA.

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
, ,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi