L'AI Act è entrato in vigore il 1° agosto 2024. Le regole per i modelli "general-purpose AI" (GPAI) — quelli foundation, tipo Claude, GPT, Gemini, Llama — diventeranno applicabili il 2 agosto 2025. Manca poco. Vediamo cosa significa concretamente.
Tutti i GPAI
Documentazione tecnica disponibile alle autorità (training data, evaluation, capacità, limiti), policy di rispetto del copyright sui dati di training, riassunto pubblico dei contenuti usati per il training. Niente di rivoluzionario, ma per chi training-a modelli grandi è lavoro reale.
GPAI con "impatto sistemico"
Modelli sopra 10²⁵ FLOPS di training (≈ frontier come GPT-4, Claude 3, Gemini 1.5). Obblighi addizionali:
- Valutazione del modello con red-teaming standardizzato.
- Tracking e mitigazione del rischio sistemico.
- Cybersecurity adeguata.
- Notifica di incidenti significativi all'AI Office.
Cosa cambia per chi integra
Se sviluppi un'app che usa Claude o GPT, sei un downstream deployer, non un provider. La tua compliance è più semplice — finché non riaddestri o modifichi sostanzialmente il modello. Devi però:
- Trasparenza verso l'utente: deve sapere che parla con un'AI.
- Marcatura dei contenuti generati (deepfake, immagini sintetiche).
- Logging delle interazioni se il sistema rientra nelle categorie ad alto rischio.
Codice di buone pratiche
L'AI Office sta finalizzando il Code of Practice per GPAI: una sorta di compliance "soft" che, se rispettata, vale come presunzione di conformità. È in fase di consultazione: i provider che vogliono fare le cose pulite stanno partecipando.
Cosa fare oggi
Per le PMI italiane che usano AI integrata: iniziare un'analisi del rischio, capire quali sistemi rientrano in cosa, e mettere in piedi processi di trasparenza prima della deadline. Non aspettare maggio 2025.