Art. 92 Reg. (UE) 2024/1689 — Potere di effettuare valutazioni

Commento

Le valutazioni dei modelli GPAI: un potere di supervisione inedito

L'articolo 92 del Regolamento (UE) 2024/1689 conferisce all'Ufficio per l'IA (AI Office) della Commissione europea un potere di valutazione diretta dei modelli di IA per finalità generali (GPAI — General Purpose AI Models). Si tratta di un potere di supervisione tecnica senza precedenti nel diritto europeo dei prodotti: non è una semplice richiesta di documentazione, ma la facoltà di accedere al modello stesso — incluso il codice sorgente — per effettuare analisi approfondite.

I modelli GPAI sono sistemi di IA addestrati su grandi volumi di dati capaci di svolgere una vasta gamma di compiti diversi (es. modelli linguistici di grandi dimensioni, modelli multimodali). Il Regolamento li disciplina agli articoli 51 e seguenti, imponendo obblighi specifici ai loro fornitori, con requisiti rinforzati per i modelli con «rischio sistemico» (definiti dall'art. 51 in relazione a soglie di capacità computazionale).

I due presupposti per la valutazione

Il paragrafo 1 prevede due distinte causali che legittimano l'avvio di una valutazione.

La prima (lettera a) è la verifica della conformità: l'Ufficio per l'IA può valutare il modello quando le informazioni raccolte ai sensi dell'articolo 91 (richieste di informazioni e documenti) sono insufficienti per accertare se il fornitore adempie agli obblighi del regolamento. La valutazione è dunque uno strumento di secondo livello, attivato quando le informazioni documentali non bastano.

La seconda causale (lettera b) è l'indagine sui rischi sistemici a livello dell'Unione, in particolare a seguito di una segnalazione qualificata del gruppo di esperti scientifici ai sensi dell'articolo 90, paragrafo 1, lettera a). La segnalazione deve essere «qualificata», il che implica che il gruppo di esperti abbia già effettuato una valutazione preliminare della plausibilità del rischio. Questa causale si applica specificamente ai modelli GPAI con rischio sistemico — i modelli più potenti, quelli che per la loro diffusione e capacità potrebbero avere impatti su scala europea o globale.

Chi effettua le valutazioni: il ruolo degli esperti indipendenti

Il paragrafo 2 prevede che la Commissione possa nominare esperti indipendenti per effettuare le valutazioni per suo conto. Questi esperti possono provenire dal gruppo di esperti scientifici istituito ai sensi dell'articolo 68 e devono soddisfare i criteri di indipendenza e competenza di cui al medesimo articolo.

L'opzione degli esperti indipendenti è cruciale per la credibilità tecnica del processo: le valutazioni di modelli GPAI richiedono competenze altamente specializzate in machine learning, sicurezza dei sistemi IA e analisi del rischio che difficilmente possono essere internalizzate integralmente in una struttura amministrativa. Il ricorso a esperti esterni garantisce rigore tecnico e legittimità scientifica delle conclusioni.

L'accesso al modello: API, codice sorgente e modalità tecniche

Il paragrafo 3 disciplina come la Commissione può ottenere l'accesso al modello: tramite API, codice sorgente o altri mezzi e strumenti tecnici adeguati. L'inclusione esplicita del codice sorgente è particolarmente significativa: per i fornitori di modelli proprietari, si tratta dell'asset più sensibile, normalmente protetto come segreto commerciale. La richiesta di accesso al codice sorgente deve essere debitamente giustificata dalla necessità della valutazione.

La richiesta di accesso (paragrafo 4) deve indicare: la base giuridica (l'art. 92 stesso), lo scopo e i motivi, il termine entro cui deve essere fornito l'accesso, e le sanzioni pecuniarie previste dall'articolo 101 in caso di mancata fornitura. Le sanzioni dell'articolo 101 includono penalità di mora giornaliere, che incentivano il fornitore a cooperare prontamente.

Il dialogo strutturato: il meccanismo preventivo

Il paragrafo 7 prevede che, prima di richiedere formalmente l'accesso al modello, l'Ufficio per l'IA possa avviare un dialogo strutturato con il fornitore. L'obiettivo è raccogliere informazioni sulle prove interne del modello, sulle garanzie adottate per prevenire rischi sistemici e sulle altre misure di mitigazione del fornitore.

Questo meccanismo ha una duplice valenza: da un lato, può rendere superflua la richiesta formale di accesso se il dialogo rivela informazioni sufficienti; dall'altro, è uno strumento di co-regolazione che incentiva i fornitori di modelli GPAI a sviluppare solide procedure di auto-valutazione e a condividerle con le autorità. Per i fornitori di grandi modelli (come quelli con rischio sistemico), il dialogo strutturato può essere uno strumento strategico per influenzare la lettura del proprio profilo di rischio da parte dell'Ufficio per l'IA prima che si avvii una valutazione formale.

Implicazioni per i fornitori di modelli GPAI

Le regole sui modelli GPAI — incluse quelle sulla vigilanza e sulle valutazioni — diventano applicabili dal 2 agosto 2025 (art. 113). I fornitori di modelli GPAI, inclusi quelli con rischio sistemico, devono dunque prepararsi a questa data dotandosi di:

• procedure interne di valutazione del rischio documentate e aggiornate;
• sistemi di accesso al modello (API, repository) che consentano di rispondere prontamente a richieste dell'Ufficio per l'IA;
• politiche di gestione delle richieste di accesso al codice sorgente, con particolare attenzione alla tutela dei segreti commerciali nell'ambito delle procedure di riservatezza dell'articolo 78.

Per i fornitori extra-UE di modelli GPAI — come le grandi piattaforme tecnologiche americane o cinesi — l'articolo 92 si applica comunque se i loro modelli sono usati nell'Unione (art. 2). Il loro rappresentante autorizzato nell'UE è il punto di contatto con l'Ufficio per l'IA per le procedure di accesso.