EU AI Act: pubblicata la prima bozza del codice di condotta per i fornitori di IA general purpose

L'Unione Europea ha pubblicato la prima bozza del Codice di Condotta destinato ai fornitori di modelli di Intelligenza Artificiale "General Purpose" (GPAI) nell'ambito dell'AI Act. Il documento, aperto ai feedback fino al 28 novembre, delinea le linee guida per la conformità dei grandi protagonisti del settore come OpenAI, Google, Meta e Anthropic.

I requisiti di trasparenza per i produttori di GPAI entreranno in vigore dal 1° agosto 2025. Per i modelli più potenti, classificati come "a rischio sistemico", le valutazioni e le misure di mitigazione del rischio dovranno essere implementate entro il 1° agosto 2027.

Il Codice stabilisce precise disposizioni sulla trasparenza, con particolare attenzione alla gestione del materiale protetto da copyright. I fornitori dovranno documentare dettagliatamente i web crawler utilizzati e implementare un punto di contatto unico per la gestione dei reclami da parte dei titolari dei diritti. Inoltre le aziende dovranno fornire informazioni adeguate sui loro modelli AI ai fornitori a valle, mantenendo al contempo la riservatezza delle informazioni sensibili per proteggere le loro strategie di innovazione.

La bozza identifica inoltre diverse categorie di rischi sistemici che i fornitori dovranno monitorare e mitigare. Tra questi figurano i rischi per la cybersicurezza, i rischi chimici, biologici, radiologici e nucleari, la perdita di controllo dei sistemi autonomi e i rischi di manipolazione su larga scala. Il documento introduce un Framework di Sicurezza che richiede ai fornitori di GPAI di dettagliare le proprie politiche di gestione del rischio e di identificare continuamente i potenziali rischi sistemici. A tal scopo il Codice indica ai fornitori di GPAI di implementare un rigoroso sistema di valutazione dei modelli che include test di avversità, benchmark e valutazioni approfondite. Queste valutazioni dovranno utilizzare metodologie all'avanguardia, tra cui set di domande e risposte, studi sull'impatto umano e simulazioni.

Inoltre il regolamento introduce una soglia computazionale specifica: i sistemi GPAI che utilizzano una potenza di calcolo superiore a 10^25 operazioni in virgola mobile per l'addestramento sono automaticamente considerati ad alto impatto e devono essere notificati alla Commissione entro due settimane.

L'impatto del Codice di Condotta sullo sviluppo dei modelli di GPAI si preannuncia significativo, delineando un nuovo quadro normativo che influenzerà profondamente il settore tecnologico europeo. Come spesso accade nelle situazioni in cui il legislatore si trova a dover normare un ambito del tutto inedito, lo spirito guida anche in questo caso è stato quello di mantenere un equilibrio tra regolamentazione e innovazione. Data la rapida evoluzione della tecnologia AI, il documento prevede un approccio flessibile che permette alle aziende di adattare le proprie strategie di conformità in base alle specifiche esigenze e caratteristiche dei prodotti. Ed è proprio questo approccio orientato ai risultati, piuttosto che prescrittivo, che mira a non soffocare l'innovazione nel settore.

Il Codice fornirà alle aziende un percorso chiaro per dimostrare la conformità all'AI Act, offrendo certezza legale fino alla pubblicazione degli standard armonizzati. Questo aspetto è particolarmente rilevante per le aziende che desiderano sperimentare con l'AI in un contesto normativo chiaro e prevedibile.

Il Codice rappresenta il primo tentativo al mondo di tradurre le regole legali in linee guida dettagliate per lo sviluppo responsabile dei GPAI. Questa iniziativa europea potrebbe influenzare gli standard globali per lo sviluppo dell'AI, creando un framework di riferimento per altre giurisdizioni. La bozza attuale, composta da 36 pagine, rappresenta solo un piano preliminare che delinea i principi guida e gli obiettivi del Codice e il documento finale, atteso per il 1° maggio 2025, sarà notevolmente più dettagliato e terrà conto dei feedback ricevuti dal settore e dalla società civile.