Modelli di IA per scopi generali nella legge sull'IA – Domande e risposte

L'intelligenza artificiale ("IA")promette enormi benefici per la nostra economia e la nostra società. I modelli di IA per uso generale svolgono un ruolo importante a tale riguardo, in quanto possono essere utilizzati per una serie di compiti e costituiscono pertanto la base per una serie di sistemi di IA a valle, utilizzati in Europa e nel mondo.

La legge sull'IA mira a garantire che i modelli di IA per uso generale siano sicuri e affidabili. 

Per conseguire tale obiettivo è fondamentale che i fornitori di modelli di IA per uso generale garantiscano una buona comprensione dei loro modelli lungo l'intera catena del valore dell'IA, in modo da consentire ai fornitori a valle sia di integrare tali modelli nei sistemi di IA sia di adempiere ai propri obblighi a norma della legge sull'IA. Più specificamente, e come spiegato più dettagliatamente di seguito, i fornitori di modelli di IA per uso generale devono redigere la documentazione tecnica dei loro modelli da mettere a disposizione dei fornitori a valle e fornire, su richiesta, all'Ufficio per l'IA e alle autorità nazionali competenti, mettere in atto una politica sul diritto d'autore e pubblicare una sintesi dei contenuti della formazione. Inoltre, i fornitori di modelli di IA per uso generale che presentano rischi sistemici, il che può avvenire perché i modelli sono molto capaci o perché hanno un impatto significativo sul mercato interno per altri motivi, devono notificare tali modelli alla Commissione, valutare e attenuare i rischi sistemici derivanti da tali modelli, anche effettuando valutazioni dei modelli, segnalando incidenti gravi e garantendo un'adeguata cibersicurezza di tali modelli.

In tal modo, la legge sull'IA contribuisce a un'innovazione sicura e affidabile nell'Unione europea.  

La legge sull'IA definisce un modello di IA per uso generale come "un modello di IA, anche quando tale modello di IA è addestrato con una grande quantità di dati utilizzando l'autocontrollo su larga scala, che mostra una generalità significativa ed è in grado di eseguire con competenza un'ampia gamma di compiti distinti indipendentemente dal modo in cui il modello è immesso sul mercato e che può essere integrato in una varietà di sistemi o applicazioni a valle" (articolo 3, paragrafo 63, della legge sull'IA).

I considerando della legge sull'IA chiariscono ulteriormente quali modelli dovrebbero essere considerati di notevole generalità e in grado di svolgere un'ampia gamma di compiti distinti.

Secondo il considerando 98 della legge sull'IA, "mentre la generalità di un modello potrebbe, tra l'altro, essere determinata anche da una serie di parametri, si dovrebbe ritenere che i modelli con almeno un miliardo di parametri e addestrati con una grande quantità di dati utilizzando l'autocontrollo su larga scala mostrino una generalità significativa e svolgano con competenza un'ampia gamma di compiti distintivi".

Il considerando 99 della legge sull'IA aggiunge che "i grandi modelli generativi di IA sono un tipico esempio di modello di IA per uso generale, dato che consentono una generazione flessibile di contenuti, ad esempio sotto forma di testo, audio, immagini o video, che possono facilmente ospitare un'ampia gamma di compiti distintivi".

Si noti che una generalità significativa e la capacità di eseguire con competenza una vasta gamma di compiti distintivi possono essere raggiunti da modelli all'interno di una singola modalità, come testo, audio, immagini o video, se la modalità è abbastanza flessibile. Ciò può essere ottenuto anche da modelli che sono stati sviluppati, perfezionati o altrimenti modificati per essere particolarmente bravi in un compito specifico o in una serie di compiti in un dominio specifico.

Le diverse fasi di sviluppo di un modello non costituiscono modelli diversi.

L'Ufficio per l'IA intende fornire ulteriori chiarimenti su ciò che dovrebbe essere considerato un modello di IA generico, sulla base delle conoscenze del Centro comune di ricerca della Commissione, che sta attualmente lavorando a un progetto di ricerca scientifica che affronta questa e altre questioni.

I rischi sistemici sono i rischi di danni su larga scala derivanti dai modelli più avanzati (ossia allo stato dell'arte) in un dato momento o da altri modelli che hanno un impatto equivalente (cfr. l'articolo 3, paragrafo 65, della legge sull'IA). Tali rischi possono manifestarsi, ad esempio, attraverso l'abbassamento delle barriere per lo sviluppo di armi chimiche o biologiche o questioni non intenzionali di controllo sui modelli autonomi di IA per uso generale (considerando 110 della legge sull'IA). I modelli più avanzati in un dato momento possono comportare rischi sistemici, compresi nuovi rischi, in quanto stanno spingendo lo stato dell'arte. Allo stesso tempo, alcuni modelli al di sotto della soglia che riflettono lo stato dell'arte possono anche comportare rischi sistemici, ad esempio attraverso la portata, la scalabilità o l'impalcatura.

Di conseguenza, la legge sull'IA classifica un modello di IA per uso generale come un modello di IA per uso generale con rischio sistemico se è uno dei modelli più avanzati in quel momento o se ha un impatto equivalente (articolo 51, paragrafo 1, della legge sull'IA). Quali modelli sono considerati modelli di IA generici con rischio sistemico possono cambiare nel tempo, riflettendo lo stato dell'arte in evoluzione e il potenziale adattamento della società a modelli sempre più avanzati. Attualmente, i modelli di IA generici con rischio sistemico sono sviluppati da una manciata di aziende, anche se questo potrebbe cambiare in futuro.  

Per catturare i modelli più avanzati, vale a dire i modelli che corrispondono o superano le capacità registrate nei modelli più avanzati finora, la legge sull'IA stabilisce una soglia di 10-25operazioni in virgola mobile (FLOP) utilizzate per l'addestramento del modello (articolo 51, paragrafo 1, lettera a), e paragrafo 2, della legge sull'IA). Si stima attualmente che la formazione di un modello che soddisfi tale soglia costi decine di milioni di euro (EpochAI, 2024). L'Ufficio per l'IA monitora costantemente gli sviluppi tecnologici e industriali e la Commissione può aggiornare la soglia, mediante l'adozione di un atto delegato (articolo 51, paragrafo 3, della legge sull'IA), per garantire che continui a individuare i modelli più avanzati con l'evoluzione dello stato dell'arte. Ad esempio, il valore della soglia stessa potrebbe essere adeguato e/o potrebbero essere introdotte soglie supplementari.  

Per acquisire modelli con un impatto equivalente ai modelli più avanzati, la legge sull'IA conferisce alla Commissione il potere di designare modelli aggiuntivi che presentano un rischio sistemico, sulla base di criteri quali le valutazioni delle capacità del modello, il numero di utenti, la scalabilità o l'accesso agli strumenti (articolo 51, paragrafo 1, lettera b), e allegato XIII della legge sull'IA).

L'Ufficio per l'IA intende fornire ulteriori chiarimenti su come i modelli di IA per uso generale saranno classificati come modelli di IA per uso generale con rischio sistemico, attingendo alle conoscenze del Centro comune di ricerca della Commissione, che sta attualmente lavorando a un progetto di ricerca scientifica che affronta questa e altre questioni.

Le norme della legge sull'IA sui modelli di IA per uso generale si applicano ai fornitori che immettono tali modelli sul mercato dell'Unione, indipendentemente dal fatto che tali fornitori siano stabiliti o situati all'interno dell'Unione o in un paese terzo (articolo 2, paragrafo 1, lettera a), della legge sull'IA).

Per fornitore di un modello di IA per uso generale si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che sviluppa un modello di IA per uso generale o che lo fa sviluppare e immette sul mercato, a titolo oneroso o gratuito (articolo 3, paragrafo 3, della legge sull'IA).

Per immissione sul mercato di un modello si intende la prima messa a disposizione del modello sul mercato dell'Unione (articolo 3, paragrafo 9, della legge sull'IA), ossia la sua fornitura per la distribuzione o l'uso sul mercato dell'Unione per la prima volta nel corso di un'attività commerciale, a titolo oneroso o gratuito (articolo 3, paragrafo 10, della legge sull'IA). Si noti che un modello di IA per uso generale è considerato immesso sul mercato anche se il fornitore di tale modello integra il modello nel proprio sistema di IA messo a disposizione sul mercato o messo in servizio, a meno che il modello non sia a) utilizzato per processi puramente interni che non sono essenziali per fornire un prodotto o un servizio a terzi, b) i diritti delle persone fisiche non siano pregiudicati e c) il modello non sia un modello di IA per uso generale con rischio sistemico (considerando 97 della legge sull'IA).

I fornitori di modelli di IA per uso generale devono documentare le informazioni tecniche sui loro modelli al fine di fornire tali informazioni su richiesta all'Ufficio per l'IA e alle autorità nazionali competenti (articolo 53, paragrafo 1, lettera a), della legge sull'IA) e metterle a disposizione dei fornitori a valle (articolo 53, paragrafo 1, lettera b), della legge sull'IA). Devono inoltre mettere in atto una politica per conformarsi al diritto dell'Unione in materia di diritto d'autore e diritti connessi (articolo 53, paragrafo 1, lettera c), della legge sull'IA) e redigere e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per la formazione del modello (articolo 53, paragrafo 1, lettera d), della legge sull'IA).

Il codice di buone pratiche sull'IA per scopi generali dovrebbe fornire ai firmatari ulteriori dettagli su come garantire il rispetto di tali obblighi nelle sezioni relative alla trasparenza e al diritto d'autore (guidate dal gruppo di lavoro 1).

Ai sensi della legge sull'IA, i fornitori di modelli di IA generici a rischio sistemico hanno obblighi aggiuntivi. Devono valutare e attenuare i rischi sistemici, in particolare effettuando valutazioni dei modelli, tenendo traccia, documentando e segnalando gli incidenti gravi e garantendo un'adeguata protezione della cibersicurezza per il modello e la sua infrastruttura fisica (articolo 55 della legge sull'IA).

Il codice di buone pratiche sull'IA per scopi generali dovrebbe fornire ai firmatari ulteriori dettagli su come garantire il rispetto di tali obblighi nelle sezioni relative alla valutazione del rischio sistemico, all'attenuazione del rischio tecnico e all'attenuazione del rischio di governance (guidate rispettivamente dai gruppi di lavoro 2, 3 e 4).

Gli obblighi per i fornitori di modelli di IA per uso generale si applicano a decorrere dal 2 agosto 2025 (articolo 113, lettera b), della legge sull'IA), con norme speciali per i modelli di IA per uso generale immessi sul mercato prima di tale data (articolo 111, paragrafo 3, della legge sull'IA).

L'articolo 2, paragrafo 8, della legge sull'IA stabilisce che, in generale, la legge sull'IA "non si applica ad alcuna attività di ricerca, prova o sviluppo relativa a sistemi o modelli di IA prima della loro immissione sul mercato o messa in servizio".  

Allo stesso tempo, alcuni obblighi per i fornitori di modelli di IA per uso generale (con e senza rischio sistemico) riguardano esplicitamente o implicitamente la fase di sviluppo dei modelli destinati all'immissione sul mercato, ma prima di tale immissione. È il caso, ad esempio, degli obblighi per i fornitori di notificare alla Commissione che il loro modello di IA per finalità generali soddisfa o soddisferà la soglia di calcolo della formazione (articoli 51 e 52 della legge sull'IA), di documentare le informazioni sulla formazione e sui test (articolo 53 della legge sull'IA) e di valutare e attenuare il rischio sistemico (articolo 55 della legge sull'IA). In particolare, l'articolo 55, paragrafo 1, lettera b), della legge sull'IA stabilisce esplicitamente che "i fornitori di modelli di IA per uso generale a rischio sistemico valutano e attenuano i possibili rischi sistemici a livello dell'Unione, comprese le loro fonti, che possono derivare dallo sviluppo (...) di modelli di IA per uso generale a rischio sistemico".

L’Ufficio per l’IA prevede che le discussioni con i fornitori di modelli di IA generici a rischio sistemico inizino all’inizio della fase di sviluppo. Ciò è coerente con l'obbligo per i fornitori di modelli di IA per uso generale che soddisfano la soglia di calcolo della formazione di cui all'articolo 51, paragrafo 2, della legge sull'IA di "notificare alla Commissione senza indugio e in ogni caso entro due settimane dal soddisfacimento di tale requisito o dal momento in cui è noto che sarà soddisfatto" (articolo 52, paragrafo 1, della legge sull'IA). In effetti, la formazione dei modelli di IA per uso generale richiede una pianificazione considerevole, che include l'assegnazione anticipata delle risorse di calcolo, e i fornitori di modelli di IA per uso generale sono pertanto in grado di sapere se il loro modello raggiungerà la soglia di calcolo della formazione prima che la formazione sia completata (considerando 112 della legge sull'IA).

L'Ufficio per l'IA intende fornire ulteriori chiarimenti su tale questione. 

Sulla base dell'articolo 56 della legge sull'IA, il codice di buone pratiche per l'IA per finalità generali dovrebbe specificare il modo in cui i fornitori di modelli di IA per finalità generali e di modelli di IA per finalità generali a rischio sistemico possono rispettare i loro obblighi a norma della legge sull'IA. L'Ufficio per l'IA sta facilitando l'elaborazione di questo codice di buone pratiche, con quattro gruppi di lavoro presieduti da esperti indipendenti e che coinvolgono quasi 1 000 portatori di interessi, rappresentanti degli Stati membri dell'UE e osservatori europei e internazionali.

Più precisamente, il codice di buone pratiche dovrebbe specificare almeno in che modo i fornitori di modelli di IA per uso generale possono rispettare gli obblighi di cui agli articoli 53 e 55 della legge sull'IA. Ciò significa che ci si può aspettare che il codice di buone pratiche comprenda due parti: uno che si applica ai fornitori di tutti i modelli di IA per uso generale (articolo 53) e uno che si applica solo ai fornitori di modelli di IA per uso generale con rischio sistemico (articolo 55).  

Il codice di buone pratiche non dovrebbe affrontare, tra l'altro, le seguenti questioni: definire concetti e definizioni chiave della legge sull'IA (come il "modello di IA per uso generale"), aggiornare i criteri o le soglie per classificare un modello di IA per uso generale come modello di IA per uso generale con rischio sistemico (articolo 51), delineare le modalità con cui l'Ufficio per l'IA farà rispettare gli obblighi per i fornitori di modelli di IA per uso generale (capo IX, sezione 5) e le questioni relative a sanzioni pecuniarie, sanzioni e responsabilità.

Tali questioni possono invece essere affrontate con altri mezzi (decisioni, atti delegati, atti di esecuzione, ulteriori comunicazioni dell'Ufficio per l'IA, ecc.).

Tuttavia, il codice di buone pratiche può includere impegni da parte dei fornitori di modelli di IA per uso generale che sottoscrivono il codice a documentare e comunicare informazioni aggiuntive, nonché a coinvolgere l'Ufficio per l'IA e terzi durante l'intero ciclo di vita del modello, nella misura in cui ciò sia ritenuto necessario affinché i fornitori rispettino efficacemente i loro obblighi a norma della legge sull'IA.

La legge sull'IA distingue tra sistemi di IA e modelli di IA, imponendo requisiti per determinati sistemi di IA (capitoli II-IV) e obblighi per i fornitori di modelli di IA per uso generale (capo V). Mentre le disposizioni della legge sull'IA relative ai sistemi di IA dipendono dal contesto di utilizzo del sistema, le disposizioni della legge sull'IA relative ai modelli di IA per uso generale si applicano al modello stesso, indipendentemente da quale sia o sarà il suo uso finale. Il codice di buone pratiche dovrebbe riguardare solo gli obblighi previsti dalla legge sull'IA per i fornitori di modelli di IA generici.

Tuttavia, vi sono interazioni tra i due insiemi di norme, in quanto i modelli di IA per uso generale sono in genere integrati nei sistemi di IA e ne fanno parte. Se un fornitore di un modello di IA per uso generale integra tale modello in un sistema di IA, tale fornitore deve rispettare gli obblighi per i fornitori di modelli di IA per uso generale e, se il sistema di IA rientra nell'ambito di applicazione della legge sull'IA, i requisiti per i sistemi di IA. Se un fornitore a valle integra un modello di IA per uso generale in un sistema di IA, il fornitore del modello di IA per uso generale deve cooperare con il fornitore a valle del sistema di IA per garantire che quest'ultimo possa rispettare i suoi obblighi a norma della legge sull'IA se il sistema di IA rientra nell'ambito di applicazione della legge sull'IA (ad esempio fornendo determinate informazioni al fornitore a valle).

Date queste interazioni tra modelli e sistemi e tra gli obblighi e i requisiti per ciascuno di essi, una questione importante alla base del codice di buone pratiche riguarda quali misure sono appropriate a livello di modello e quali invece devono essere adottate a livello di sistema.

Il codice di buone pratiche dovrebbe definire i suoi obiettivi, impegni, misure e, se del caso, indicatori chiave di prestazione (ICP) per misurare il conseguimento dei suoi obiettivi. Gli impegni, le misure e gli indicatori chiave di prestazione relativi agli obblighi applicabili ai fornitori di tutti i modelli di IA per uso generale dovrebbero tenere debitamente conto delle dimensioni del fornitore e consentire modalità semplificate di conformità per le PMI, comprese le start-up, che non dovrebbero rappresentare un costo eccessivo e non scoraggiare l'uso di tali modelli (considerando 109 della legge sull'IA). Inoltre, gli impegni di comunicazione relativi agli obblighi applicabili ai fornitori di modelli di IA per uso generale con rischio sistemico dovrebbero riflettere le differenze in termini di dimensioni e capacità tra i vari fornitori (articolo 56, paragrafo 5, della legge sull'IA), garantendo nel contempo che siano proporzionati ai rischi (articolo 56, paragrafo 2, lettera d), della legge sull'IA).

Dopo la pubblicazione della terza bozza del codice di buone pratiche, si prevede che ci sarà un altro giro di redazione nei prossimi mesi. Tredici presidenti e vicepresidenti, provenienti da contesti diversi in informatica, governance dell'IA e diritto, sono responsabili della sintesi delle osservazioni provenienti da una consultazione multipartecipativa e dalle discussioni con la plenaria del codice di buone pratiche composta da circa 1000 portatori di interessi. Questo processo iterativo porterà a un codice di buone pratiche definitivo che dovrebbe riflettere le varie comunicazioni, garantendo nel contempo un'adeguata riflessione su come conformarsi alla legge sull'IA.

In base all'articolo 56, paragrafo 9, "i codici di buone pratiche sono pronti al più tardi entro il 2 maggio 2025" al fine di concedere ai fornitori tempo sufficiente prima che le norme GPAI diventino applicabili il 2 agosto 2025.

Una volta finalizzato il codice "l'Ufficio per l'IA e il comitato valutano se i codici di buone pratiche coprono gli obblighi di cui agli articoli 53 e 55 (...). Essi pubblicano la loro valutazione dell'adeguatezza dei codici di buone pratiche. La Commissione può, mediante un atto di esecuzione, approvare un codice di buone pratiche e conferirgli una validità generale all'interno dell'Unione." (articolo 56, paragrafo 6, della legge sull'IA).  

Se approvato mediante un atto di esecuzione, il codice di buone pratiche ottiene validità generale, il che significa che l'adesione al codice di buone pratiche diventa un mezzo per dimostrare la conformità alla legge sull'IA, pur non fornendo una presunzione di conformità alla legge sull'IA. I fornitori possono inoltre dimostrare la conformità alla legge sull'IA in altri modi. In tal caso, i fornitori dovrebbero adottare misure per garantire il rispetto dei loro obblighi derivanti dalla legge sull'IA che siano adeguate, efficaci e proporzionate e che possano includere la comunicazione all'Ufficio per l'IA.

Sulla base della legge sull'IA, ulteriori effetti giuridici del codice di buone pratiche sono che l'Ufficio per l'IA può tenere conto dell'adesione di un fornitore al codice di buone pratiche nel monitoraggio della sua effettiva attuazione e conformità alla legge sull'IA (articolo 89, paragrafo 1, della legge sull'IA) e può tenere favorevolmente conto degli impegni assunti nel codice di buone pratiche nel fissare l'importo delle sanzioni pecuniarie in funzione delle circostanze specifiche (articolo 101, paragrafo 1, della legge sull'IA).

Infine, "Se entro il 2 agosto 2025 non è possibile finalizzare un codice di buone pratiche o se l'Ufficio per l'IA lo ritiene inadeguato a seguito della valutazione di cui al paragrafo 6 del presente articolo, la Commissione può stabilire, mediante atti di esecuzione, norme comuni per l'attuazione degli obblighi di cui agli articoli 53 e 55, comprese le questioni di cui al paragrafo 2 del presente articolo" (articolo 56, paragrafo 9, della legge sull'IA).

Sulla base dell'articolo 56, paragrafo 8, della legge sull'IA, "l'Ufficio per l'IA incoraggia e facilita, se del caso, anche il riesame e l'adeguamento dei codici di buone pratiche, in particolare alla luce delle norme emergenti". La terza bozza del codice di buone pratiche comprende un meccanismo suggerito per il suo riesame e aggiornamento.

L'Ufficio per l'IA supervisionerà e farà rispettare gli obblighi stabiliti nella legge sull'IA per i fornitori di modelli di IA per finalità generali (articolo 88 della legge sull'IA) e, in via eccezionale, gli obblighi per i fornitori di sistemi di IA basati su modelli di IA per finalità generali se il fornitore del modello e il sistema sono gli stessi (articolo 75, paragrafo 1, della legge sull'IA). L'Ufficio per l'IA sosterrà le pertinenti autorità di vigilanza del mercato degli Stati membri nella loro applicazione dei requisiti per i sistemi di IA (articolo 75, paragrafi 2 e 3, della legge sull'IA), tra gli altri compiti. L'applicazione da parte dell'Ufficio per l'IA è sostenuta dai poteri conferitigli dalla legge sull'IA, vale a dire i poteri di richiedere informazioni (articolo 91 della legge sull'IA), effettuare valutazioni dei modelli di IA per finalità generali (articolo 92 della legge sull'IA), richiedere misure ai fornitori, compresa l'attuazione di attenuazioni dei rischi, e richiamare il modello dal mercato (articolo 93 della legge sull'IA) e imporre sanzioni pecuniarie fino al 3 % del fatturato annuo globale o 15 milioni di EUR, se superiore (articolo 101 della legge sull'IA).