← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'AI Office (ufficio per l'IA) promuove la redazione di codici di buone pratiche a livello UE per guidare l'applicazione del Regolamento, con particolare riferimento agli obblighi dei fornitori di modelli GPAI (artt. 53 e 55).
  • I codici devono coprire: aggiornamento delle informazioni sui dati di addestramento, sintesi dei contenuti, identificazione e gestione dei rischi sistemici e delle misure proporzionate per fronteggiarli.
  • All'elaborazione partecipano fornitori GPAI, autorità nazionali, società civile, mondo accademico e portatori di interessi a valle; i partecipanti riferiscono periodicamente all'AI Office sugli avanzamenti.
  • I codici dovevano essere pronti entro il 2 maggio 2025; se non adeguati entro il 2 agosto 2025, la Commissione può sostituirli con norme comuni vincolanti.
  • La Commissione può approvare un codice con atto di esecuzione e conferirgli validità generale in tutta l'Unione.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 56 Reg. (UE) 2024/1689 — Codici di buone pratiche

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. L'ufficio per l'IA incoraggia e agevola l'elaborazione di codici di buone pratiche a livello dell'Unione al fine di contribuire alla corretta applicazione del presente regolamento, tenendo conto degli approcci internazionali.

2. L'ufficio per l'IA e il comitato mirano a garantire che i codici di buone pratiche contemplino almeno gli obblighi di cui agli articoli 53 e 55, compreso quanto segue:

a) i mezzi per garantire che le informazioni di cui all'articolo 53, paragrafo 1, lettere a) e b), siano mantenute aggiornate alla luce degli sviluppi tecnologici e di mercato;

b) un adeguato livello di dettaglio nella sintesi dei contenuti utilizzati per l'addestramento;

c) l'individuazione del tipo e della natura dei rischi sistemici a livello dell'Unione, comprese le rispettive fonti, se del caso;

d) le misure, le procedure e le modalità per la valutazione e la gestione dei rischi sistemici a livello dell'Unione, compresa la relativa documentazione, che devono essere proporzionate ai rischi e tenere conto della loro gravità e probabilità e delle sfide specifiche nell'affrontare tali rischi alla luce dei modi possibili in cui tali rischi possono emergere e concretizzarsi lungo la catena del valore dell'IA.

3. L'ufficio per l'IA può invitare tutti i fornitori di modelli di IA per finalità generali, nonché le pertinenti autorità nazionali competenti, a partecipare all'elaborazione dei codici di buone pratiche. Le organizzazioni della società civile, l'industria, il mondo accademico e altri pertinenti portatori di interessi, quali i fornitori a valle e gli esperti indipendenti, possono sostenere il processo.

4. L'ufficio per l'IA e il comitato mirano a garantire che i codici di buone pratiche definiscano chiaramente i loro obiettivi specifici e contengano impegni o misure, compresi, se del caso, indicatori chiave di prestazione, volti ad assicurare il conseguimento di tali obiettivi e che tengano debitamente conto delle esigenze e degli interessi di tutte le parti interessate, anche delle persone interessate, a livello dell'Unione.

5. L'ufficio per l'IA mira a garantire che i partecipanti all'elaborazione dei codici di buone pratiche riferiscano periodicamente all'ufficio per l'IA in merito all'attuazione degli impegni, alle misure adottate e ai loro esiti, anche rispetto agli indicatori chiave di prestazione, se del caso. Gli indicatori chiave di prestazione e gli impegni di comunicazione riflettono le differenze in termini di dimensioni e capacità tra i vari partecipanti.

6. L'ufficio per l'IA e il comitato monitorano e valutano periodicamente il conseguimento degli obiettivi dei codici di buone pratiche da parte dei partecipanti e il loro contributo alla corretta applicazione del presente regolamento. L'ufficio per l'IA e il comitato valutano se i codici di buone pratiche contemplano gli obblighi di cui agli articoli 53 e 55, 4e monitorano e valutano periodicamente il conseguimento dei loro obiettivi. Essi pubblicano la loro valutazione riguardante l'adeguatezza dei codici di buone pratiche. La Commissione può approvare, mediante atto di esecuzione, un codice di buone pratiche e conferire ad esso una validità generale all'interno dell'Unione. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

7. L'ufficio per l'IA può invitare tutti i fornitori di modelli di IA per finalità generali ad aderire ai codici di buone pratiche. Per i fornitori di modelli di IA per finalità generali che non presentano rischi sistemici, tale adesione può essere limitata agli obblighi di cui all'articolo 53, a meno che essi dichiarino esplicitamente il loro interesse ad aderire al codice nella sua interezza.

8. L'ufficio per l'IA incoraggia e agevola, se del caso, anche il riesame e l'adeguamento dei codici di buone pratiche, in particolare alla luce di norme emergenti. L'ufficio per l'IA fornisce assistenza per quanto riguarda la valutazione delle norme disponibili.

9. I codici di buone pratiche sono pronti al più tardi entro il 2 maggio 2025. L'ufficio per l'IA adotta le misure necessarie, compreso l'invito ai fornitori di cui al paragrafo 7. Qualora entro il 2 agosto 2025, un codice di buone pratiche non possa essere portato a termine, o qualora l'ufficio per l'IA lo ritenga non adeguato a seguito della valutazione di cui al paragrafo 6 del presente articolo, la Commissione può prevedere, mediante atti di esecuzione, norme comuni per l'attuazione degli obblighi di cui agli articoli 53 e 55, comprese le questioni di cui al paragrafo 2 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

Stesso numero, altri codici

Commento

I codici di buone pratiche nel sistema di governance dell'AI Act

L'AI Act adotta un approccio di governance multi-livello per i modelli di IA per finalità generali (GPAI): obblighi diretti fissati dagli articoli 53 e 55, norme tecniche (artt. 40-41), e — come terzo pilastro — i codici di buone pratiche disciplinati dall'articolo 56. Questi ultimi non sono meri documenti di autodisciplina volontaria: sono strumenti di co-regolazione istituzionalizzata, co-progettati dall'AI Office con i protagonisti dell'ecosistema GPAI e destinati, in alcuni casi, ad acquisire forza normativa vincolante per tutti.

La logica sottostante è quella della regolazione adattiva: il settore dei modelli GPAI evolve molto più rapidamente dei tradizionali cicli normativi. I codici di buone pratiche consentono di sviluppare standard operativi flessibili, aggiornabili e costruiti con il contributo diretto di chi possiede la conoscenza tecnica. Al contempo, il meccanismo di escalation previsto dal paragrafo 9 — la facoltà della Commissione di sostituire i codici con atti di esecuzione vincolanti se risultano inadeguati — garantisce che la co-regolazione non si trasformi in una delega in bianco all'industria.

L'AI Office come fulcro del processo

Il soggetto che dirige il processo è l'ufficio per l'IA (AI Office), istituito dalla Commissione europea come struttura interna dedicata all'applicazione dell'AI Act, in particolare per i modelli GPAI. L'AI Office ha il potere di invitare i fornitori di modelli GPAI a partecipare all'elaborazione dei codici, di coinvolgere le autorità nazionali competenti, le organizzazioni della società civile, il mondo accademico, i fornitori a valle e gli esperti indipendenti.

Il comitato AI (composto dai rappresentanti degli Stati membri) è il co-gestore del processo: paragrafi 2, 4 e 6 attribuiscono all'AI Office e al comitato un mandato congiunto per garantire che i codici rispondano agli obiettivi regolatori e che siano adeguatamente monitorati nel tempo. Questo doppio livello di governance — europeo (AI Office) e inter-statale (comitato) — mira a garantire coerenza applicativa in tutta l'Unione.

Il contenuto minimo dei codici

Il paragrafo 2 stabilisce i temi minimi che i codici devono affrontare, riferiti agli obblighi degli articoli 53 (obblighi generali GPAI) e 55 (obblighi aggiuntivi per GPAI con rischio sistemico). In particolare, i codici devono disciplinare:

a) I mezzi per mantenere aggiornate le informazioni sui dati di addestramento (art. 53, par. 1, lettere a) e b)) alla luce degli sviluppi tecnologici e di mercato. Questo è critico per i modelli che vengono continuamente ri-addestrati o aggiornati: il fornitore deve poter dimostrare in ogni momento che la sintesi dei contenuti di addestramento è attuale.

b) Un adeguato livello di dettaglio nella sintesi dei contenuti utilizzati per l'addestramento: questione di grande rilevanza anche per i titolari di diritto d'autore e per la trasparenza verso gli utenti a valle.

c) L'identificazione del tipo e della natura dei rischi sistemici a livello UE, incluse le fonti di rischio. Questo è rilevante soprattutto per i modelli con rischio sistemico (art. 51), che devono gestire rischi di portata potenzialmente molto ampia.

d) Le misure, procedure e modalità per la valutazione e la gestione dei rischi sistemici, proporzionate alla loro gravità e probabilità, tenendo conto della catena del valore dell'IA.

La struttura degli impegni e gli indicatori di performance

Il paragrafo 4 specifica che i codici devono contenere impegni o misure concrete, accompagnati — dove opportuno — da indicatori chiave di prestazione (KPI) volti a verificare il conseguimento degli obiettivi. Questo elemento trasforma i codici da mere dichiarazioni di intenti in strumenti di accountability misurabile: i partecipanti si obbligano a determinati comportamenti e accettano di essere valutati sulla base di indicatori predefiniti.

Il paragrafo 5 introduce un ciclo di rendicontazione periodica: i partecipanti all'elaborazione dei codici devono riferire all'AI Office sull'attuazione degli impegni, sulle misure adottate e sui risultati, anche rispetto ai KPI. La rendicontazione è calibrata sulla dimensione e sulla capacità dei partecipanti: una start-up che sviluppa modelli GPAI non può essere tenuta agli stessi standard procedurali di un fornitore globale di infrastruttura AI.

Monitoraggio, valutazione e approvazione ufficiale

Il paragrafo 6 attribuisce all'AI Office e al comitato il compito di monitorare e valutare periodicamente il conseguimento degli obiettivi dei codici e il loro contributo all'applicazione del Regolamento. Le valutazioni sono rese pubbliche, creando un ciclo di trasparenza e pressione reputazionale sui partecipanti.

La Commissione ha la facoltà di andare oltre il monitoraggio: può formalmente approvare un codice con un atto di esecuzione e conferirgli «validità generale all'interno dell'Unione». Un codice approvato con questo meccanismo cessa di essere un impegno volontario dei soli partecipanti e diventa un riferimento con effetti potenzialmente analoghi a quelli delle norme armonizzate: i fornitori che vi aderiscono possono beneficiare della presunzione di conformità per gli obblighi che il codice copre.

Le scadenze e il meccanismo di escalation

Il paragrafo 9 fissa una scadenza precisa: i codici di buone pratiche dovevano essere pronti entro il 2 maggio 2025. Questo è già un termine trascorso al momento della pubblicazione del Regolamento, e rappresenta una delle prime scadenze operative dell'AI Act.

Se entro il 2 agosto 2025 — data di applicazione degli obblighi GPAI — un codice non è stato completato o viene ritenuto inadeguato dall'AI Office, la Commissione può adottare atti di esecuzione con norme comuni vincolanti per l'attuazione degli obblighi degli articoli 53 e 55. Si tratta del meccanismo di escalation che trasforma il tentativo di co-regolazione in imposizione regolamentare top-down: un potente incentivo per i fornitori a partecipare costruttivamente al processo dei codici piuttosto che attendere l'imposizione di norme calate dall'alto.

Implicazioni pratiche per i fornitori di modelli GPAI

Per i fornitori di modelli GPAI, la partecipazione al processo dei codici di buone pratiche non è obbligatoria (il paragrafo 7 parla di invito), ma è strategicamente rilevante. Chi partecipa ha la possibilità di influenzare gli standard operativi del settore prima che diventino — eventualmente — vincolanti per tutti. Chi non partecipa rischia di dover adeguarsi a standard definiti da altri, potenzialmente più onerosi.

Per i fornitori a valle (deployer che costruiscono applicazioni sui modelli GPAI), i codici di buone pratiche sono uno strumento di orientamento operativo: indicano come i fornitori di modelli intendono gestire la documentazione, i rischi e la trasparenza, e quindi cosa i deployer possono ragionevolmente aspettarsi in termini di informazioni e supporto per adempiere ai propri obblighi.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

I codici di buone pratiche dell'AI Act sono obbligatori?

Non direttamente: i fornitori vengono invitati a partecipare e ad aderire. Tuttavia, se i codici vengono approvati dalla Commissione con un atto di esecuzione e ottengono validità generale, producono effetti analoghi alle norme tecniche. Chi non aderisce rischia di dover dimostrare la conformità in modo più oneroso.

Cosa succede se i codici di buone pratiche non vengono completati nei tempi previsti?

Se entro il 2 agosto 2025 un codice non è pronto o viene ritenuto inadeguato, la Commissione può adottare atti di esecuzione con norme comuni vincolanti per l'attuazione degli obblighi degli artt. 53 e 55. La co-regolazione cede il passo alla regolazione diretta.

Chi partecipa all'elaborazione dei codici di buone pratiche?

L'AI Office può invitare tutti i fornitori di modelli GPAI e le autorità nazionali. Possono partecipare anche organizzazioni della società civile, industria, mondo accademico, fornitori a valle ed esperti indipendenti.

Un fornitore di modello GPAI senza rischio sistemico può aderire solo parzialmente al codice?

Sì. Il paragrafo 7 prevede che per questi fornitori l'adesione possa essere limitata agli obblighi dell'art. 53 (documentazione, trasparenza, politica sul diritto d'autore), a meno che non dichiarino esplicitamente di voler aderire all'intero codice.

I codici di buone pratiche riguardano solo i fornitori di modelli GPAI?

Principalmente sì: l'articolo 56 è collocato nel capo V dedicato ai modelli GPAI. Tuttavia, i codici possono coinvolgere anche fornitori a valle, deployer e altri portatori di interessi come partecipanti al processo di elaborazione.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.