- I fornitori di modelli GPAI (General Purpose AI) devono redigere e mantenere aggiornata la documentazione tecnica del modello, inclusi i processi di addestramento e prova, da trasmettere all'Ufficio per l'IA su richiesta.
- Devono mettere a disposizione dei fornitori di sistemi IA a valle informazioni e documentazione sulle capacità e i limiti del modello, affinché questi possano adempiere ai propri obblighi regolatori.
- È obbligatoria una politica di rispetto del diritto d'autore UE, con particolare riguardo alla riserva di diritti prevista dalla Direttiva (UE) 2019/790 (art. 4, par. 3), anche tramite tecnologie adeguate.
- I fornitori devono pubblicare una sintesi dei contenuti utilizzati per l'addestramento del modello, secondo il modello fornito dall'Ufficio per l'IA.
- I modelli GPAI rilasciati con licenza open source sono esclusi dagli obblighi documentali dei punti a) e b), salvo che abbiano rischi sistemici.
- La conformità agli obblighi può essere dimostrata tramite codici di buone pratiche approvati, in attesa delle norme armonizzate europee.
Testo dell'articoloVigente
Art. 53 Reg. (UE) 2024/1689 — Obblighi dei fornitori di modelli di IA per finalità generali
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. I fornitori di modelli di IA per finalità generali:
a) redigono e mantengono aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e prova e i risultati della sua valutazione, che contiene almeno le informazioni di cui all'allegato XI affinché possa essere trasmessa, su richiesta, all'ufficio per l'IA e alle autorità nazionali competenti;
b) elaborano, mantengono aggiornate e mettono a disposizione informazioni e documentazione per i fornitori di sistemi di IA che intendono integrare il modello di IA per finalità generali nei loro sistemi di IA. Fatta salva la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali conformemente al diritto dell'Unione e nazionale, le informazioni e la documentazione: i) consentono ai fornitori di sistemi di IA di avere una buona comprensione delle capacità e dei limiti del modello di IA per finalità generali e di adempiere ai loro obblighi a norma del presente regolamento; nonché ii) contengono almeno gli elementi di cui all'allegato XII; i) consentono ai fornitori di sistemi di IA di avere una buona comprensione delle capacità e dei limiti del modello di IA per finalità generali e di adempiere ai loro obblighi a norma del presente regolamento; nonché ii) contengono almeno gli elementi di cui all'allegato XII;
i) consentono ai fornitori di sistemi di IA di avere una buona comprensione delle capacità e dei limiti del modello di IA per finalità generali e di adempiere ai loro obblighi a norma del presente regolamento; nonché
ii) contengono almeno gli elementi di cui all'allegato XII;
c) attuano una politica volta ad adempiere al diritto dell'Unione in materia di diritto d'autore e diritti ad esso collegati e, in particolare, a individuare e rispettare, anche attraverso tecnologie all'avanguardia, una riserva di diritti espressa a norma dell'articolo 4, paragrafo 3, della direttiva (UE) 2019/790;
d) redigono e mettono a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per l'addestramento del modello di IA per finalità generali, secondo un modello fornito dall'ufficio per l'IA.
2. Gli obblighi di cui al paragrafo 1, lettere a) e b), non si applicano ai fornitori di modelli di IA rilasciati con licenza libera e open source che consentono l'accesso, l'uso, la modifica e la distribuzione del modello e i cui parametri, compresi i pesi, le informazioni sull'architettura del modello e le informazioni sull'uso del modello, sono resi pubblici. Tale eccezione non si applica ai modelli di IA per finalità generali con rischi sistemici.
3. I fornitori di modelli di IA per finalità generali collaborano, secondo necessità, con la Commissione e le autorità nazionali competenti nell'esercizio delle loro competenze e dei loro poteri a norma del presente regolamento.
4. I fornitori di modelli di IA per finalità generali possono basarsi su codici di buone pratiche ai sensi dell'articolo 56 per dimostrare la conformità agli obblighi di cui al paragrafo 1 del presente articolo, finché non è pubblicata una norma armonizzata. La conformità alle norme armonizzate europee garantisce ai fornitori la presunzione di conformità nella misura in cui tali norme contemplano tali obblighi. I fornitori di modelli di IA per finalità generali che non aderiscono a un codice di buone pratiche approvato dimostrano mezzi alternativi adeguati di conformità ai fini di approvazione da parte della Commissione.
5. Allo scopo di agevolare la conformità all'allegato XI, in particolare al punto 2, lettere d) ed e), alla Commissione è conferito il potere di adottare atti delegati a norma dell'articolo 97 per specificare le metodologie di misurazione e di calcolo al fine di consentire che la documentazione sia comparabile e verificabile.
6. Alla Commissione è conferito il potere di adottare atti delegati a norma dell'articolo 97, paragrafo 2, per modificare gli allegati XI e XII alla luce degli sviluppi tecnologici in evoluzione.
7. Le informazioni o la documentazione ottenute a norma del presente articolo, compresi i segreti commerciali, sono trattate in conformità degli obblighi di riservatezza di cui all'articolo 78.
Commento
Introduzione: i GPAI come categoria normativa autonoma
L'articolo 53 del Regolamento (UE) 2024/1689 è il cardine degli obblighi per i fornitori di modelli di IA per finalità generali (in inglese «General Purpose AI models», GPAI). Si tratta di una categoria normativa introdotta ex novo dall'AI Act, che non trova precedenti nella legislazione settoriale europea: sono modelli addestrati su grandi quantità di dati, con capacità generali di eseguire compiti diversi, progettati per essere integrati in sistemi e applicazioni sviluppati da terze parti. I large language models, i modelli di generazione di immagini e i modelli multimodali rientrano tipicamente in questa categoria.
La distinzione tra GPAI e sistemi di IA è fondamentale: il GPAI è il «motore», che il fornitore a valle integra nel proprio sistema per creare un'applicazione specifica. Questa doppia filiera produttiva — fornitore GPAI / fornitore di sistema IA / deployer — genera una catena di responsabilità che l'art. 53 contribuisce a definire, imponendo obblighi specifici al livello più a monte: il fornitore del modello di base.
Le regole per i GPAI si applicano a decorrere dal 2 agosto 2025 (art. 113, par. 1, lett. b), con un anticipo rispetto alla piena applicazione degli obblighi per i sistemi ad alto rischio (2 agosto 2026): questo riflette la priorità politica attribuita dalla Commissione al governo dei modelli fondazionali, percepiti come la principale fonte di rischio sistemico.
Obbligo di documentazione tecnica (par. 1, lett. a)
Il primo obbligo riguarda la redazione e il mantenimento aggiornato della documentazione tecnica del modello. L'Allegato XI, richiamato dall'art. 53, par. 1, lett. a), specifica il contenuto minimo: deve includere informazioni sull'architettura del modello, sui dataset di addestramento, sulle metodologie di addestramento e di fine-tuning, sui risultati delle valutazioni di capacità e di sicurezza, sulle limitazioni note del modello e sulle misure adottate per mitigare i rischi identificati.
La documentazione deve essere trasmessa all'Ufficio per l'IA o alle autorità nazionali competenti su richiesta. Non è invece richiesta una trasmissione proattiva e sistematica, salvo che la richiesta provenga nell'ambito di una procedura di supervisione. L'obbligo di «mantenere aggiornata» la documentazione implica un processo continuo di revisione: ogni aggiornamento significativo del modello (nuove versioni, fine-tuning su nuovi dataset, modifiche all'architettura) deve riflettersi nella documentazione.
Obblighi informativi verso i fornitori di sistemi a valle (par. 1, lett. b)
Il secondo obbligo — tra i più rilevanti per la struttura della filiera IA — impone al fornitore GPAI di elaborare, mantenere aggiornate e mettere a disposizione informazioni e documentazione per i fornitori di sistemi di IA che intendono integrare il modello. L'obiettivo è duplice: consentire a questi fornitori di comprendere le capacità e i limiti del modello e di adempiere ai propri obblighi regolatori (in particolare, quelli per i sistemi ad alto rischio).
L'Allegato XII specifica gli elementi minimi che questa documentazione deve contenere, tra cui: una descrizione delle capacità e dei limiti del modello, le finalità per cui il modello è stato addestrato, le restrizioni d'uso consigliate, le metriche di valutazione delle prestazioni e i principali rischi identificati. Sono previste eccezioni per la protezione della proprietà intellettuale e dei segreti commerciali: il fornitore GPAI può omettere informazioni sensibili, purché le informazioni disponibili siano comunque sufficienti a consentire la conformità del fornitore a valle.
Questa previsione ridefinisce i modelli contrattuali tra fornitori di modelli fondazionali e sviluppatori: i termini di servizio e le API documentation dei GPAI devono ora soddisfare requisiti regolatori minimi, non solo commerciali. Le aziende che integrano modelli GPAI di terze parti devono verificare che il fornitore abbia adempiuto a questo obbligo, e conservare la documentazione ricevuta come parte del proprio fascicolo di conformità.
Politica di rispetto del diritto d'autore (par. 1, lett. c)
Il terzo obbligo riguarda il copyright: i fornitori GPAI devono attuare una politica volta ad adempiere al diritto UE in materia di diritto d'autore, con particolare riguardo alla Direttiva (UE) 2019/790 sul diritto d'autore nel mercato unico digitale. La norma specifica che questa politica deve includere meccanismi per individuare e rispettare la «riserva di diritti» espressa dai titolari ai sensi dell'art. 4, par. 3 della direttiva, anche attraverso «tecnologie all'avanguardia».
L'art. 4 della Direttiva 2019/790 prevede un'eccezione al diritto esclusivo per il text and data mining (TDM): i titolari possono escludere l'uso dei loro contenuti per il TDM attraverso una riserva di diritti «espressa in modo adeguato, ad esempio mediante mezzi leggibili da macchina». Il formato di riferimento è il meta-tag «robots.txt» o header HTTP equivalenti. Il fornitore GPAI deve rispettare queste riserve quando raccoglie dati per l'addestramento: ignorarle costituisce una violazione sia della Direttiva 2019/790 sia dell'AI Act.
Questo obbligo è particolarmente delicato per i modelli addestrati su dati web: il processo di pre-training richiede la raccolta di enormi quantità di testi e immagini, parte dei quali protetti da copyright. La politica interna di TDM compliance deve documentare come il fornitore identifica le riserve di diritti e come le tecnologie di crawling e filtraggio le rispettano.
Sintesi dei contenuti di addestramento (par. 1, lett. d) e trasparenza verso il pubblico
Il quarto obbligo — unico nella sua natura pubblicistica — prevede che i fornitori GPAI redigano e rendano pubblicamente disponibile una sintesi dei contenuti utilizzati per l'addestramento del modello. La Commissione, tramite l'Ufficio per l'IA, fornirà un modello standardizzato per questa sintesi, al fine di garantire comparabilità tra i diversi fornitori.
La sintesi non deve essere esaustiva né rivelare informazioni commercialmente sensibili: l'obiettivo è dare agli utenti e ai soggetti della filiera una comprensione generale delle fonti di addestramento. Questa informazione è rilevante, ad esempio, per i fornitori di sistemi a valle che vogliono valutare se un GPAI è adatto al proprio caso d'uso specifico (es. un modello addestrato prevalentemente su testi inglesi potrebbe avere performance inferiori su testi tecnici in italiano).
L'eccezione open source e i suoi limiti (par. 2)
Il paragrafo 2 introduce una significativa eccezione per i modelli GPAI rilasciati con licenza libera e open source: gli obblighi di documentazione tecnica (lett. a) e di informazione verso i fornitori a valle (lett. b) non si applicano, a condizione che i parametri del modello, l'architettura e le informazioni sull'uso siano pubblicamente disponibili. L'eccezione risponde all'esigenza di non gravare la comunità open source di oneri documentali analoghi a quelli dei grandi player commerciali.
Tuttavia, l'eccezione non si applica ai modelli GPAI con rischio sistemico (disciplinati dagli artt. 51 e ss.): anche se open source, un modello che supera le soglie di rischio sistemico deve rispettare tutti gli obblighi dell'art. 53. La ratio è chiara: il rischio sistemico dipende dalla capacità del modello, non dal suo modello di licenza.
I codici di buone pratiche come strumento di conformità transitoria (par. 4)
In attesa della pubblicazione delle norme armonizzate europee, i fornitori possono dimostrare la conformità agli obblighi dell'art. 53 attraverso codici di buone pratiche approvati ai sensi dell'art. 56. Questo strumento di soft law è fondamentale nella fase transitoria: consente al settore di sviluppare standard condivisi in modo agile, con il successivo riconoscimento da parte della Commissione.
I fornitori che non aderiscono a un codice approvato devono dimostrare «mezzi alternativi adeguati di conformità», la cui adeguatezza deve essere approvata dalla Commissione. In pratica, questo incentiva fortemente l'adesione ai codici: sviluppare una strategia di conformità alternativa da zero è più costoso e incerto. Le principali associazioni di categoria e i fornitori dei maggiori modelli fondazionali stanno partecipando allo sviluppo di questi codici sotto il coordinamento dell'Ufficio per l'IA.
Riservatezza e poteri delegati (parr. 5-7)
I paragrafi 5 e 6 attribuiscono alla Commissione il potere di adottare atti delegati per specificare le metodologie di misurazione applicabili all'Allegato XI e per aggiornare gli allegati XI e XII alla luce degli sviluppi tecnologici: si tratta di una clausola evolutiva fondamentale, che consente al regolamento di adattarsi senza richiedere modifiche legislative formali. Il paragrafo 7 garantisce che le informazioni e la documentazione ottenute nell'ambito dell'art. 53 siano trattate nel rispetto degli obblighi di riservatezza previsti dall'art. 78.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Cosa si intende per modello di IA per finalità generali (GPAI) nell'AI Act?
Un modello GPAI è un sistema di IA addestrato con una grande quantità di dati usando l'auto-supervisione su larga scala, che è in grado di svolgere una vasta gamma di compiti distinti e che può essere integrato in una varietà di sistemi o applicazioni a valle. I large language models, i modelli di generazione di immagini e i modelli multimodali sono gli esempi più diffusi. La definizione formale è all'art. 3, n. 63 dell'AI Act.
Dal quando si applicano gli obblighi dell'art. 53 per i fornitori di GPAI?
Le regole per i modelli GPAI, incluso l'art. 53, si applicano a decorrere dal 2 agosto 2025, in anticipo rispetto alla piena applicazione degli obblighi per i sistemi ad alto rischio (2 agosto 2026). Fanno invece eccezione i divieti assoluti dell'art. 5, applicabili dal 2 febbraio 2025, e l'articolo 101 che è escluso dall'applicazione anticipata.
I modelli open source sono esclusi dagli obblighi dell'art. 53?
Solo in parte. I modelli GPAI rilasciati con licenza libera e open source (con parametri, architettura e informazioni sull'uso pubblicamente disponibili) sono esclusi dagli obblighi di documentazione tecnica verso l'Ufficio per l'IA (lett. a) e di informazione verso i fornitori a valle (lett. b). Tuttavia, rimangono soggetti agli obblighi di copyright (lett. c) e di sintesi pubblica del dataset (lett. d). Soprattutto, l'eccezione non si applica ai modelli open source con rischio sistemico, che restano soggetti a tutti gli obblighi.
Come si dimostra la conformità agli obblighi dell'art. 53 prima che siano pubblicate le norme armonizzate?
In via transitoria, i fornitori GPAI possono dimostrare la conformità aderendo a codici di buone pratiche approvati dalla Commissione ai sensi dell'art. 56. Chi non aderisce a un codice approvato deve dimostrare 'mezzi alternativi adeguati di conformità' e sottoporli all'approvazione della Commissione. Le norme armonizzate europee, elaborate da CEN/CENELEC, sostituiranno i codici come strumento principale di presunzione di conformità una volta pubblicate.
Un fornitore GPAI è responsabile anche per l'uso che i fornitori a valle fanno del suo modello?
In linea di principio, no: il fornitore GPAI è responsabile degli obblighi dell'art. 53 (documentazione, copyright, sintesi dataset), mentre il fornitore del sistema a valle è responsabile degli obblighi del sistema IA che integra il GPAI (inclusa la classificazione del rischio e gli eventuali requisiti per l'alto rischio). Tuttavia, se il fornitore GPAI non ha fornito informazioni adeguate ai sensi dell'art. 53, par. 1, lett. b), e questo ha impedito al fornitore a valle di adempiere ai propri obblighi, possono sorgere profili di responsabilità condivisa, da valutarsi caso per caso.
Vedi anche