- L'Ufficio per l'IA può intraprendere azioni di monitoraggio per verificare l'effettiva attuazione del Regolamento da parte dei fornitori di modelli di IA per finalità generali (GPAI), inclusa la loro adesione ai codici di buone pratiche approvati.
- I fornitori a valle — ovvero i soggetti che costruiscono sistemi di IA basandosi su modelli GPAI di altri fornitori — hanno il diritto di presentare un reclamo motivato all'Ufficio per l'IA per presunta violazione del Regolamento da parte del fornitore del modello GPAI.
- Il reclamo deve indicare il punto di contatto del fornitore del modello GPAI, una descrizione dei fatti e delle disposizioni violate, e qualsiasi altra informazione ritenuta pertinente.
- Le azioni di monitoraggio si inseriscono nella supervisione complessiva dei modelli GPAI attribuita all'Ufficio per l'IA, che ha competenza esclusiva su questi modelli a livello europeo.
Testo dell'articoloVigente
Art. 89 Reg. (UE) 2024/1689 — Azioni di monitoraggio
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Ai fini dello svolgimento dei compiti ad esso assegnati a norma della presente sezione, l'ufficio per l'IA può intraprendere le azioni necessarie per monitorare l'efficace attuazione e il rispetto del presente regolamento da parte dei fornitori di modelli di IA per finalità generali, compresa la loro adesione ai codici di buone pratiche approvati.
2. I fornitori a valle hanno il diritto di presentare un reclamo per presunta violazione del presente regolamento. Il reclamo è debitamente motivato e indica almeno:
a) il punto di contatto del fornitore del modello di IA per finalità generali in questione;
b) una descrizione dei fatti di cui trattasi, delle pertinenti disposizioni del presente regolamento e del motivo per cui il fornitore a valle ritiene che il fornitore del modello di IA per finalità generali in questione abbia violato il presente regolamento;
c) qualsiasi altra informazione che il fornitore a valle che ha inviato la richiesta ritenga pertinente, comprese, se del caso, le informazioni raccolte di propria iniziativa.
Commento
I modelli GPAI e la loro governance nell'AI Act
L'articolo 89 del Regolamento (UE) 2024/1689 disciplina le azioni di monitoraggio dell'Ufficio per l'IA nei confronti dei fornitori di modelli di IA per finalità generali (in inglese, «General Purpose AI Models» o GPAI). Per comprendere la portata di questa norma, è necessario richiamare brevemente il regime speciale che l'AI Act dedica ai GPAI, disciplinato dagli artt. 51-63.
I modelli GPAI sono sistemi di IA addestrati su grandi quantità di dati con metodi di auto-supervisione che possono svolgere compiti diversi, anche non previsti esplicitamente al momento dell'addestramento: modelli linguistici di grandi dimensioni (LLM), modelli multimodali, sistemi di generazione di immagini o codice. L'AI Act li assoggetta a un regime specifico di obblighi che ricadono sul fornitore del modello GPAI (chi lo sviluppa e lo rende disponibile), distinto dai fornitori di sistemi di IA che utilizzano il modello GPAI come componente («fornitori a valle» o «downstream providers»).
La supervisione dei modelli GPAI è attribuita all'Ufficio per l'IA (AI Office), istituito nell'ambito della Commissione europea, che ha competenza esclusiva a livello dell'Unione su questi modelli. Questa centralizzazione è una scelta consapevole del legislatore: i modelli GPAI sono per definizione transfrontalieri, vengono sviluppati da pochissimi soggetti a livello mondiale e i loro effetti si riverberano sull'intera catena del valore dell'IA in Europa. Una vigilanza frammentata tra 27 autorità nazionali sarebbe inefficace.
Le azioni di monitoraggio dell'Ufficio per l'IA
Il paragrafo 1 dell'articolo 89 attribuisce all'Ufficio per l'IA il potere di intraprendere le azioni necessarie per monitorare l'efficace attuazione e il rispetto del Regolamento da parte dei fornitori di GPAI. Questo potere di monitoraggio comprende almeno due ambiti.
Il primo ambito è la verifica del rispetto degli obblighi imposti direttamente ai fornitori di GPAI: gli obblighi di trasparenza (art. 53), la predisposizione della documentazione tecnica, la pubblicazione delle politiche di utilizzo dei dati, il rispetto del diritto d'autore, la gestione dei rischi sistemici per i modelli GPAI di maggiore impatto (art. 55 ss.). Il secondo ambito, esplicitamente menzionato dalla norma, è la verifica dell'adesione ai codici di buone pratiche approvati ai sensi dell'art. 56 AI Act. I codici di buone pratiche sono strumenti di autoregolamentazione settoriale che possono essere adottati dai fornitori di GPAI per dimostrare la conformità ai requisiti del Regolamento; una volta approvati dall'Ufficio per l'IA, la loro osservanza crea una presunzione di conformità.
Il diritto di reclamo dei fornitori a valle
Il paragrafo 2 introduce uno strumento proceduralmente rilevante: il diritto dei fornitori a valle di presentare un reclamo all'Ufficio per l'IA per presunta violazione del Regolamento da parte del fornitore del modello GPAI su cui si appoggiano. Si tratta di un meccanismo di tutela procedurale che riconosce la posizione di dipendenza strutturale in cui si trovano i fornitori a valle: la loro capacità di rispettare i requisiti applicabili ai propri sistemi di IA dipende in larga misura dal rispetto, da parte del fornitore del modello GPAI, degli obblighi di trasparenza, documentazione e gestione del rischio imposti dal Regolamento.
Il reclamo deve soddisfare alcuni requisiti di forma e contenuto. Deve essere «debitamente motivato», il che implica che non è sufficiente una lamentela generica: occorre identificare con precisione le disposizioni che si ritiene violate e fornire elementi di fatto che giustifichino il reclamo. Deve indicare il punto di contatto del fornitore del modello GPAI — una delle informazioni che i fornitori di GPAI devono rendere pubblicamente disponibili ai sensi dell'art. 53, par. 1, lett. b) —, la descrizione dei fatti rilevanti, le disposizioni che si ritiene violate e il motivo per cui il fornitore a valle ritiene sussistente la violazione. Il reclamo può essere completato con qualsiasi altra informazione ritenuta pertinente, incluse prove raccolte di propria iniziativa.
Posizione dell'articolo nel sistema dell'AI Act
L'art. 89 si inserisce nel Capo V, Sezione 3 dell'AI Act, dedicata all'applicazione delle disposizioni sui GPAI. Si colloca tra le norme sulle indagini dell'Ufficio per l'IA (art. 88) e quelle sulle audizioni dei fornitori (art. 90), formando un corpus di norme procedurali che delineano il processo attraverso cui l'Ufficio per l'IA esercita la propria funzione di vigilanza.
Il raccordo con il sistema di sanzioni è rilevante: le violazioni degli obblighi imposti ai fornitori di GPAI — rilevate anche attraverso le azioni di monitoraggio di cui all'art. 89 — possono portare all'applicazione delle sanzioni di cui all'art. 99 AI Act. Per i modelli GPAI con rischio sistemico (art. 51), le sanzioni massime sono particolarmente elevate in termini percentuali del fatturato mondiale annuo del fornitore. I dettagli esatti rimandano all'art. 99 del Regolamento.
Implicazioni per i fornitori di modelli GPAI e per i fornitori a valle
Per i fornitori di modelli GPAI — che in larga misura sono grandi imprese tecnologiche internazionali — l'art. 89 implica la necessità di predisporre sistemi interni di monitoraggio della conformità che siano in grado di rispondere prontamente alle richieste dell'Ufficio per l'IA. Sul piano pratico: mantenere documentazione tecnica aggiornata, garantire il rispetto degli obblighi di trasparenza verso i fornitori a valle, aderire o contribuire ai codici di buone pratiche rilevanti, e designare un punto di contatto accessibile per comunicazioni con l'Ufficio per l'IA e con i fornitori a valle.
Per i fornitori a valle — imprese che integrano modelli GPAI (come LLM di fornitori terzi) nei propri prodotti o servizi — l'art. 89 riconosce una forma di tutela procedurale. Se il fornitore del modello GPAI non rispetta i propri obblighi di documentazione o trasparenza, rendendo difficile per il fornitore a valle dimostrare la conformità del proprio sistema, questi può portare la questione all'attenzione dell'Ufficio per l'IA attraverso il meccanismo del reclamo. Le regole GPAI si applicano a partire dal 2 agosto 2025 (art. 113, par. 1, AI Act).
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Cos'è l'Ufficio per l'IA e perché ha competenza esclusiva sui modelli GPAI?
L'Ufficio per l'IA (AI Office) è un organismo istituito nell'ambito della Commissione europea con competenza esclusiva sulla supervisione dei modelli di IA per finalità generali (GPAI). La scelta di centralizzare questa competenza a livello UE, invece di distribuirla tra le autorità nazionali, riflette la natura transfrontaliera dei modelli GPAI, sviluppati da pochissimi soggetti globali con effetti sull'intera catena del valore dell'IA in Europa.
Chi sono i fornitori a valle e qual è il loro rapporto con il fornitore GPAI?
I fornitori a valle sono i soggetti che costruiscono sistemi di IA utilizzando come componente un modello GPAI sviluppato da altri. Dipendono strutturalmente dal fornitore del modello per la disponibilità di documentazione tecnica, politiche di utilizzo e informazioni sui rischi. Questa dipendenza è riconosciuta dall'art. 89, che attribuisce loro il diritto di reclamo per presunta violazione del Regolamento da parte del fornitore GPAI.
Cosa deve contenere un reclamo ai sensi dell'art. 89?
Il reclamo deve essere debitamente motivato e indicare: il punto di contatto del fornitore del modello GPAI, una descrizione dei fatti rilevanti e delle disposizioni dell'AI Act che si ritiene violate, il motivo per cui si ritiene sussistente la violazione, e qualsiasi altra informazione pertinente, comprese prove raccolte di propria iniziativa.
Quando si applicano le regole sui modelli GPAI?
Le disposizioni sui modelli GPAI (artt. 51-63 AI Act) si applicano a partire dal 2 agosto 2025, ai sensi dell'art. 113, par. 1. I fornitori di modelli GPAI avranno quindi fino a quella data per adeguare documentazione, politiche di utilizzo, procedure di gestione dei rischi sistemici e, se del caso, aderire a codici di buone pratiche approvati.
I codici di buone pratiche per i GPAI sono obbligatori?
No, l'adesione è volontaria. Tuttavia, l'osservanza di un codice di buone pratiche approvato dall'Ufficio per l'IA crea una presunzione di conformità ai requisiti del Regolamento coperti dal codice. I fornitori che non aderiscono ad alcun codice devono dimostrare la conformità con altri mezzi, il che può risultare più oneroso in caso di ispezione o contestazione.
Vedi anche