Regulationgpaifoundation-modelssystemic-risk

IA per Finalità Generali (GPAI) nel Regolamento UE sull'IA

Guida completa agli obblighi per i modelli GPAI nel Regolamento UE sull'IA — requisiti di trasparenza, valutazione del rischio sistemico e cosa devono fare i fornitori di modelli di fondazione.

March 5, 20259 min read

I modelli di IA per finalità generali — i modelli linguistici di grandi dimensioni, i sistemi multimodali e i modelli di fondazione che alimentano una gamma sempre più ampia di applicazioni — hanno ricevuto un trattamento dedicato nel Regolamento UE sull'IA. Il Capo V e gli Articoli da 51 a 56 del Regolamento 2024/1689 istituiscono un quadro normativo specifico per questi modelli, riconoscendo che presentano sfide peculiari che il sistema di classificazione basato sul rischio da solo non può affrontare.

La questione di fondo è semplice: quando un modello può essere utilizzato per virtualmente qualsiasi applicazione a valle, non è possibile classificarne il livello di rischio guardando il modello in sé. Un modello linguistico di grandi dimensioni potrebbe alimentare un innocuo generatore di poesie o uno strumento diagnostico medico ad alto rischio. Il Regolamento sull'IA affronta questo aspetto regolando i modelli GPAI a livello di modello, separatamente e in aggiunta alle norme basate sul rischio che si applicano alle specifiche implementazioni di sistemi di IA.

Gli obblighi per i GPAI si applicano dal 2 agosto 2025, rendendoli tra le prime disposizioni ad entrare in vigore.

Cosa si qualifica come modello di IA per finalità generali

L'Articolo 3, paragrafo 63, definisce un modello di IA per finalità generali come "un modello di IA, anche qualora tale modello sia addestrato con una grande quantità di dati utilizzando l'autosupervisione su larga scala, che presenta una generalità significativa ed è in grado di svolgere con competenza un'ampia gamma di compiti distinti indipendentemente dal modo in cui il modello è immesso sul mercato e che può essere integrato in una serie di sistemi o applicazioni a valle."

La definizione è deliberatamente ampia. Comprende modelli linguistici di grandi dimensioni (come GPT-4, Claude, Gemini, Llama), modelli multimodali e altri modelli di fondazione. Comprende anche varianti perfezionate (fine-tuned) di questi modelli se mantengono una generalità significativa.

Il quadro a due livelli

Il Regolamento sull'IA crea due livelli di obblighi per i GPAI:

Livello 1: Tutti i modelli GPAI

Tutti i fornitori di modelli di IA per finalità generali devono soddisfare obblighi di base in materia di trasparenza e documentazione, indipendentemente dalle capacità o dal profilo di rischio del modello.

Livello 2: Modelli GPAI con rischio sistemico

I modelli GPAI che presentano rischio sistemico sono soggetti a obblighi aggiuntivi più stringenti. Si presume che un modello presenti rischio sistemico quando la quantità cumulativa di calcolo utilizzata per il suo addestramento, misurata in operazioni in virgola mobile (FLOP), supera i 10^25 FLOP.

High Risk

La Commissione europea può inoltre designare un modello GPAI come presentante rischio sistemico sulla base di criteri diversi dalla potenza di calcolo, tra cui il numero di utenti finali registrati, le capacità del modello e la sua portata attraverso la catena del valore.

La soglia di 10^25 FLOP è una presunzione, non un confine rigido. La Commissione può designare modelli al di sotto di questa soglia come a rischio sistemico, e i fornitori possono argomentare che modelli al di sopra della soglia non presentano effettivamente rischio sistemico. Tuttavia, ribaltare la presunzione richiede prove sostanziali.

Obblighi di Livello 1: Cosa devono fare tutti i fornitori GPAI

Documentazione tecnica

I fornitori devono redigere e mantenere aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e test e i risultati della sua valutazione. Questa documentazione deve contenere, come minimo:

  • Una descrizione generale del modello GPAI, compresi i compiti che è destinato a svolgere e il tipo e la natura dei sistemi di IA in cui può essere integrato
  • Una descrizione dei dati utilizzati per l'addestramento, il test e la validazione, compresi tipo e provenienza dei dati e le metodologie di cura utilizzate
  • Le risorse computazionali utilizzate per l'addestramento (tipo e quantità di calcolo, tempo di addestramento, altri dettagli pertinenti)
  • Il consumo energetico noto o stimato del modello
  • Le scelte di progettazione e le metodologie di addestramento
  • Una descrizione delle capacità e dei limiti del modello
  • Le procedure di valutazione e test, compresi i risultati

Conformità alla normativa sul diritto d'autore

I fornitori di GPAI devono adottare una politica per conformarsi al diritto d'autore dell'UE, in particolare alla Direttiva 2019/790. Ciò include fondamentalmente:

  • Identificare e rispettare le riserve di diritti espresse dai titolari dei diritti d'autore ai sensi dell'Articolo 4, paragrafo 3, della Direttiva DSM (opt-out dall'estrazione di testo e dati)
  • Redigere e rendere pubblicamente disponibile una sintesi sufficientemente dettagliata dei dati di addestramento utilizzati, seguendo un modello fornito dall'Ufficio per l'IA

Informazioni ai fornitori a valle

I fornitori di modelli GPAI devono mettere a disposizione dei fornitori di sistemi di IA che intendono integrare il modello informazioni e documentazione sufficienti per consentire a tali fornitori a valle di comprendere le capacità e i limiti del modello e di adempiere ai propri obblighi ai sensi del Regolamento sull'IA.

Costruite su modelli GPAI? Garantite la conformità a valle.

Ctrl AI fornisce l'infrastruttura di trasparenza e audit necessaria per dimostrare la conformità quando si implementano sistemi costruiti su modelli di IA per finalità generali.

Learn About Ctrl AI

Obblighi di Livello 2: Modelli GPAI con rischio sistemico

I fornitori di modelli GPAI classificati come presentanti rischio sistemico devono conformarsi a tutti gli obblighi di Livello 1 più requisiti aggiuntivi progettati per identificare, valutare e mitigare i rischi a livello sistemico.

Valutazione del modello

I fornitori devono eseguire valutazioni del modello, comprese prove avversariali, per identificare e mitigare i rischi sistemici. Queste valutazioni devono essere condotte secondo protocolli e strumenti standardizzati, proporzionate ai rischi sistemici identificati e documentate e segnalate all'Ufficio per l'IA.

Valutazione e mitigazione del rischio sistemico

I fornitori devono valutare e mitigare i possibili rischi sistemici, comprese le loro fonti. I rischi sistemici possono derivare dalle capacità del modello utilizzate impropriamente su larga scala, dalla concentrazione di potere di mercato, dal potenziale di guasti a cascata e dall'influenza del modello sugli ecosistemi informativi.

Tracciamento e segnalazione degli incidenti

I fornitori devono tenere traccia, documentare e segnalare gli incidenti gravi e le possibili misure correttive all'Ufficio per l'IA e, se pertinente, alle autorità nazionali competenti.

Protezioni di cybersicurezza

I fornitori devono garantire un livello adeguato di protezione della cybersicurezza per il modello GPAI e l'infrastruttura fisica del modello, inclusa la protezione dei pesi e dei parametri del modello, della pipeline di addestramento e dell'infrastruttura di inferenza.

Modelli GPAI open source

Il Regolamento sull'IA prevede esenzioni parziali per i modelli GPAI open source. L'Articolo 53, paragrafo 2, stabilisce che i fornitori di modelli GPAI rilasciati con licenza libera e open source sono esenti da diversi requisiti di Livello 1, a condizione che rendano pubblicamente disponibili i parametri del modello e forniscano informazioni sufficienti sulla sua architettura e addestramento.

Tuttavia, questa esenzione non si applica all'obbligo di conformità al diritto d'autore e ai modelli GPAI open source con rischio sistemico, che devono soddisfare tutti i requisiti di Livello 2.

Open source non significa esente. Se un modello GPAI open source supera la soglia dei 10^25 FLOP o è altrimenti designato come presentante rischio sistemico, si applicano integralmente tutti gli obblighi di Livello 2 — incluse valutazione del modello, valutazione del rischio sistemico, segnalazione degli incidenti e requisiti di cybersicurezza.

Applicazione e Ufficio per l'IA

Le disposizioni sui GPAI sono applicate principalmente dall'Ufficio per l'IA, un organismo all'interno della Commissione europea. Ciò differisce dalla maggior parte delle altre disposizioni del Regolamento sull'IA, che sono applicate dalle autorità nazionali di vigilanza del mercato.

L'Ufficio per l'IA ha il potere di richiedere documentazione e informazioni, condurre valutazioni, emettere istruzioni vincolanti e imporre ammende fino a 15 milioni di EUR o il 3% del fatturato annuo globale.

Calendario per la conformità GPAI

Implicazioni per i deployer a valle

Se la vostra organizzazione costruisce sistemi di IA basati su modelli GPAI — ad esempio, utilizzando un'API di un fornitore di modelli di fondazione — non siete un fornitore di GPAI. I vostri obblighi rientrano nel quadro standard basato sul rischio per i sistemi di IA. Tuttavia, dovete essere consapevoli di diversi aspetti:

Ottenete documentazione adeguata. Avete il diritto di ricevere informazioni sufficienti dal fornitore del GPAI per adempiere ai vostri obblighi.

Valutate il rischio a valle in modo indipendente. Il fatto che il modello sottostante sia conforme agli obblighi GPAI non rende automaticamente il vostro sistema conforme.

Monitorate gli aggiornamenti del modello. Quando il modello GPAI da cui dipendete viene aggiornato, il profilo di rischio del vostro sistema potrebbe cambiare.

Salvaguardie contrattuali. Assicuratevi che i vostri accordi con i fornitori di GPAI includano disposizioni per la ricezione di documentazione aggiornata, la notifica di modifiche sostanziali e la cooperazione in caso di incidenti.

Conclusione

Il quadro GPAI rappresenta il riconoscimento da parte dell'UE che i modelli di fondazione richiedono approcci di governance che vanno oltre la tradizionale regolamentazione della sicurezza dei prodotti. Regolando a livello di modello e introducendo il livello di rischio sistemico, il Regolamento sull'IA crea un quadro proporzionato che impone obblighi di base a tutti i fornitori di GPAI, richiedendo al contempo maggiori impegni a coloro i cui modelli potrebbero causare danni su larga scala.

Con gli obblighi GPAI applicabili dal 2 agosto 2025, è il momento di prepararsi.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Articoli correlati

Regulation11 min read

Obblighi di Trasparenza del Regolamento UE sull'IA: Cosa Dovete Comunicare

Guida ai requisiti di trasparenza del Regolamento UE sull'IA — obblighi di divulgazione per sistemi di IA, chatbot, deepfake e riconoscimento delle emozioni. Articoli 50-52 spiegati.

Regulation6 min read

Attuazione del Regolamento UE sull'IA per Paese

Come i diversi Stati membri dell'UE stanno attuando il Regolamento sull'IA — autorità nazionali competenti, spazi di sperimentazione normativa e approcci nazionali alla governance dell'IA.

Regulation15 min read

Pratiche di IA Vietate ai sensi del Regolamento UE sull'IA

Elenco completo delle pratiche di IA vietate dal Regolamento UE sull'IA — social scoring, IA manipolativa, sorveglianza biometrica in tempo reale e altro. Cosa è vietato e perché.