Art. 75 Reg. (UE) 2024/1689 — Assistenza reciproca, vigilanza del mercato e controllo dei sistemi di IA per finalità generali

Commento

La complessità della vigilanza sui sistemi basati su modelli GPAI

L'articolo 75 del Regolamento (UE) 2024/1689 (AI Act) affronta una delle sfide più complesse del sistema di governance introdotto dal Regolamento: la vigilanza sui sistemi di IA che non sono sviluppati ex novo, ma sono costruiti sopra un modello di IA per finalità generali (GPAI, General Purpose AI Model). In questi casi, la catena di responsabilità e la catena di vigilanza si intrecciano in modo non immediato, perché un sistema ad alto rischio può incorporare un modello GPAI sviluppato da un soggetto diverso dal fornitore del sistema, oppure — ed è il caso affrontato dall'art. 75, par. 1 — il modello GPAI e il sistema applicativo possono provenire dallo stesso fornitore.

La disciplina dei modelli GPAI è contenuta nel capo V del Regolamento (artt. 51-56), applicabile dal 2 agosto 2025. I modelli GPAI sono modelli addestrati su grandi quantità di dati con tecniche di auto-supervisione, capaci di svolgere un'ampia gamma di compiti distinti (es. i modelli linguistici di grandi dimensioni). Quando un tale modello viene integrato in un sistema che svolge funzioni ad alto rischio (elencate nell'allegato III), si sovrappongono due regimi: quello del sistema ad alto rischio (art. 6 ss.) e quello del modello GPAI.

Il ruolo dell'Ufficio per l'IA nella vigilanza dei sistemi GPAI integrati

Il paragrafo 1 disciplina il caso in cui il modello GPAI e il sistema di IA siano sviluppati dallo stesso fornitore. In questo scenario, l'Ufficio per l'IA — istituito presso la Commissione europea — ha il potere di monitorare e supervisionare la conformità del sistema agli obblighi del Regolamento, disponendo di tutti i poteri di un'autorità di vigilanza del mercato ai sensi del Regolamento (UE) 2019/1020 (Regolamento sulla vigilanza del mercato). Questa concentrazione di competenze a livello europeo riflette la natura transfrontaliera dei fornitori di modelli GPAI, spesso aziende di grandi dimensioni con operatività globale che renderebbero difficile una vigilanza puramente nazionale.

La ratio di questa scelta è evitare frammentazioni: se il modello GPAI e il sistema applicativo sono dello stesso soggetto, la vigilanza più efficace è quella condotta dall'autorità che già supervisiona il modello (l'Ufficio per l'IA) anche per il sistema derivato. Una vigilanza biforcata — autorità nazionale per il sistema, Ufficio per l'IA per il modello — rischierebbe di produrre incoerenze nelle valutazioni e duplicazioni investigative.

La cooperazione tra autorità nazionali e Ufficio per l'IA

Il paragrafo 2 gestisce il caso distinto in cui un modello GPAI — sviluppato da un soggetto diverso dal fornitore del sistema — è utilizzato in un sistema impiegato direttamente dai deployer per finalità ad alto rischio. Se le autorità di vigilanza del mercato nazionali hanno motivi sufficienti per ritenere che tale sistema non sia conforme al Regolamento, devono:

• Cooperare con l'Ufficio per l'IA per effettuare valutazioni della conformità;
• Informare il Consiglio per l'IA e le altre autorità di vigilanza del mercato.

Questa cooperazione obbligatoria assicura che le valutazioni di conformità sui sistemi basati su modelli GPAI beneficino del know-how tecnico dell'Ufficio per l'IA e non si traducano in approcci frammentati tra diversi Stati membri.

Il meccanismo di assistenza informativa

Il paragrafo 3 introduce un meccanismo pratico di grande rilevanza operativa: quando un'autorità di vigilanza del mercato nazionale non riesce a concludere la propria indagine su un sistema di IA ad alto rischio perché non può accedere a informazioni sul modello GPAI sottostante, può presentare una richiesta motivata all'Ufficio per l'IA. L'Ufficio deve rispondere entro 30 giorni, fornendo tutte le informazioni che ritiene pertinenti per stabilire se il sistema è conforme.

Questo meccanismo è necessario perché l'accesso alla documentazione tecnica dei modelli GPAI non è automaticamente garantito alle autorità di vigilanza del mercato nazionali: i fornitori di modelli GPAI hanno obblighi informativi nei confronti dell'Ufficio per l'IA (art. 53 ss.), non direttamente nei confronti delle autorità nazionali. L'art. 75, par. 3 risolve questo gap creando un canale indiretto di accesso alle informazioni tramite l'Ufficio.

Implicazioni per fornitori e deployer

Per i fornitori di sistemi di IA ad alto rischio basati su modelli GPAI di terzi, l'art. 75 implica che la conformità del sistema non dipende solo dagli adempimenti propri del fornitore, ma anche dalla conformità del modello GPAI sottostante. Il fornitore deve verificare — attraverso la documentazione fornita dal fornitore del modello GPAI ai sensi dell'art. 53 — che il modello soddisfi i requisiti applicabili e che la sua integrazione nel sistema non crei vulnerabilità o non conformità aggiuntive.

Per i deployer di sistemi basati su modelli GPAI, l'art. 75 segnala che la catena di vigilanza è più articolata rispetto ai sistemi tradizionali. Il deployer deve essere consapevole che il sistema che utilizza può essere oggetto di indagini coordinate tra autorità nazionali e Ufficio per l'IA, e che le informazioni condivise in questo contesto sono soggette al regime di riservatezza dell'art. 78.

Applicazione temporale e coordinamento con le regole GPAI

Le regole sui modelli GPAI (capo V del Regolamento) si applicano dal 2 agosto 2025. L'art. 75 diventa pienamente operativo a partire da tale data, momento in cui sia il sistema di vigilanza sui modelli GPAI (gestito dall'Ufficio per l'IA) sia quello sui sistemi di IA ad alto rischio (gestito dalle autorità nazionali) saranno attivi. Le sanzioni per le violazioni del capo V sono previste dall'art. 101 del Regolamento, con massimali differenziati rispetto a quelli dell'art. 99 per i sistemi ad alto rischio.