- I fornitori di modelli GPAI che raggiungono la soglia di rischio sistemico indicata all'articolo 51, paragrafo 1, lettera a), devono notificarlo alla Commissione entro due settimane.
- Il fornitore può allegare alla notifica argomentazioni motivate per dimostrare che il proprio modello, pur superando la soglia, non presenta in concreto rischi sistemici per le sue caratteristiche specifiche.
- Se la Commissione respinge tali argomentazioni, il modello è classificato come GPAI con rischio sistemico e soggetto agli obblighi aggiuntivi previsti dal regolamento.
- La Commissione può designare un modello come GPAI con rischio sistemico anche d'ufficio o su segnalazione del gruppo di esperti scientifici, sulla base dei criteri dell'allegato XIII.
- Un elenco aggiornato dei modelli GPAI con rischio sistemico è pubblicato dalla Commissione, nel rispetto della riservatezza commerciale.
Testo dell'articoloVigente
Art. 52 Reg. (UE) 2024/1689 — Procedura
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Se un modello di IA per finalità generali soddisfa la condizione di cui all’articolo 51, paragrafo 1, lettera a), il fornitore pertinente informa la Commissione senza ritardo e in ogni caso entro due settimane dal soddisfacimento di tale requisito o dal momento in cui viene a conoscenza che tale requisito sarà soddisfatto. Tale notifica comprende le informazioni necessarie a dimostrare che il requisito in questione è stato soddisfatto. Se la Commissione viene a conoscenza di un modello di IA per finalità generali che presenta rischi sistemici di cui non è stata informata, può decidere di designarlo come modello con rischio sistemico.
2. Il fornitore di un modello di IA per finalità generali che soddisfa la condizione di cui all’articolo 51, paragrafo 1, lettera a), può presentare, unitamente alla sua notifica, argomentazioni sufficientemente fondate per dimostrare che, in via eccezionale, sebbene soddisfi tale requisito, il modello di IA per finalità generali non presenta, a causa delle sue caratteristiche specifiche, rischi sistemici e non dovrebbe essere pertanto classificato come modello di IA per finalità generali con rischio sistemico.
3. Se la Commissione conclude che le argomentazioni presentate a norma del paragrafo 2 non sono sufficientemente fondate e il fornitore in questione non è stato in grado di dimostrare che il modello di IA per finalità generali non presenta, per le sue caratteristiche specifiche, rischi sistemici, essa respinge tali argomentazioni e il modello di IA per finalità generali è considerato un modello di IA per finalità generali con rischio sistemico.
4. La Commissione può designare un modello di IA per finalità generali come modello che presenta rischi sistemici, ex officio o a seguito di una segnalazione qualificata del gruppo di esperti scientifici a norma dell’articolo 90, paragrafo 1, lettera a), sulla base dei criteri di cui all’allegato XIII. Alla Commissione è conferito il potere di adottare atti delegati a norma dell’articolo 97 per modificare l’allegato XIII specificando e aggiornando i criteri di cui a tale allegato.
5. Su richiesta motivata di un fornitore il cui modello è stato designato come modello di IA per finalità generali con rischio sistemico a norma del paragrafo 4, la Commissione, tenendo conto della richiesta, può decidere di valutare nuovamente se si possa ancora ritenere che il modello di IA per finalità generali presenti rischi sistemici sulla base dei criteri di cui all'allegato XIII. Tale richiesta contiene motivi oggettivi, dettagliati e nuovi emersi dopo la decisione di designazione. I fornitori possono chiedere una nuova valutazione non prima di sei mesi dopo la decisione di designazione. Se la Commissione, a seguito della nuova valutazione, decide di mantenere la designazione come modello di IA per finalità generali con rischio sistemico, i fornitori possono chiedere una nuova valutazione non prima di sei mesi dopo tale decisione.
6. La Commissione garantisce che sia pubblicato un elenco di modelli di IA per finalità generali con rischio sistemico e lo mantiene aggiornato, fatta salva la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali conformemente al diritto dell'Unione e nazionale.
Stesso numero, altri codici
- Art. 52 D.Lgs. 504/1995 — Oggetto dell'imposizione
- Articolo 52 L. 184/1983: Revoca dell'adozione su domanda dell'adottato
- Art. 52 Cod. Amb. — [Abrogato]
- Art. 52 D.Lgs. 159/2011 — Diritti dei terzi
- Art. 52 D.Lgs. 209/2005 — Particolari mutue assicuratrici
- Art. 52 D.Lgs. 42/2004 — Esercizio del commercio in aree di valore culturale e nei locali storici tradizionali
Commento
I modelli GPAI e la categoria del rischio sistemico
Il Regolamento (UE) 2024/1689 dedica un'intera sezione — la sezione 2 del capo V — alla disciplina dei modelli di IA per finalità generali (GPAI, dall'inglese «General Purpose AI»). Si tratta dei modelli fondazionali — come i grandi modelli linguistici, i modelli di generazione di immagini o i modelli multimodali — caratterizzati dalla capacità di essere addestrati su grandi quantità di dati e di essere utilizzati per un'ampia varietà di applicazioni a valle, spesso in modi non previsti dal fornitore al momento dello sviluppo.
Tra i modelli GPAI, il regolamento distingue una sottocategoria di particolare rilevanza: i modelli GPAI con rischio sistemico. Questi modelli, per la loro potenza computazionale, la loro diffusione e la loro capacità di influenzare interi settori o sistemi, sono soggetti a obblighi rafforzati rispetto agli altri modelli GPAI. L'articolo 52 disciplina la procedura attraverso cui un modello viene classificato come GPAI con rischio sistemico.
L'obbligo di notifica: tempistiche e contenuto
Il paragrafo 1 pone in capo al fornitore di un modello GPAI che «soddisfa la condizione di cui all'articolo 51, paragrafo 1, lettera a)» — ovvero che supera la soglia computazionale indicata in quell'articolo — l'obbligo di informare la Commissione «senza ritardo e in ogni caso entro due settimane» dal soddisfacimento del requisito o dal momento in cui viene a conoscenza che tale requisito sarà soddisfatto. La notifica deve includere le informazioni necessarie a dimostrare che il requisito è stato soddisfatto.
Le due settimane sono un termine particolarmente stringente per soggetti che sviluppano modelli con traiettorie computazionali rapide: il fornitore deve avere sistemi interni di monitoraggio che gli consentano di rilevare tempestivamente il superamento della soglia, eventualmente anche in fase di addestramento, quando il raggiungimento del requisito è prevedibile ma non ancora avvenuto.
Il paragrafo 1 aggiunge che se la Commissione «viene a conoscenza» di un modello che presenta rischi sistemici di cui non è stata informata, può decidere d'ufficio di designarlo come modello con rischio sistemico: è una clausola anti-elusione che presidia l'obbligo di notifica.
Il meccanismo di contestazione della classificazione
Il paragrafo 2 introduce un elemento di flessibilità nel sistema: il fornitore che ha notificato il superamento della soglia può presentare, unitamente alla notifica, argomentazioni sufficientemente fondate per dimostrare che il proprio modello, pur soddisfacendo il criterio quantitativo, non presenta in concreto rischi sistemici per le sue caratteristiche specifiche. Il legislatore europeo ha riconosciuto che la soglia computazionale è un proxy imperfetto: un modello può superarla ed essere comunque privo di capacità sistemicamente pericolose per la sua architettura, il suo ambito di utilizzo o i meccanismi di controllo integrati.
Se la Commissione ritiene le argomentazioni non sufficientemente fondate, le respinge e il modello è classificato come GPAI con rischio sistemico (paragrafo 3). La valutazione della Commissione non è puramente formale: deve confrontarsi con le caratteristiche tecniche specifiche del modello e con i criteri dell'allegato XIII. Il fornitore può richiedere una nuova valutazione, ma non prima di sei mesi dalla decisione di designazione, e successivamente non prima di altri sei mesi da ciascuna decisione di mantenimento della designazione.
La designazione d'ufficio e il ruolo del gruppo di esperti scientifici
Il paragrafo 4 prevede che la Commissione possa classificare un modello come GPAI con rischio sistemico anche ex officio, indipendentemente dalla notifica del fornitore, o a seguito di una segnalazione qualificata del gruppo di esperti scientifici di cui all'articolo 90. Questo gruppo, composto da esperti scientifici indipendenti, può segnalare modelli che ritiene presentino rischi sistemici sulla base dei criteri dell'allegato XIII, anche se non hanno raggiunto la soglia computazionale dell'articolo 51, paragrafo 1, lettera a).
La possibilità di designazione ex officio è particolarmente rilevante per i fornitori di modelli che si sviluppano rapidamente: il mancato rispetto dell'obbligo di notifica non consente di evitare la classificazione, che può comunque intervenire per iniziativa della Commissione. Alla Commissione è conferito il potere di adottare atti delegati per modificare l'allegato XIII, specificando e aggiornando i criteri di rischio sistemico.
L'elenco pubblico dei modelli GPAI con rischio sistemico
Il paragrafo 6 dispone che la Commissione pubblichi e mantenga aggiornato un elenco dei modelli GPAI con rischio sistemico, «fatta salva la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate». L'elenco ha una duplice funzione: da un lato garantisce trasparenza verso il pubblico e verso i deployer dei modelli classificati; dall'altro consente alle autorità nazionali competenti e all'Ufficio per l'IA di orientare le proprie attività di sorveglianza.
Per i deployer — le imprese e gli sviluppatori che integrano modelli GPAI nelle proprie applicazioni — l'elenco è uno strumento di due diligence fondamentale: se il modello che intendono utilizzare è classificato come GPAI con rischio sistemico, il fornitore del modello è soggetto a obblighi rafforzati di valutazione degli impatti avversi, di red-teaming e di segnalazione degli incidenti, obblighi che si riverberano anche sulle condizioni contrattuali e di utilizzo del modello.
Obblighi di conformità e applicazione temporale
Le regole sui modelli GPAI — incluse quelle dell'articolo 52 — si applicano a decorrere dal 2 agosto 2025, dodici mesi prima dell'applicazione generale degli obblighi per i sistemi di IA ad alto rischio (articolo 113). I fornitori di modelli GPAI che nel periodo precedente non hanno ancora predisposto i sistemi di monitoraggio interno necessari per rilevare il superamento della soglia computazionale devono farlo con urgenza.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Un fornitore che sviluppa un modello GPAI in Italia deve notificare alla Commissione il superamento della soglia o è sufficiente farlo all'autorità nazionale?
La notifica ai sensi dell'articolo 52 va effettuata direttamente alla Commissione europea, non all'autorità nazionale. Il meccanismo di supervisione dei modelli GPAI è centralizzato a livello UE, con l'Ufficio per l'IA come interlocutore principale. L'autorità nazionale competente è comunque informata nell'ambito delle attività di coordinamento.
Le regole dell'articolo 52 sui modelli GPAI con rischio sistemico si applicano anche ai modelli GPAI rilasciati con licenza open source?
L'AI Act prevede alcune esenzioni e modulazioni per i modelli rilasciati con parametri accessibili al pubblico (open source). Tuttavia, per i modelli che soddisfano i criteri di rischio sistemico, le esenzioni potrebbero non applicarsi integralmente. È necessario verificare caso per caso le disposizioni specifiche del regolamento sui modelli GPAI open source.
Cosa succede se un fornitore non notifica il superamento della soglia nei termini previsti?
L'omessa notifica è una violazione del regolamento sanzionabile ai sensi dell'articolo 99, che prevede sanzioni amministrative pecuniarie. La Commissione può anche intervenire ex officio per designare il modello come GPAI con rischio sistemico, indipendentemente dalla notifica. Il ritardo nella notifica non impedisce la classificazione.
Un deployer che integra un modello GPAI classificato come avente rischio sistemico ha obblighi aggiuntivi rispetto a un deployer che integra un modello GPAI ordinario?
Indirettamente sì. Il fornitore di un modello GPAI con rischio sistemico è soggetto a obblighi rafforzati (valutazione degli impatti avversi, red-teaming, segnalazione degli incidenti) che si riflettono nelle condizioni contrattuali di accesso al modello. Il deployer deve tenere conto di questi obblighi nella propria valutazione dei rischi e nella documentazione destinata alle autorità.
Con quale frequenza la Commissione aggiorna l'elenco dei modelli GPAI con rischio sistemico?
L'articolo 52 dispone che la Commissione 'mantiene aggiornato' l'elenco, senza fissare una periodicità specifica. Gli aggiornamenti avverranno al verificarsi di nuove designazioni, riesami con esito favorevole al fornitore, o variazioni del profilo di rischio di modelli già classificati.
Vedi anche