Nuova tappa per l'AI Act: gli obblighi per i modelli di IA a uso generale sono entrati in vigore

L'UE è stata pioniera nell'istituzione di un quadro normativo volto a regolare l'IA in base al suo potenziale di causare danni. L'obiettivo dell'AI Act o RIA è garantire che i sistemi e i modelli di IA commercializzati all'interno dell'UE siano utilizzati in modo etico, sicuro e nel rispetto dei diritti fondamentali dell'UE.

Le linee guida pubblicate dalla Commissione europea il 18 luglio scorso chiariscono l'applicazione del campo di applicazione della regolamentazione per i modelli GPAI. Qualsiasi modello di IA che mostra una capacità di calcolo superiore a 10²³ FLOPs (ovvero il volume di operazioni in virgola mobile mobilitate durante l'addestramento), progettato senza una finalità precisa (previsioni meteorologiche, giochi...) ma che può essere riutilizzato in una vasta gamma di contesti, sarà presunto rientrare in questa categoria. 

Gli obblighi coprono l'intero ciclo di vita dei modelli, dal pre-addestramento alla messa a disposizione, passando per gli aggiornamenti e le modifiche successive alla messa sul mercato. I loro fornitori dovranno fornire:

Il principio fondamentale del regolamento rimane invariato: più il rischio è elevato, più le esigenze sono forti. Questi obblighi sono rafforzati per i GPAI considerati a rischio sistemico, modelli che superano la soglia di 10²⁵ FLOPs cumulati. Questi dovranno essere soggetti a procedure di gestione dei rischi rinforzate, in particolare in materia di cybersicurezza, segnalazione degli incidenti gravi o ancora test continui. Un carico normativo stimato difficilmente sostenibile...

Questa soglia non è tuttavia rigida: una rivalutazione dei rischi reali può essere richiesta dai fornitori.

Qualsiasi azienda che mette un modello sul mercato europeo è considerata come fornitore, indipendentemente dal luogo di sviluppo iniziale. Tuttavia, un attore a valle che ha effettuato una modifica del modello utilizzando più di un terzo della sua potenza di calcolo iniziale, è anch'esso considerato come fornitore e soggetto agli obblighi.

I modelli pubblicati sotto licenza libera e aperta beneficiano di un regime di esenzione parziale. A condizione di rispettare alcuni criteri (assenza di monetizzazione o raccolta di dati personali), questi modelli non sono soggetti agli obblighi di documentazione ai fornitori a valle o alle autorità. Tuttavia, non appena superano la soglia di rischio sistemico, nessuna esenzione si applica. 

Nonostante la loro entrata in vigore il 2 agosto scorso, queste regole si applicheranno solo ad agosto 2026 per i nuovi modelli, e ad agosto 2027 per i modelli esistenti. Questa progressività, guidata dall'Ufficio dell'IA, mira a lasciare alle aziende il tempo di adattarsi.

Per aiutare i fornitori a conformarsi, la Commissione ha pubblicato, pochi giorni prima delle sue direttive, un codice di buone pratiche. Coloro che scelgono di aderirvi beneficeranno di una riduzione del carico amministrativo e di una sicurezza giuridica aumentata rispetto a coloro che dimostreranno la loro conformità con altri mezzi. Google, OpenAI, Mistral, Microsoft l'hanno già fatto mentre Meta ha rifiutato, citando zone di incertezze giuridiche e un'estensione ingiustificata del quadro normativo.

Le multe previste per il mancato rispetto di questi obblighi potranno raggiungere i 15 milioni di euro o il 3% del fatturato globale delle aziende. Ciascuno degli Stati membri dell'UE deve notificare alla Commissione le autorità di vigilanza che controlleranno le aziende. Se nessuna è stata finora designata dalla Francia, la Cnil dovrebbe svolgere un ruolo centrale, mentre istanze settoriali come l'Arcom o l'Anssi sono anche considerate.