Quando le regole GPAI dell'EU AI Act diventano davvero esecutive?

Gli obblighi sostanziali per i provider di modelli AI general-purpose sotto il Capitolo V dell'EU AI Act sono entrati in applicazione il 2 agosto 2025. Tuttavia, i poteri di enforcement della Commissione Europea, inclusa l'autorità di richiedere informazioni, condurre valutazioni, ordinare misure correttive e imporre multe sotto l'Articolo 101, diventano esercitabili solo il 2 agosto 2026. I provider di modelli GPAI collocati sul mercato prima del 2 agosto 2025 hanno una compliance runway più lunga e devono essere portati in conformità entro il 2 agosto 2027.

Qual è la soglia di rischio sistemico per i modelli GPAI?

Sotto l'Articolo 51(2) dell'EU AI Act, un modello AI general-purpose è presunto avere capacità di alto impatto, e quindi porre rischio sistemico, quando il compute cumulativo usato per il suo training supera 10^25 operazioni floating-point (FLOP). La presunzione è confutabile: un provider sopra la soglia può presentare argomenti sostanziati sotto l'Articolo 52(2) che il modello non pone di fatto rischio sistemico. La Commissione può anche designare modelli sotto la soglia e può aggiornare la soglia stessa via atto delegato man mano che lo stato dell'arte evolve.

Devo firmare il GPAI Code of Practice?

No. Il Codice di Condotta, pubblicato il 10 luglio 2025, è volontario. Firmarlo concede una presunzione di conformità con i relevanti obblighi dell'Articolo 53 e (per i provider con rischio sistemico) Articolo 55, il che riduce la frizione amministrativa durante le valutazioni dell'AI Office. A metà 2025, 26 organizzazioni avevano firmato, inclusi Anthropic, Google, Microsoft e OpenAI. Meta ha rifiutato di firmare. I non-firmatari devono dimostrare la compliance attraverso mezzi alternativi adeguati e possono aspettarsi uno scrutinio più stretto quando inizia l'enforcement dell'Articolo 101.

Quali sono le multe massime per la non-compliance GPAI?

Sotto l'Articolo 101 dell'EU AI Act, la Commissione Europea può multare i provider di modelli GPAI fino al 3% del loro fatturato annuale globale o 15 milioni di EUR, quale sia il maggiore, per infrazioni intenzionali o negligenti degli obblighi GPAI o per mancanze nel fornire le informazioni richieste. Questo si colloca separatamente dai tier più ampi dell'Articolo 99, che includono fino a 35 milioni di EUR o 7% del fatturato per pratiche AI proibite. PMI e start-up sono limitate al minore tra la percentuale o l'importo assoluto.

← News

ANNOUNCEMENT · 2026-05-07

EU AI Act: i poteri di enforcement GPAI partono ad agosto 2026

Il 2 agosto 2026, l'AI Office della Commissione Europea ottiene pieni poteri di enforcement sui provider di modelli AI general-purpose (GPAI), incluse multe fino al 3% del fatturato globale o 15 milioni di EUR. I modelli pre-2025 hanno fino al 2 agosto 2027 per essere conformi.

Cosa sblocca davvero il milestone del 2 agosto 2026

Gli obblighi GPAI in sé sono entrati in applicazione il **2 agosto 2025**, ma ai provider è stata data una finestra di adeguamento di un anno prima che la Commissione Europea potesse iniziare a esercitare supervisione e enforcement. Quella finestra si chiude il **2 agosto 2026**, quando i poteri di enforcement dell'AI Office sotto il Capitolo V prendono effetto.

*Questo articolo è una guida generale, non consulenza legale. Consulta un legale qualificato UE per le decisioni di compliance.*

Da quella data, l'AI Office può formalmente richiedere documentazione e informazioni, condurre valutazioni del modello, esigere misure di compliance (incluse mitigazione del rischio, restrizione del mercato, richiamo o ritiro) e imporre multe sotto l'**Articolo 101** del Regolamento. Le sanzioni massime per provider GPAI sono **fino al 3% del fatturato annuale globale o 15 milioni di EUR, quale sia il maggiore**, per infrazioni intenzionali o negligenti. Il tier più ristretto dell'Articolo 99 fino a 35 milioni di EUR o 7% del fatturato si applica alle pratiche AI proibite, non agli obblighi GPAI. Il 2 agosto 2026 non è quindi una nuova data di obbligo; è la data in cui gli obblighi esistenti diventano direttamente esecutivi dalla Commissione.

Chi conta come provider GPAI (e la soglia di rischio sistemico)

Un modello AI general-purpose è definito come un modello addestrato su dati ampi, che mostra significativa generalità ed è capace di eseguire competentemente un'ampia gamma di task distinti indipendentemente da come è collocato sul mercato. Il provider è l'entità che sviluppa o fa sviluppare il modello e lo colloca sul mercato UE con il proprio nome o marchio.

Una seconda categoria più ristretta, **modelli GPAI con rischio sistemico**, attiva gli obblighi più pesanti degli Articoli 55 e 56. Sotto l'**Articolo 51**, un modello si presume abbia capacità di alto impatto quando il compute cumulativo usato per il training supera **10^25 operazioni floating-point (FLOP)**. Questa è una presunzione confutabile: sotto l'Articolo 52(2), un provider sopra la soglia può presentare argomenti sostanziati che il modello non presenta di fatto rischio sistemico, e la Commissione può anche designare modelli sotto la soglia in base ad altri criteri. La Commissione può aggiornare la soglia tramite atto delegato.

Crucialmente, le linee guida della Commissione di luglio 2025 hanno chiarito che un **attore downstream diventa il nuovo provider GPAI quando il compute di training usato per la modifica supera un terzo del compute di training originale**. Un fine-tuning minore non ribalta il ruolo; un pretraining continuato su larga scala può.

Doveri di trasparenza, copyright e documentazione downstream

Tutti i provider GPAI, indipendentemente dallo stato di rischio sistemico, devono quattro doveri di base sotto l'**Articolo 53**:

1. **Documentazione tecnica (Annex XI)** che descrive il design del modello, il processo di training, i dataset, il consumo energetico, i task previsti, l'architettura e il licensing, mantenuta e resa disponibile all'AI Office su richiesta. 2. **Documentazione downstream (Annex XII)** che fornisce agli integratori le informazioni necessarie per capire capacità e limitazioni del modello, usi previsti e vincoli di integrazione. 3. **Policy di copyright** coerente con il diritto d'autore UE, inclusi gli opt-out di text-and-data-mining della Direttiva 2019/790. Questo significa rispettare le riserve di diritti machine-readable (come robots.txt) durante il web crawling ed evitare fonti legalmente inaccessibili. 4. **Sommario pubblico dei contenuti di training** seguendo il template obbligatorio dell'AI Office, abbastanza ampio da permettere a titolari di diritti e pubblico di capire quali categorie di contenuto sono state usate.

I modelli completamente free e open-source che non presentano rischio sistemico sono esentati dai doveri 1 e 2 ma **non** dalla policy di copyright o dal sommario pubblico di training.

Deadline di grace per modelli pre-2025

Il Regolamento distingue tra modelli collocati sul mercato dopo il 2 agosto 2025 (che dovevano essere conformi dal giorno uno) e **modelli legacy collocati sul mercato prima del 2 agosto 2025**, che hanno tempo fino al **2 agosto 2027** per allineare documentazione e policy.

Questa grace period è ristretta in due modi. Primo, non ritarda l'enforcement contro modelli post-agosto 2025, che l'AI Office può perseguire immediatamente una volta che i suoi poteri si attivano nell'agosto 2026. Secondo, si applica al *modello* così come esisteva prima del cutover. Una modifica sostanziale post-cutover, in particolare qualsiasi retraining che superi il trigger di compute di un terzo descritto sopra, può tirare un modello legacy nel regime post-2025 e resettare l'orologio.

I provider che si affidano alla finestra legacy dovrebbero aspettarsi comunque un engagement informale dall'AI Office durante il 2025-2027. La Commissione ha segnalato che la collaborazione in buona fede durante il periodo di adeguamento è un fattore in come la discrezione di enforcement verrà esercitata una volta che l'Articolo 101 diventa disponibile.

GPAI Code of Practice: benefici opt-in e rischi

Il **Codice di Condotta General-Purpose AI**, pubblicato il **10 luglio 2025**, è uno strumento volontario redatto da esperti indipendenti attraverso un processo multi-stakeholder. Ha tre capitoli: **Trasparenza** e **Copyright** si applicano a tutti i provider GPAI; **Safety and Security** si applica solo ai provider con rischio sistemico.

Firmare il Codice concede una **presunzione di conformità** con i corrispondenti obblighi dell'AI Act: i firmatari beneficiano di un onere amministrativo più leggero nelle valutazioni e di maggiore certezza legale. A metà 2025, **26 organizzazioni** avevano firmato, inclusi Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI e OpenAI. **Meta ha rifiutato di firmare.** xAI ha firmato solo il capitolo Safety and Security, il che significa che deve dimostrare la conformità a trasparenza e copyright attraverso mezzi alternativi soggetti alla valutazione dell'AI Office.

Il lato rischio è reale. I firmatari accettano impegni strutturati come il Model Documentation Form standardizzato, punti di contatto copyright designati e cadenza di reporting continua. I non-firmatari non portano obblighi extra, ma perdono anche la presunzione di conformità e potrebbero affrontare uno scrutinio più stretto quando la Commissione inizia a esercitare i poteri dell'Articolo 101 nell'agosto 2026.

Checklist pratica di compliance per i deployer downstream

Usare un modello GPAI conforme **non** discarica gli obblighi downstream. I provider di *sistemi* AI costruiti su un modello GPAI portano i propri doveri, in particolare se il sistema risultante è high-risk sotto Annex I o III, o se si applicano gli obblighi di trasparenza dell'Articolo 50 (per esempio, a chatbot, deepfake o sistemi di emotion-recognition).

Una checklist realistica per il deployer:

**Richiedi e archivia il pacchetto informativo Annex XII** da ogni modello GPAI che integri; verifica la posizione di conformità Capitolo V del provider upstream.
**Mappa i casi d'uso previsti contro Annex III** per determinare se il tuo sistema è high-risk; in caso affermativo, prepara prove di assessment di conformità sotto il Capitolo III.
**Incorpora la model card upstream e le limitazioni nella tua documentazione tecnica**, risk assessment e piano di post-market monitoring.
**Implementa avvisi di trasparenza Articolo 50** dove gli output generativi o interattivi sono user-facing.
**Mantieni audit log e controlli di supervisione umana** proporzionati al rischio del sistema; gli obblighi di AI literacy sotto l'Articolo 4 si applicano dal febbraio 2025.

Gli obblighi del deployer sono indipendenti dallo stato del model provider, perciò una model card upstream incompleta o vaga è *un tuo* problema da escalare, non una ragione per ritardare la tua documentazione.

Perché i percorsi self-hosted e BYOK semplificano l'audit trail

I doveri del deployer presuppongono che tu possa rispondere a due domande su richiesta: *quale modello ha prodotto questo output, sotto quale configurazione e sull'infrastruttura di chi*, e *quali dati hanno lasciato il tuo ambiente per arrivarci*. Endpoint di inferenza condivisi multi-tenant rendono entrambe le domande più difficili, perché la superficie di logging, retention e routing è posseduta da una terza parte le cui disclosure possono o meno corrispondere al tuo pacchetto Annex XII.

I pattern di deployment self-hosted di inferenza e bring-your-own-key (BYOK) restringono la superficie in un modo utile. Quando il modello gira in infrastruttura che controlli, possiedi i log di inferenza, la postura di data residency e l'audit trail che una richiesta di enforcement alla fine chiederà. Quando BYOK instrada chiamate direttamente dal tuo tenant al provider upstream sotto i tuoi termini contrattuali, il percorso dei metadati è auditabile end-to-end. Le piattaforme progettate attorno a questo pattern, come **osFoundry**, trattano audit log, controlli di data residency e default privacy-first come parte del layer di orchestrazione piuttosto che come add-on.

Nulla di questo sostituisce gli obblighi sostanziali dell'Articolo 53 sul provider upstream, ma accorcia materialmente la catena di prove che devi assemblare quando i regolatori chiedono.

Frequently asked questions

Quando le regole GPAI dell'EU AI Act diventano davvero esecutive?: Gli obblighi sostanziali per i provider di modelli AI general-purpose sotto il Capitolo V dell'EU AI Act sono entrati in applicazione il 2 agosto 2025. Tuttavia, i poteri di enforcement della Commissione Europea, inclusa l'autorità di richiedere informazioni, condurre valutazioni, ordinare misure correttive e imporre multe sotto l'Articolo 101, diventano esercitabili solo il 2 agosto 2026. I provider di modelli GPAI collocati sul mercato prima del 2 agosto 2025 hanno una compliance runway più lunga e devono essere portati in conformità entro il 2 agosto 2027.
Qual è la soglia di rischio sistemico per i modelli GPAI?: Sotto l'Articolo 51(2) dell'EU AI Act, un modello AI general-purpose è presunto avere capacità di alto impatto, e quindi porre rischio sistemico, quando il compute cumulativo usato per il suo training supera 10^25 operazioni floating-point (FLOP). La presunzione è confutabile: un provider sopra la soglia può presentare argomenti sostanziati sotto l'Articolo 52(2) che il modello non pone di fatto rischio sistemico. La Commissione può anche designare modelli sotto la soglia e può aggiornare la soglia stessa via atto delegato man mano che lo stato dell'arte evolve.
Devo firmare il GPAI Code of Practice?: No. Il Codice di Condotta, pubblicato il 10 luglio 2025, è volontario. Firmarlo concede una presunzione di conformità con i relevanti obblighi dell'Articolo 53 e (per i provider con rischio sistemico) Articolo 55, il che riduce la frizione amministrativa durante le valutazioni dell'AI Office. A metà 2025, 26 organizzazioni avevano firmato, inclusi Anthropic, Google, Microsoft e OpenAI. Meta ha rifiutato di firmare. I non-firmatari devono dimostrare la compliance attraverso mezzi alternativi adeguati e possono aspettarsi uno scrutinio più stretto quando inizia l'enforcement dell'Articolo 101.
Quali sono le multe massime per la non-compliance GPAI?: Sotto l'Articolo 101 dell'EU AI Act, la Commissione Europea può multare i provider di modelli GPAI fino al 3% del loro fatturato annuale globale o 15 milioni di EUR, quale sia il maggiore, per infrazioni intenzionali o negligenti degli obblighi GPAI o per mancanze nel fornire le informazioni richieste. Questo si colloca separatamente dai tier più ampi dell'Articolo 99, che includono fino a 35 milioni di EUR o 7% del fatturato per pratiche AI proibite. PMI e start-up sono limitate al minore tra la percentuale o l'importo assoluto.