Un'introduzione alla legge europea sull'IA

Aggiornamento dell'11 luglio 2025: A seguito della pubblicazione del testo finale del Codice di buone pratiche dell'IA per finalità generali, condividiamo una panoramica di come stiamo affrontando l'entrata in vigore delle disposizioni applicabili ai modelli di IA di uso generale il 2 agosto 2025. 

L'anno scorso, abbiamo pubblicato una guida sulla legge europea sull'IA per fornire una visione preliminare di come ci stavamo preparando per l'applicazione di questi nuovi requisiti legali. 

Da allora, siamo stati attivamente coinvolti nell'implementazione del testo partecipando all'elaborazione del Codice di buone pratiche dell'IA per finalità generali, un quadro di riferimento per i fornitori di IA per conformarsi alla legge UE sull'IA. Dopo mesi di sforzi collettivi insieme a esperti, società civile e industria, è stato pubblicato un Codice definitivo. Oggi annunciamo la nostra decisione di firmare il Codice di buone pratiche e di utilizzarlo per dimostrare la conformità ai nostri obblighi ai sensi della legge UE sull'IA.  

Firmando il Codice, stiamo compiendo un passo concreto nel nostro più ampio piano di conformità con la legge UE sull'IA. Riflette il nostro impegno a garantire continuità, affidabilità e fiducia man mano che le normative entrano in vigore, continuando a collaborare con le imprese e i cittadini europei, offrendo loro modelli di intelligenza artificiale sempre più capaci, sicuri e protetti per cogliere i vantaggi della rivoluzione dell'IA.

La sottoscrizione del Codice rafforza molte delle misure di sicurezza e trasparenza leader del settore che abbiamo introdotto negli ultimi anni. Siamo stati una delle prime aziende a pubblicare un protocollo completo di sicurezza e protezione, il Quadro di preparazione (2023), che delinea il nostro approccio all'impiego sicuro dei modelli di IA di frontiera.

In linea con l’impegno aziendale a rivedere e migliorare continuamente i quadri di responsabilità e governance interni, abbiamopubblicato⁠ un Quadro di preparazione aggiornato nell'aprile 2025. 

Mentre continuiamo a sviluppare e distribuire tecnologie sempre più capaci, monitoriamo e mitighiamo attivamente un'ampia gamma di nuovi rischi e problemi di sicurezza del mondo reale per mantenere i nostri modelli affidabili e sicuri. E siamo costantemente impegnati a perfezionare e migliorare questi processi. 

• Da tempo pubblichiamo Schede di sistema dettagliate e documentazione tecnica con le principali release, che illustrano ciò che i nostri modelli possono e non possono fare, i rischi che abbiamo testato e i punti su cui stiamo ancora imparando. 
• Il Safety Hub fornisce l'accesso pubblico ai risultati della valutazione della sicurezza dei nostri modelli.
• La rete di Red Teaming porta esperti esterni a testare i nostri modelli.
• Il Model Spec fornisce una panoramica del modo in cui adattiamo il comportamento del modello per riflettere i valori umani e le norme democratiche.

Nel complesso, questo lavoro è stato determinante per definire gli standard di sicurezza nel settore e per informare lo sviluppo di un Codice di buone pratiche attuabile basato sulle migliori prassi del settore. La costruzione di un'IA sicura e responsabile non è mai finita. Continueremo a migliorare iterativamente l'approccio alla sicurezza per contribuire a garantire che la nostra tecnologia venga utilizzata per favorire tutti in modo responsabile, ovunque si trovino nel mondo.

Lavoreremo a stretto contatto con l'Ufficio europeo per l'IA, con le autorità competenti e con i nostri clienti durante l'attuazione della legge sull'IA nei prossimi mesi e anni, in modo da poter garantire collettivamente i vantaggi dell'IA per la società e l'economia europee. 

Aggiornamento: il 25 settembre 2024, abbiamo sottoscritto i tre impegni fondamentali del Patto UE per l'IA.

1. Adottare una strategia di governance dell'IA per promuovere l'adozione dell'IA nell'organizzazione e lavorare per la futura conformità alla legge sull'IA;
2. effettuare, per quanto possibile, una mappatura dei sistemi di IA forniti o impiegati in aree considerate ad alto rischio ai sensi della legge sull'IA;
3. promuovere la consapevolezza e l'alfabetizzazione in materia di IA del proprio personale e delle altre persone che si occupano di sistemi di IA per loro conto, tenendo conto delle loro conoscenze tecniche, esperienza, istruzione e formazione e del contesto in cui i sistemi di IA devono essere utilizzati, e considerando le persone o i gruppi di persone interessati dall'uso dei sistemi di IA.

Riteniamo che l'obiettivo principale del Patto per l'IA sia l'educazione, l'adozione e la governance dell'IA, poiché sono le priorità più appropriate per garantire che i benefici dell'IA siano ampiamente distribuiti. Inoltre, si allinea con la nostra missione di fornire tecnologie sicure e all'avanguardia che siano vantaggiose per tutti.

La legge UE sull'IA⁠(si apre in una nuova finestra) è un importante quadro normativo progettato per gestire lo sviluppo, la diffusione e l'utilizzo dell'IA in Europa. Si concentra in modo sostanziale sulla sicurezza per promuovere un'adozione affidabile dell'IA in Europa, proteggendo al contempo la salute, la sicurezza e i diritti fondamentali. Introduce inoltre nuovi requisiti basati sui rischi associati ai sistemi di IA e presta particolare attenzione ai casi di rischio elevato e di utilizzo inaccettabile, nonché agli obblighi speciali per i modelli e i sistemi di IA di uso generale (GPAI). 

Sebbene l'iter legislativo sia stato completato e la legge entrerà in vigore nell'agosto 2024, saranno necessari ulteriori orientamenti e leggi di attuazione per definire l'ambito di applicazione della legge, soprattutto per quanto riguarda i modelli GPAI come quello di OpenAI. 

Noi di OpenAI ci impegniamo a rispettare la legge, non solo perché si tratta di un obbligo legale, ma anche perché l'obiettivo della legge si allinea con la nostra missione di sviluppare e distribuire un'IA sicura a beneficio di tutta l'umanità. Siamo orgogliosi di rilasciare modelli che sono all'avanguardia nel settore, sia per le capacità sia per la sicurezza che offrono. Crediamo in un approccio equilibrato e scientifico in cui le misure di sicurezza⁠ sono integrate nel processo di sviluppo fin dall'inizio. I nostri team si occupano di un ampio spettro di attività tecniche che affrontano le sfide della sicurezza dell'IA, tra cui le valutazioni dei modelli nell'ambito del Quadro di preparazione⁠ prima della loro implementazione, il red-teaming⁠ interno ed esterno, il monitoraggio⁠ post-deployment per gli abusi, i programmi Bug Bounty⁠ e Cybersecurity Grant⁠ e il contributo agli standard di autenticità⁠, tra gli altri. 

Lavoreremo a stretto contatto con l'Ufficio europeo per l'IA e con le altre autorità competenti durante l'attuazione della nuova legge nei prossimi mesi. Ci auguriamo che l'esperienza che abbiamo costruito contribuisca a far progredire gli obiettivi della legge per quanto riguarda l'impiego di un'IA sicura e vantaggiosa.  

In questo post, forniamo una panoramica di alcuni argomenti chiave della legge sull’IA, con particolare attenzione ai casi d'uso vietati e ad alto rischio.

La legge sull'IA entrerà in vigore il 1° agosto 2024, 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell'UE. Anche se la maggior parte delle disposizioni della legge non diventerà effettiva prima di 24 mesi dall'entrata in vigore, ci sono diverse scadenze importanti da tenere a mente: 

• I divieti sulle pratiche vietate entreranno in vigore 6 mesi dopo l'entrata in vigore (febbraio 2025). 
• I codici di condotta, che copriranno molti dei dettagli di attuazione necessari per conformarsi alla legge, dovranno essere finalizzati entro 9 mesi dall'entrata in vigore (maggio 2025). 
• La maggior parte degli obblighi in materia di IA per finalità generali diventerà effettiva 12 mesi dopo l'entrata in vigore (agosto 2025). 
• Gli obblighi per la maggior parte dei sistemi di IA ad alto rischio si applicano 24 mesi dopo l'entrata in vigore (agosto 2026). 

I sistemi GPAI preesistenti che non sono stati oggetto di una modifica sostanziale e alcuni sistemi di IA che sono componenti di sistemi IT su larga scala identificati nell'Allegato X della legge sull'IA, avranno un termine di attuazione più lungo di 36 mesi (agosto 2027).

La legge sull'IA si applica principalmente ai “sistemi di IA”, che la legge definisce come “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.  Questa definizione è ampiamente coerente con la definizione di “sistemi di IA” data dall'OCSE nel 2023 e con quella utilizzata nell'Ordine Esecutivo 14110 dell'Amministrazione Biden sullo sviluppo e l'uso sicuro, protetto e affidabile dell'intelligenza artificiale.  

È importante notare che la legge sull'IA distingue tra fornitori e distributori di sistemi di IA. I fornitori sono entità, come OpenAI, che sviluppano un sistema di IA o un modello di IA generico. Sono incluse anche le entità che hanno sviluppato un sistema di IA o un modello di IA di uso generale e lo immettono sul mercato o che mettono in servizio il sistema di IA con il proprio nome o marchio, a pagamento o gratuitamente. 

I distributori sono clienti o partner che utilizzano questi sistemi o modelli nelle proprie applicazioni, ad esempio integrando il GPT‑4o in un caso d'uso specifico. Sebbene la maggior parte degli obblighi previsti dalla legge sull'IA ricada sui fornitori piuttosto che sui distributori, è importante notare che un distributore che integra un modello di IA nel proprio sistema di IA può diventare un fornitore ai sensi della legge, ad esempio utilizzando il proprio marchio su un sistema di IA o modificando il sistema di IA in modi che non erano previsti dal fornitore.

Le organizzazioni al di fuori dell'UE dovranno comunque conformarsi alla legge sull'IA in base a una serie di condizioni che possono essere di ampia portata.  Ad esempio, la legge si applica se: 

• Un fornitore immette un sistema di IA o un modello GPAI sul mercato dell'UE, indipendentemente dal fatto che l'azienda abbia sede nell'UE o in un altro Paese; 
• I distributori di un sistema di IA hanno sede o sono situati all'interno dell'UE; 
• I fornitori e i distributori di sistemi di IA sono stabiliti o situati in un Paese terzo, ma l'output prodotto dal sistema di IA viene utilizzato all'interno dell'UE.

L'ampia portata extraterritoriale della legge sull'IA significa che le aziende non europee dovranno conformarsi alla legge per servire i clienti dell'UE, indipendentemente dal fatto che abbiano o meno sede all'interno dell'UE.

La legge sull’IA si attiene a un quadro di riferimento basato sul rischio, con requisiti specifici per i sistemi di IA ad alto rischio e a rischio inaccettabile. La legge richiede alle aziende di classificare il livello di rischio dei loro sistemi di IA per determinare i corrispondenti obblighi normativi e stabilisce varie categorie o livelli di sistemi di IA che comportano ciascuno obblighi diversi.

Alcune pratiche di IA che si ritiene rappresentino un rischio inaccettabile per i diritti delle persone sono completamente vietate. Queste pratiche includono:   

• Impiego di tecniche subliminali, manipolative o ingannevoli per distorcere il comportamento e compromettere il processo decisionale informato, causando un danno significativo. 
• Sfruttare le vulnerabilità legate all'età, alla disabilità o alle condizioni socio-economiche per distorcere il comportamento, causando danni significativi. 
• Sistemi di categorizzazione biometrica che deducono attributi sensibili come la razza, le opinioni politiche, l'appartenenza a sindacati, le convinzioni religiose o filosofiche, la vita sessuale o l'orientamento sessuale (con eccezioni limitate per l'etichettatura o il filtraggio di insiemi di dati acquisiti legalmente e per l'uso da parte delle forze dell'ordine). 
• Sistemi di punteggio sociale, come i sistemi che valutano o classificano individui o gruppi in base al comportamento sociale o a tratti personali, causando loro un danno. 
• Valutare il rischio che un individuo commetta reati penali basandosi esclusivamente sul profilo o sui tratti della personalità (con limitate eccezioni). 
• Compilazione di database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso.
• Inferire le emozioni nei luoghi di lavoro o nelle istituzioni educative 
• Identificazione biometrica remota in tempo reale in luoghi pubblici per le forze dell'ordine (con alcune eccezioni).

La legge impone obblighi rigorosi ai sistemi che, secondo quanto stabilito, rappresentano una minaccia sostanziale per la salute, la sicurezza o i diritti fondamentali degli individui, classificati come IA ad alto rischio (HRAI). Questi includono: a) sistemi che sono componenti di sicurezza di un prodotto soggetto ad altre leggi dell'UE, e b) casi d'uso specifici, come ad esempio i sistemi destinati a determinare l'accesso o l'ammissione a istituzioni educative, a reclutare o selezionare lavoratori o a monitorarne le prestazioni, a determinare l'idoneità all'assistenza pubblica, l'affidabilità creditizia, a valutare l'idoneità e i prezzi per l'assicurazione sanitaria, tra gli altri.  

I sistemi HRAI devono rispettare rigorosi obblighi normativi, come l'istituzione di un sistema di gestione del rischio per valutare costantemente i rischi e le strategie di mitigazione durante l'intero ciclo di vita di un sistema HRAI, misure complete di governance dei dati per verificare e valutare i rischi di distorsione, la preparazione di una documentazione tecnica dettagliata prima dell'immissione del sistema sul mercato e obblighi di monitoraggio continuo. 

Altri sistemi di IA che non presentano rischi inaccettabili o elevati sono soggetti solo a requisiti limitati, come gli obblighi di trasparenza. Ad esempio, la legge specifica che le persone devono essere informate quando interagiscono con un sistema di intelligenza artificiale come un chatbot e che le immagini, l'audio o i contenuti video manipolati artificialmente devono essere chiaramente etichettati. La maggior parte dei sistemi di intelligenza artificiale presenti sul mercato rientra probabilmente in questa categoria.

Requisiti speciali si applicano ai fornitori di modelli e sistemi di IA per scopi generali, come OpenAI, che saranno tenuti a: 

• Sviluppare una documentazione tecnica dettagliata del modello e fornirla all'Ufficio per l'IA su richiesta.
• Creare la documentazione per i distributori che utilizzano il modello GPAI per sviluppare i propri sistemi di intelligenza artificiale.
• Attuare politiche volte a rispettare la legge sul copyright dell'UE
• Fornire una sintesi dei contenuti utilizzati per addestrare il modello GPAI. 

Inoltre, i fornitori di modelli GPAI con capacità di impatto elevato che si ritiene presentino “rischi sistemici” (ad esempio, modelli addestrati su una grande quantità di calcolo, tecnicamente definita come 10^25 FLOP), saranno tenuti a: 

• Eseguire valutazioni dei modelli per identificare e mitigare i rischi sistemici e valutare e mitigare continuamente i rischi presentati.
• Notificare alla Commissione UE i modelli che soddisfano i criteri di questa categoria.
• Monitorare e segnalare gli incidenti gravi 
• Implementare misure di cybersecurity adeguate per il modello e la sua infrastruttura fisica.

I fornitori di modelli GPAI potranno fare affidamento su un codice di buone pratiche per dimostrare la conformità ai requisiti della legge sull'IA. Questi codici di condotta probabilmente getteranno le basi per i dettagli specifici per l'attuazione di questi obblighi e siamo ben disposti a lavorare con l'Ufficio europeo per l'IA mentre vengono sviluppati nei prossimi 9 mesi. 

OpenAI si impegna a rispettare la legge europea sull'intelligenza artificiale e lavorerà a stretto contatto con il nuovo Ufficio europeo per l'IA durante l'attuazione della legge. Nei prossimi mesi continueremo a preparare la documentazione tecnica e altre indicazioni per i fornitori e gli utilizzatori a valle dei nostri modelli GPAI, promuovendo al contempo la sicurezza dei modelli che forniamo nel mercato europeo e non solo.   

Se la tua organizzazione sta cercando di determinare come conformarsi alla legge sull'IA, dovresti innanzitutto cercare di classificare i sistemi di IA che rientrano nel campo di applicazione. Identifica quali GPAI e altri sistemi di IA utilizzi, determina come sono classificati e considera quali obblighi derivano dai tuoi casi d'uso. È inoltre necessario stabilire se si è un fornitore o un distributore di sistemi di IA nell'ambito di applicazione. Queste questioni possono essere complesse, per cui è necessario consultare un legale in caso di domande.