EU AI Act 2025 Nuove Regole GPAI Intelligenza Artificiale

EU AI Act 2025: nuove regole GPAI e impatto globale sull’Intelligenza Artificiale

A cura di:Redazione Ore

L’AI Act europeo ridefinisce significativamente il panorama normativo dell’intelligenza artificiale con l’entrata in vigore delle regole GPAI il 2 agosto 2025. Il Regolamento (UE) 2024/1689, noto come EU AI Act, stabilisce uno dei primi quadri legislativi comprensivi per l’AI a livello globale, introducendo obblighi vincolanti per i modelli General Purpose AI che superano i 10²³ FLOPS, richiedendo documentazione tecnica esaustiva, valutazioni del rischio sistemico oltre i 10²⁵ FLOPS, e conformità al diritto d’autore attraverso un Codice di Pratica pubblicato il 10 luglio 2025.

Questa legislazione rappresenta un approccio innovativo nella governance dell’AI: mentre Stati Uniti e Cina sviluppano framework normativi differenti – rispettivamente attraverso coordinamento di agenzie esistenti e controllo centralizzato – l’Europa implementa un framework orizzontale basato sul rischio che potrebbe influenzare significativamente gli standard globali. La ricerca del Centre for the Governance of AI documenta come questo possa catalizzare un “Effetto Bruxelles” nell’ambito dell’intelligenza artificiale, sebbene evidenze preliminari del 2025 mostrino un’adozione internazionale più limitata del previsto.

L’AI Act stabilisce precedenti normativi che potrebbero orientare future regolamentazioni internazionali, bilanciando innovazione tecnologica con protezione dei diritti fondamentali attraverso un approccio di governance multi-stakeholder che coinvolge industria, società civile e istituzioni democratiche.

La timeline critica dell’implementazione normativa

L’architettura temporale dell’AI Act rivela una strategia di implementazione graduale che culmina nell’agosto 2025 con l’attivazione delle disposizioni più innovative. Secondo la documentazione ufficiale della Commissione Europea, il cronoprogramma normativo segue una progressione calibrata: dopo l’entrata in vigore il 1° agosto 2024, le pratiche AI proibite e i requisiti di alfabetizzazione AI diventano applicabili dal 2 febbraio 2025, preparando il terreno per il momento cruciale del 2 agosto 2025 quando entrano in vigore gli obblighi per i modelli GPAI, le strutture di governance e le disposizioni sanzionatorie.

Le Guidelines della Commissione Europea identificano una finestra critica di conformità: i modelli GPAI immessi sul mercato prima del 2 agosto 2025 beneficiano di un periodo di adeguamento fino al 2 agosto 2027 per i sistemi ad alto rischio, creando un framework di implementazione flessibile che riconosce la complessità dell’ecosistema AI esistente.

Questo approccio graduale riflette la consapevolezza del legislatore europeo rispetto alla complessità dell’ecosistema AI esistente, bilanciando l’urgenza normativa con la necessità di evitare disruzioni nel mercato tecnologico. L’implementazione progressiva dell’AI Act rappresenta un processo normativo senza precedenti nella storia della regolamentazione tecnologica, con diverse milestone temporali per differenti categorie di sistemi AI.

La timeline prevede inoltre che i codici di pratica per i modelli GPAI siano pronti entro 9 mesi dall’entrata in vigore, mentre gli standard armonizzati europei saranno sviluppati progressivamente fino al 2027.

General Purpose AI: definizioni tecniche e soglie computazionali

L’articolazione tecnica dei sistemi GPAI nell’AI Act rappresenta uno sforzo normativo senza precedenti per catturare la complessità dell’intelligenza artificiale moderna. La definizione ufficiale stabilita dall’Articolo 3(63) dell’AI Act definisce un modello GPAI come “un modello AI, incluso quando addestrato con grandi quantità di dati utilizzando auto-supervisione su larga scala, che mostra generalità significativa ed è capace di eseguire competentemente un’ampia gamma di compiti distinti indipendentemente dal modo in cui il modello viene immesso sul mercato e che può essere integrato in una varietà di sistemi o applicazioni a valle”.

Le soglie computazionali stabilite dalle Guidelines della Commissione Europea introducono una tassonomia basata sulla potenza di calcolo: modelli addestrati con più di 10²³ FLOPS sono presunti essere modelli GPAI se capaci di generare output linguistici, text-to-image o text-to-video, mentre quelli che superano 10²⁵ FLOPS vengono classificati come modelli con rischio sistemico. Tuttavia, modelli che superano la soglia di 10²³ FLOPS ma sono specializzati per compiti specifici (come trascrizione, upscaling di immagini, previsioni meteorologiche o gaming) sono esclusi se mancano di capacità generali.

La distinzione crea sfide interpretative significative, poiché la potenza computazionale rappresenta un indicatore proxy delle capacità del modello che non sempre correla direttamente con il rischio effettivo. Le Guidelines riconoscono questa limitazione permettendo ai fornitori di contestare la classificazione di rischio sistemico fornendo evidenze robuste che il modello non presenta rischi sistemici.

Gli obblighi normativi per i fornitori di modelli GPAI si articolano su due livelli di complessità. Tutti i fornitori devono produrre documentazione tecnica completa che includa informazioni sui dati di addestramento, processo di sviluppo e valutazioni del modello; fornire istruzioni dettagliate per i fornitori downstream; implementare politiche di conformità al copyright europeo; e pubblicare un sommario pubblico dei contenuti di addestramento secondo il template dell’AI Office.

Per i modelli con rischio sistemico, si aggiungono requisiti di valutazione avanzata che comprendono: conduzione di valutazioni del modello e test avversariali per identificare rischi sistemici; implementazione di misure di mitigazione del rischio; monitoraggio e segnalazione di incidenti gravi all’AI Office; garanzia di protezioni di cybersecurity adeguate; e notifica alla Commissione entro due settimane dal raggiungimento o previsione di raggiungere la soglia dei 10²⁵ FLOPS.

L’Effetto Bruxelles e l’impatto sulla governance globale dell’AI

L’analisi accademica dell’impatto globale dell’AI Act rivela un fenomeno di diffusione normativa che gli studiosi del Centre for the Governance of AI definiscono come un duplice “Effetto Bruxelles”. L’effetto de facto si manifesta quando le aziende tecnologiche globali adottano gli standard europei come baseline operativa mondiale per evitare la frammentazione dei prodotti; l’effetto de jure emerge quando altre giurisdizioni replicano esplicitamente l’approccio normativo europeo.

La ricerca di Siegmann e Anderljung del 2022 documenta come l’AI Act rappresenti “la prima e più influente operazionalizzazione di cosa significhi sviluppare e implementare AI affidabile o human-centered“, posizionando l’Europa come potenziale architetto della governance AI globale.

Tuttavia, evidenze empiriche del 2025 mostrano un’adozione significativamente più limitata del previsto: solo Canada, Brasile e Perù manifestano interesse concreto nel replicare l’approccio europeo, mentre Regno Unito, Australia, Giappone e Singapore privilegiano modelli di governance più flessibili e settoriali. Il Regno Unito evita deliberatamente un approccio legislativo unico preferendo linee guida settoriali, mentre il Giappone si concentra su framework volontari anziché obblighi vincolanti.

Critici come Ugo Pagallo sostengono che l’architettura complessa dell’AI Act produrrà più un “patchwork effect” frammentario che un Brussels Effect coerente, evidenziando come la legislazione risulti complessa e confusa, combinando audit di sicurezza dei prodotti, test sui diritti fondamentali e codici volontari in un unico statuto.

L’analisi critica pubblicata nel German Law Journal introduce il concetto di “Brussels Side-Effect”, evidenziando come il successo stesso dell’AI Act possa paradossalmente minare i valori europei che intende proteggere. Il framework di sicurezza dei prodotti adottato dall’AI Act offre protezione limitata per i diritti fondamentali, la democrazia e lo stato di diritto. Quando altri paesi adottano gli standard di sicurezza AI basati sull’AI Act senza i corrispondenti meccanismi di protezione dei diritti fondamentali, si crea una potenziale standardizzazione di framework inadeguati.

L’analisi di Brookings evidenzia che l’impatto extraterritoriale dell’AI Act varierà ampiamente tra settori e applicazioni, ma l’Europa da sola non stabilirà un nuovo standard internazionale comprensivo per l’AI. Tuttavia, le grandi aziende americane sono destinate a rimanere nel mercato UE e a essere generalmente conformi all’AI Act, anche quando operano negli Stati Uniti, poiché i potenziali ricavi nell’UE supereranno nella maggior parte dei casi i costi di conformità.

AI Act: Le sfide della compliance per la leadership legale e tecnologica

L’implementazione dell’AI Act presenta sfide di compliance senza precedenti che richiedono una trasformazione fondamentale delle capacità organizzative. Le linee guida della Commissione Europea evidenziano come le organizzazioni debbano stabilire sistemi di gestione del rischio iterativi durante l’intero ciclo di vita del sistema AI, implementando un approccio strutturato che comprende: identificazione e analisi del rischio, stima e valutazione del rischio, e adozione di misure di gestione del rischio appropriate.

L’analisi del framework di classificazione del rischio rivela complessità pratiche significative. Le Guidelines della Commissione Europea per i modelli GPAI introducono soglie tecniche specifiche, come il requisito di oltre 10²³ FLOPS per la classificazione come modello GPAI, creando incertezza sostanziale nella classificazione del rischio che complica la pianificazione della compliance. Le ambiguità definitorie nell’AI Act, particolarmente riguardo ai concetti di “rischio sistemico” per modelli che superano 10²⁵ FLOPS e “capacità ad alto impatto”, richiedono interpretazione continua attraverso atti delegati e standard armonizzati ancora in fase di sviluppo.

Le implicazioni per la leadership tecnologica si estendono oltre la mera compliance. Il Code of Practice per i modelli GPAI identifica opportunità per sviluppatori che implementano proattivamente misure di trasparenza, copyright compliance e sicurezza, ma i requisiti estensivi potrebbero influenzare le decisioni di investimento in ricerca e sviluppo. Le PMI ricevono considerazione speciale attraverso accesso prioritario ai regulatory sandbox e procedure semplificate nei processi di valutazione, ma devono comunque navigare requisiti di documentazione tecnica estensiva inclusi nel Code of Practice.

I provider di modelli GPAI devono implementare sistemi di logging e record-keeping per monitorare prestazioni e impatti, mantenere documentazione tecnica aggiornata per autorità e fornitori downstream, e seguire procedure di valutazione di conformità che richiedono investimenti sostanziali in infrastruttura e expertise. Per i modelli con rischio sistemico, si aggiungono obblighi di valutazioni adversariali, test di sicurezza, e reporting di incidenti gravi all’AI Office entro tempistiche specifiche.

Opportunità e criticità per l’industria tecnologica europea

L’ecosistema tecnologico europeo affronta un paradosso strategico nell’era dell’AI Act. La ricerca del Carnegie Endowment documenta come l’Europa abbia attratto solo il 6% dei finanziamenti globali per startup AI nel primo semestre 2024, con il 70% del mercato cloud dominato da hyperscaler americani. Tuttavia, l’AI Act potrebbe catalizzare quello che i ricercatori definiscono una “sovranità tecnologica” attraverso iniziative come il progetto EuroStack per ridurre la dipendenza da infrastrutture cloud straniere. L’analisi di Bruegel rivela che mentre l’Europa performa meglio nei brevetti AI e nella formazione di ricercatori, questi output tendono a fluire verso gli Stati Uniti, suggerendo un problema strutturale di retention del talento piuttosto che di capacità innovativa.

Le istituzioni accademiche europee emergono come attori critici ma vulnerabili in questo panorama. La ricerca dell’Università di Tubinga pubblicata su arXiv evidenzia come molti sistemi AI accademici possano qualificarsi come sistemi ad “alto rischio”, richiedendo conformità con requisiti di documentazione e misure di compliance che rappresentano “potenziali ostacoli alla scienza”. Le università sono considerate fornitori di sistemi AI ad alto rischio sotto l’AI Act, necessitando l’istituzione di sistemi di gestione del rischio, governance dei dati che garantisca dataset rilevanti e rappresentativi, documentazione tecnica per dimostrare la conformità, e sistemi di record-keeping, creando tensioni tra requisiti normativi e libertà di ricerca accademica.

L’analisi del Joint Research Centre della Commissione Europea rivela progressi significativi nello sviluppo di standard armonizzati attraverso CEN-CENELEC JTC 21, con framework in sviluppo per trustworthiness AI, gestione del rischio, sistemi di gestione della qualità, e procedure di valutazione della conformità. Questi standard, quando completati, garantiranno presunzione legale di conformità per i sistemi AI, riducendo l’incertezza normativa. Tuttavia, il gap temporale tra l’entrata in vigore delle norme GPAI nell’agosto 2025 e la disponibilità di standard completi crea una finestra di vulnerabilità dove le organizzazioni devono interpretare requisiti astratti senza guida tecnica definitiva.

Verso una governance AI post-agosto 2025

L’implementazione delle norme GPAI nell’agosto 2025 rappresenta un punto di inflessione nella storia della regolamentazione tecnologica. L’AI Act stabilisce precedenti normativi che ridefiniranno il rapporto tra innovazione tecnologica e supervisione democratica, introducendo un approccio multi-stakeholder che enfatizza la partecipazione di esperti tecnici, industria e società civile oltre la regolamentazione tradizionale dall’alto verso il basso.

La complessità tecnologica dell’AI, il ritmo rapido di sviluppo e gli impatti sociali pervasivi richiedono innovazione istituzionale che bilanci competenza tecnica con responsabilità democratica. Il Code of Practice GPAI e le Guidelines della Commissione Europea rappresentano tentativi di creare meccanismi di governance adattivi che possano evolversi con la tecnologia.

L’implementazione efficace dell’AI Act richiede un approccio dinamico che tratti la legislazione come un framework di apprendimento continuo piuttosto che una soluzione definitiva. Le sfide includono la gestione del divario temporale tra sviluppo tecnologico rapido e adattamento normativo, richiedendo meccanismi di feedback basati su evidenza empirica e coinvolgimento degli stakeholder.

Quattro elementi emersi dalle consultazioni della Commissione Europea sono cruciali per l’implementazione di successo: sviluppo di linee guida dettagliate attraverso atti delegati e standard armonizzati, legislazione complementare per settori specifici, costruzione di capacità organizzative nelle autorità di supervisione, e bilanciamento attento tra costi di compliance e incentivi all’innovazione.

L’eredità duratura dell’AI Act potrebbe risiedere non nella sua architettura normativa specifica ma nel suo ruolo di catalizzatore per un dibattito globale sulla governance AI. Mentre l’Europa afferma la leadership normativa attraverso l’AI Act, la vera misura del successo sarà la capacità di ispirare framework internazionali che proteggano i valori democratici mentre promuovono innovazione benefica, contribuendo allo sviluppo di approcci normativi per la trasformazione tecnologica del XXI secolo.

Bibliografia:
  • European Commission (2025). AI Act | Shaping Europe’s digital future. Commissione Europea.
  • European Commission (2025). The General-Purpose AI Code of Practice. Commissione Europea.
  • European Commission (2025). General-Purpose AI Models in the AI Act – Questions & Answers.
  • European Parliament (2024). EU AI Act: first regulation on artificial intelligence.
  • “Overview of Guidelines for GPAI Models” (2025). EU Artificial Intelligence Act.
  • Siegmann, C. & Anderljung, M. (2022). “The Brussels Effect and Artificial Intelligence: How EU Regulation Will Impact the Global AI Market”. Centre for the Governance of AI Technical Report. arXiv:2208.12645.
  • Autori vari (2024). “The Brussels Side-Effect: How the AI Act Can Reduce the Global Reach of EU Policy”. German Law Journal, 25(4).
  • Pagallo, U. (2024). “Why the AI Act Won’t Trigger a Brussels Effect”. SSRN Electronic Journal.
  • CEPA (2025). “Burying the Brussels Effect? AI Act Inspires Few Copycats”. Center for European Policy Analysis.
  • Center for AI Policy (2024). “The EU AI Act and Brussels Effect”.
  • Brookings Institution (2023). “The EU AI Act will have global impact, but a limited Brussels Effect”.
Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi