Intelligenza Artificiale AI Leader News Realtà Virtuale (XR) Quantum computing

Normative

Codice di Condotta GPAI: verso una governance europea dell’AI

Home Intelligenza Artificiale
Indirizzo copiato

Il Codice di Condotta GPAI, pubblicato dalla Commissione europea nel luglio 2025, guida l’uso responsabile dell’AI generativa. Basato sull’adesione volontaria, promuove trasparenza, tutela del copyright e gestione dei rischi sistemici. Ecco perché favorisce la conformità all’AI Act, mentre solleva critiche su innovazione e competitività, soprattutto per modelli open-source e imprese europee

Pubblicato il 18 lug 2025
Silvano Donato Lorusso

Partner e socio fondatore di BLB studio legale

legge AI Italia

Il Codice di Condotta per i modelli di intelligenza artificiale di uso generale (GPAI), pubblicato dalla Commissione Europea il 10 luglio 2025, è un provvedimento che si inserisce nel quadro attuativo dell’AI Act (Regolamento UE 2024/1689), e rappresenta un primo strumento operativo – seppur basato sull’iniziativa volontaria dei soggetti cui si rivolge – che si prefigge di accompagnare le imprese europee verso un’applicazione responsabile, trasparente e sicura dei modelli generativi di intelligenza artificiale.

Il Codice è concepito come strumento complementare al Regolamento, in particolare agli articoli 53 e 55, che regolano l’obbligo di documentazione tecnica e di valutazione del rischio per i fornitori di GPAI.

Il Codice potrebbe essere formalmente approvato dalla Commissione entro agosto 2025, e, sebbene non vincolante, la sua adozione darebbe accesso alla “presunzione di conformità”, facilitando l’obiettivo della compliance alle imprese e, di conseguenza, potenzialmente riducendone i carichi amministrativi.

Codice di Condotta, le parti essenziali

Il Codice si articola in tre sezioni fondamentali:

  • trasparenza,
  • tutela del diritto d’autore
  • gestione dei rischi per i modelli a rischio sistemico.

Ciascuna sezione dovrà fornire obblighi dettagliati, buone pratiche e criteri di attuazione tecnica.

Quanto alla ‘trasparenza’, i fornitori di GPAI devono predisporre una documentazione tecnica completa per ciascun modello, compilando un Model Documentation Form standardizzato. Tale documento deve includere:

  • le fonti dei dati di addestramento e le relative licenze;
  • gli usi previsti e le caratteristiche tecniche rilevanti del modello;
  • le modalità di raccolta dei dati (es. crawling web, dataset privati);
  • la provenienza e tracciabilità dei dati (data lineage);
  • l’indicazione di eventuali audit interni o esterni condotti.

Questa documentazione dovrà essere resa disponibile ai downstream providers (cioè soggetti che integrano o costruiscono sistemi basati sul modello), nonché alle autorità di regolazione (tra cui l’AI Office dell’UE), su richiesta motivata, con la garanzia che i segreti commerciali non vengano divulgati pubblicamente.

Inoltre, i modelli dovranno essere accompagnati da meccanismi di verifica dell’autenticità (es. hash crittografici o identificatori sicuri). È prevista una possibile esenzione per i modelli open-source, salvo che siano classificati come ‘a rischio sistemico’.

La “tutela del diritto d’autore”

Con riferimento alla ‘tutela del diritto d’autore’ (copyright), i fornitori di GPAI sono tenuti a rispettare le disposizioni sul copyright previste dal diritto UE, e devono quindi adottare una politica interna di compliance. I principali obblighi includono:

  • Escludere contenuti protetti dal diritto d’autore durante il training;
  • Introdurre filtri tecnici, vincoli nei prompt o meccanismi post-generazione per impedire la riproduzione testuale di opere coperte da copyright;
  • Designare un referente interno per la gestione delle controversie in materia di proprietà intellettuale;
  • Collaborare con i titolari dei diritti, offrendo canali di reclamo e impegno alla risoluzione amichevole delle violazioni.

Inoltre, i fornitori dovranno escludere consapevolmente le fonti ritenute ad alto rischio di violazioni, come i siti elencati dalla Commissione tra quelli che distribuiscono contenuti non autorizzati.

I “modelli a rischio sistemico”

Il Codice definisce una categoria particolare di GPAI: i modelli a rischio sistemico, ovvero quei sistemi le cui capacità, portata d’uso e impatti potenziali possono influenzare in modo significativo la società o l’economia. In buona sostanza, sono i sistemi che hanno il potenziale di provocare danni su larga scala all’interno dell’Unione Europea, per esempio incidendo negativamente su salute pubblica, sicurezza, diritti fondamentali, ordine pubblico.

Criteri di identificazione:

  • Numero di parametri;
  • potenza computazionale utilizzata;
  • autonomia funzionale;
  • ambiti d’uso trasversali e ad alto impatto.

Per tali modelli, il Codice prevede misure rafforzate, come audit indipendenti volontari e periodici, un sistema di monitoraggio post-market continuo, alcune misure tecniche di protezione avanzata (es. separazione delle componenti critiche), protocolli di risposta rapida in caso di incidenti, abusi o malfunzionamenti ed un obbligo di reporting immediato alle autorità in caso di eventi gravi.

codice condotta AI

La presunzione di conformità dall’adozione del Codice

Come accennato, l’adozione del Codice consentirà alle imprese di beneficiare di una presunzione di conformità agli obblighi previsti dall’AI Act, riducendo così i costi e i tempi delle verifiche di conformità.

Il Codice sarà accompagnato da linee guida applicative, modelli esemplificativi e chiarimenti sui concetti chiave che sono stati indicati come “modello GPAI”, “rischio sistemico” o “responsabilità condivisa”. Inoltre, è previsto un sistema di monitoraggio ex post che verificherà l’effettiva aderenza dei firmatari agli impegni assunti.

Le critiche al Codice di Condotta

Il Codice di Condotta, largamente condiviso nella sua filosofia, ha subito tuttavia delle critiche. Anche in questo caso, come già fatto in occasione della pubblicazione dell’AI Act, con particolare riferimento all’AI Pact, Meta ha espresso alcune riserve. In particolare, sono stati manifestati timori legati alla protezione delle informazioni riservate e della proprietà intellettuale, in relazione alla trasparenza richiesta. Inoltre, è stato criticato l’obbligo di documentazione e disclosure anche per modelli open-source, qualora considerati a rischio sistemico, ritenendo che ciò possa limitare la ricerca. Infine, è stata chiesta una maggiore chiarezza normativa su chi debba essere considerato “fornitore GPAI” e su come gestire modelli sviluppati da consorzi o partnership multiparte.

Queste osservazioni critiche potrebbero condizionare l’adozione del Codice da parte di alcuni dei principali attori globali. Sono diversi i giganti della tecnologia che temono che le norme violino le leggi dell’UE sul diritto d’autore e limitino l’innovazione.

Le aziende europee hanno chiesto un rinvio di due anni dell’applicazione della normativa

Ai primi di luglio 2025, gli amministratori delegati di oltre 40 aziende europee, tra cui ASML, Philips, Siemens e Mistral hanno avanzato alla Commissione la richiesta di rinvio di due anni dell’applicazione della normativa, per concedere loro più tempo al fine di conformarsi agli obblighi relativi, in particolare, ai sistemi di AI ad alto rischio, che dovrebbero entrare in vigore nell’agosto 2026, e agli obblighi relativi ai modelli GPAI, che dovrebbero entrare in vigore già nell’agosto di quest’anno.

Anche l’associazione italiana Anitec-Assinform ha presentato alla Commissione europea una propria richiesta di rinvio di due anni.

Poi, vi è un aspetto politico da considerare. Da un lato, all’interno degli stati membri si stanno producendo normative di settore o verticali per singolo Paese, che, affiancandosi alla produzione normativa UE, rischiano di creare un quadro eccessivamente frammentato e ipertrofico, in cui norme nazionali e regolamentazione europea si sovrappongono, con il pericolo concreto di contraddizioni, incertezza applicativa e un aggravio normativo per operatori e sviluppatori.

D’altro canto, vi è l’esperienza delle potenze tecnologiche extra-europee, che operano in un quadro normativo sicuramente più asciutto, e ciò rischia di svantaggiare le imprese europee nell’agone della competizione tra operatori sui mercati internazionali. Emblematico, a questo fine, l’intervento del vicepresidente degli Stati Uniti, JD Vance, all’AI Action Summit, l’11 febbraio 2025, a Parigi, co-presieduto da Emmanuel Macron e Narendra Modi. Egli ha criticato l’approccio (riferendosi indirettamente alla scelta europea che sottende la pubblicazione e l’adozione dell’AI Act), di chi punta a una eccessiva regolamentazione in materia di intelligenza artificiale, mettendo in guardia sul rischio che un approccio normativo troppo rigido possa soffocare un settore trasformativo e di profonda innovazione proprio nel momento in cui sta decollando.

Il successo del Codice dipenderà dall’adesione volontaria degli operatori

Il Codice dovrà essere pienamente operativo dal 2 agosto 2025. Entro tale data, la Commissione si è detta pronta a fornire chiarimenti normativi e interpretativi aggiuntivi per guidare e consentire l’applicazione uniforme dello strumento.

Il successo del Codice dipenderà in larga misura dal grado di adesione volontaria degli operatori sul mercato. Se una parte significativa degli sviluppatori GPAI vi aderirà, esso potrà consolidarsi come standard di fatto per la governance dell’AI in Europa. In caso contrario, la Commissione dovrà decidere se rafforzare la propria azione regolatoria attraverso un’applicazione più rigida delle norme cogenti previste nell’AI Act.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Silvano Lorusso
Silvano Donato Lorusso
Partner e socio fondatore di BLB studio legale
Silvano Donato Lorusso – laureato in Giurisprudenza all’Università Cattolica del Sacro Cuore di Milano – è Partner e socio fondatore di BLB Studio Legale. Assiste imprese italiane e internazionali in operazioni di M&A, private equity e contrattualistica cross-border, con particolare focus sui mercati di Italia, Hong Kong, Cina, Lussemburgo e Stati Uniti. Vanta una solida esperienza nell’area finance, supportando banche d’affari, fondi e altri operatori nella strutturazione di operazioni complesse. È attivo nel settore del diritto delle assicurazioni, prestando regolarmente consulenza a compagnie assicurative e broker. Si occupa con continuità di innovazione e responsabilità civile legata alla progettazione, implementazione e uso di piattaforme di intelligenza artificiale, temi sui quali interviene come relatore in numerosi convegni e conferenze specialistiche. È autore di articoli e contributi per riviste giuridiche e manuali di diritto civile. È ideatore e curatore del podcast «Umanesimo Digitale. Innovare con coscienza», dedicato all’impatto etico-giuridico delle nuove tecnologie.

Leggi anche:

Argomenti

Canali

Articoli correlati

  • AI Act open source

  • Normative

    L'UE pubblica il Codice di Condotta per l'AI Generativa, una guida verso la conformità all'AI Act

    10 Lug 2025

    di Giovanni Clericò

    Condividi
  • ecosistema normativo europeo

  • Normative

    AI Act europeo: più esperti, nuove regole e confronto globale sull’AI generativa

    26 Giu 2025

    di Alessandra Castelli

    Condividi
  • Meta Commissione europea

  • Normative

    AI Act, l’Europa accelera: consultazioni, sportelli e nuove regole per i modelli GPAI

    02 Mag 2025

    di Giovanni Clericò

    Condividi