Vai al contenuto

CAPO V — Modelli IA per finalità generali

SEZIONE 1

Articolo 51

  1. Un modello di IA per finalità generali è classificato come modello di IA per finalità generali con rischio sistemico se soddisfa una delle condizioni seguenti:

    a) presenta capacità di impatto elevato valutate sulla base di strumenti tecnici e metodologie adeguati, compresi indicatori e parametri di riferimento;

    b) sulla base di una decisione della Commissione, ex officio o a seguito di una segnalazione qualificata del gruppo di esperti scientifici, presenta capacità o un impatto equivalenti a quelli di cui alla lettera a), tenendo conto dei criteri di cui all'allegato XIII.

  2. Si presume che un modello di IA per finalità generali abbia capacità di impatto elevato a norma del paragrafo 1, lettera a), quando la quantità cumulativa di calcolo utilizzata per il suo addestramento misurata in operazioni in virgola mobile è superiore a 1025.

  3. La Commissione adotta atti delegati a norma dell'articolo 97 per modificare le soglie di cui ai paragrafi 1 e 2 del presente articolo, nonché per integrare parametri di riferimento e indicatori alla luce degli sviluppi tecnologici in evoluzione, quali miglioramenti algoritmici o una maggiore efficienza dell'hardware, ove necessario, affinché tali soglie riflettano lo stato dell'arte.

Articolo 52

  1. Se un modello di IA per finalità generali soddisfa la condizione di cui all’articolo 51, paragrafo 1, lettera a), il fornitore pertinente informa la Commissione senza ritardo e in ogni caso entro due settimane dal soddisfacimento di tale requisito o dal momento in cui viene a conoscenza che tale requisito sarà soddisfatto. Tale notifica comprende le informazioni necessarie a dimostrare che il requisito in questione è stato soddisfatto. Se la Commissione viene a conoscenza di un modello di IA per finalità generali che presenta rischi sistemici di cui non è stata informata, può decidere di designarlo come modello con rischio sistemico.

  2. Il fornitore di un modello di IA per finalità generali che soddisfa la condizione di cui all’articolo 51, paragrafo 1, lettera a), può presentare, unitamente alla sua notifica, argomentazioni sufficientemente fondate per dimostrare che, in via eccezionale, sebbene soddisfi tale requisito, il modello di IA per finalità generali non presenta, a causa delle sue caratteristiche specifiche, rischi sistemici e non dovrebbe essere pertanto classificato come modello di IA per finalità generali con rischio sistemico.

  3. Se la Commissione conclude che le argomentazioni presentate a norma del paragrafo 2 non sono sufficientemente fondate e il fornitore in questione non è stato in grado di dimostrare che il modello di IA per finalità generali non presenta, per le sue caratteristiche specifiche, rischi sistemici, essa respinge tali argomentazioni e il modello di IA per finalità generali è considerato un modello di IA per finalità generali con rischio sistemico.

  4. La Commissione può designare un modello di IA per finalità generali come modello che presenta rischi sistemici, ex officio o a seguito di una segnalazione qualificata del gruppo di esperti scientifici a norma dell’articolo 90, paragrafo 1, lettera a), sulla base dei criteri di cui all’allegato XIII.

    Alla Commissione è conferito il potere di adottare atti delegati a norma dell’articolo 97 per modificare l’allegato XIII specificando e aggiornando i criteri di cui a tale allegato.

  5. Su richiesta motivata di un fornitore il cui modello è stato designato come modello di IA per finalità generali con rischio sistemico a norma del paragrafo 4, la Commissione, tenendo conto della richiesta, può decidere di valutare nuovamente se si possa ancora ritenere che il modello di IA per finalità generali presenti rischi sistemici sulla base dei criteri di cui all'allegato XIII. Tale richiesta contiene motivi oggettivi, dettagliati e nuovi emersi dopo la decisione di designazione. I fornitori possono chiedere una nuova valutazione non prima di sei mesi dopo la decisione di designazione. Se la Commissione, a seguito della nuova valutazione, decide di mantenere la designazione come modello di IA per finalità generali con rischio sistemico, i fornitori possono chiedere una nuova valutazione non prima di sei mesi dopo tale decisione.

  6. La Commissione garantisce che sia pubblicato un elenco di modelli di IA per finalità generali con rischio sistemico e lo mantiene aggiornato, fatta salva la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali conformemente al diritto dell'Unione e nazionale.

SEZIONE 2

Articolo 53

  1. I fornitori di modelli di IA per finalità generali:

    a) redigono e mantengono aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e prova e i risultati della sua valutazione, che contiene almeno le informazioni di cui all'allegato XI affinché possa essere trasmessa, su richiesta, all'ufficio per l'IA e alle autorità nazionali competenti;

    b) elaborano, mantengono aggiornate e mettono a disposizione informazioni e documentazione per i fornitori di sistemi di IA che intendono integrare il modello di IA per finalità generali nei loro sistemi di IA. Fatta salva la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali conformemente al diritto dell'Unione e nazionale, le informazioni e la documentazione:

    i) consentono ai fornitori di sistemi di IA di avere una buona comprensione delle capacità e dei limiti del modello di IA per finalità generali e di adempiere ai loro obblighi a norma del presente regolamento; nonché

    ii) contengono almeno gli elementi di cui all'allegato XII;

    c) attuano una politica volta ad adempiere al diritto dell'Unione in materia di diritto d'autore e diritti ad esso collegati e, in particolare, a individuare e rispettare, anche attraverso tecnologie all'avanguardia, una riserva di diritti espressa a norma dell'articolo 4, paragrafo 3, della direttiva (UE) 2019/790;

    d) redigono e mettono a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per l'addestramento del modello di IA per finalità generali, secondo un modello fornito dall'ufficio per l'IA.

  2. Gli obblighi di cui al paragrafo 1, lettere a) e b), non si applicano ai fornitori di modelli di IA rilasciati con licenza libera e open source che consentono l'accesso, l'uso, la modifica e la distribuzione del modello e i cui parametri, compresi i pesi, le informazioni sull'architettura del modello e le informazioni sull'uso del modello, sono resi pubblici. Tale eccezione non si applica ai modelli di IA per finalità generali con rischi sistemici.

  3. I fornitori di modelli di IA per finalità generali collaborano, secondo necessità, con la Commissione e le autorità nazionali competenti nell'esercizio delle loro competenze e dei loro poteri a norma del presente regolamento.

  4. I fornitori di modelli di IA per finalità generali possono basarsi su codici di buone pratiche ai sensi dell'articolo 56 per dimostrare la conformità agli obblighi di cui al paragrafo 1 del presente articolo, finché non è pubblicata una norma armonizzata. La conformità alle norme armonizzate europee garantisce ai fornitori la presunzione di conformità nella misura in cui tali norme contemplano tali obblighi. I fornitori di modelli di IA per finalità generali che non aderiscono a un codice di buone pratiche approvato dimostrano mezzi alternativi adeguati di conformità ai fini di approvazione da parte della Commissione.

  5. Allo scopo di agevolare la conformità all'allegato XI, in particolare al punto 2, lettere d) ed e), alla Commissione è conferito il potere di adottare atti delegati a norma dell'articolo 97 per specificare le metodologie di misurazione e di calcolo al fine di consentire che la documentazione sia comparabile e verificabile.

  6. Alla Commissione è conferito il potere di adottare atti delegati a norma dell'articolo 97, paragrafo 2, per modificare gli allegati XI e XII alla luce degli sviluppi tecnologici in evoluzione.

  7. Le informazioni o la documentazione ottenute a norma del presente articolo, compresi i segreti commerciali, sono trattate in conformità degli obblighi di riservatezza di cui all'articolo 78.

Articolo 54

  1. Prima di immettere sul mercato dell'Unione un modello di IA per finalità generali, i fornitori stabiliti in paesi terzi nominano, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

  2. Il fornitore consente al suo rappresentante autorizzato di eseguire i compiti specificati nel mandato ricevuto dal fornitore.

  3. Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fornitore. Fornisce una copia del mandato all'ufficio per l'IA, su richiesta, in una delle lingue ufficiali delle istituzioni dell'Unione. Ai fini del presente regolamento, il mandato consente al rappresentante autorizzato di eseguire i compiti seguenti:

    a) verificare che la documentazione tecnica di cui all'allegato XI sia stata redatta e che tutti gli obblighi di cui all'articolo 53 e, se del caso, all'articolo 55 siano stati adempiuti dal fornitore;

    b) tenere a disposizione dell'ufficio per l'IA e delle autorità nazionali competenti una copia della documentazione tecnica di cui all'allegato XI per un periodo di 10 anni dalla data in cui il modello di IA per finalità generali è stato immesso sul mercato e i dati di contatto del fornitore che ha nominato il rappresentante autorizzato;

    c) fornire all'ufficio per l'IA, su richiesta motivata, tutte le informazioni e la documentazione, comprese quelle di cui alla lettera b), necessarie per dimostrare la conformità agli obblighi di cui al presente capo;

    d) cooperare con l'ufficio per l'IA e le autorità competenti, su richiesta motivata, in qualsiasi azione intrapresa da queste ultime in relazione al modello di IA per finalità generali, anche quando il modello è integrato nei sistemi di IA immessi sul mercato o messi in servizio nell'Unione.

  4. Il mandato consente al rappresentante autorizzato di essere interlocutore, in aggiunta o in sostituzione del fornitore, nei confronti dell'ufficio per l'IA o delle autorità competenti per tutte le questioni relative al rispetto del presente regolamento.

  5. Il rappresentante autorizzato pone fine al mandato se ritiene o ha motivi di ritenere che il fornitore agisca in contrasto con i propri obblighi a norma del presente regolamento. In tal caso, comunica immediatamente anche all'ufficio per l'IA la cessazione del mandato e i relativi motivi.

  6. L’obbligo di cui al presente articolo non si applica ai fornitori di modelli di IA per finalità generali rilasciati con licenza libera e open source che consentono l’accesso, l’uso, la modifica e la distribuzione del modello e i cui parametri, compresi i pesi, le informazioni sull’architettura del modello e le informazioni sull’uso del modello, sono resi pubblici, tranne nel caso in cui i modelli di IA per finalità generali presentino rischi sistemici.

SEZIONE 3

Articolo 55

  1. In aggiunta agli obblighi di cui agli articoli 53 e 54, i fornitori di modelli di IA per finalità generali con rischio sistemico:

    a) effettuano una valutazione dei modelli in conformità di protocolli e strumenti standardizzati che rispecchino lo stato dell’arte, anche svolgendo e documentando il test contraddittorio (adversarial testing) del modello al fine di individuare e attenuare i rischi sistemici;

    b) valutano e attenuano i possibili rischi sistemici a livello dell’Unione, comprese le loro fonti, che possono derivare dallo sviluppo, dall’immissione sul mercato o dall’uso di modelli di IA per finalità generali con rischio sistemico;

    c) tengono traccia, documentano e riferiscono senza indebito ritardo all’ufficio per l’IA e, se del caso, alle autorità nazionali competenti, le informazioni pertinenti su incidenti gravi ed eventuali misure correttive per porvi rimedio;

    d) garantiscono un livello adeguato di protezione della cibersicurezza per quanto riguarda il modello di IA per finalità generali con rischio sistemico e l’infrastruttura fisica del modello.

  2. I fornitori di modelli di IA per finalità generali con rischio sistemico possono basarsi su codici di buone pratiche ai sensi dell’articolo 56 per dimostrare la conformità agli obblighi di cui al paragrafo 1 del presente articolo, fino alla pubblicazione di una norma armonizzata. La conformità alle norme armonizzate europee garantisce ai fornitori la presunzione di conformità nella misura in cui tali norme contemplano tali obblighi. I fornitori di modelli di IA per finalità generali con rischi sistemici che non aderiscono a un codice di buone pratiche approvato o che non si conformano alle norme armonizzate europee devono dimostrare mezzi alternativi adeguati di conformità ai fini della valutazione da parte della Commissione.

  3. Le informazioni o la documentazione ottenute a norma del presente articolo, compresi i segreti commerciali, sono trattate in conformità degli obblighi di riservatezza di cui all'articolo 78.

SEZIONE 4

Articolo 56

  1. L'ufficio per l'IA incoraggia e agevola l'elaborazione di codici di buone pratiche a livello dell'Unione al fine di contribuire alla corretta applicazione del presente regolamento, tenendo conto degli approcci internazionali.

  2. L'ufficio per l'IA e il comitato mirano a garantire che i codici di buone pratiche contemplino almeno gli obblighi di cui agli articoli 53 e 55, compreso quanto segue:

    a) i mezzi per garantire che le informazioni di cui all'articolo 53, paragrafo 1, lettere a) e b), siano mantenute aggiornate alla luce degli sviluppi tecnologici e di mercato;

    b) un adeguato livello di dettaglio nella sintesi dei contenuti utilizzati per l'addestramento;

    c) l'individuazione del tipo e della natura dei rischi sistemici a livello dell'Unione, comprese le rispettive fonti, se del caso;

    d) le misure, le procedure e le modalità per la valutazione e la gestione dei rischi sistemici a livello dell'Unione, compresa la relativa documentazione, che devono essere proporzionate ai rischi e tenere conto della loro gravità e probabilità e delle sfide specifiche nell'affrontare tali rischi alla luce dei modi possibili in cui tali rischi possono emergere e concretizzarsi lungo la catena del valore dell'IA.

  3. L'ufficio per l'IA può invitare tutti i fornitori di modelli di IA per finalità generali, nonché le pertinenti autorità nazionali competenti, a partecipare all'elaborazione dei codici di buone pratiche. Le organizzazioni della società civile, l'industria, il mondo accademico e altri pertinenti portatori di interessi, quali i fornitori a valle e gli esperti indipendenti, possono sostenere il processo.

  4. L'ufficio per l'IA e il comitato mirano a garantire che i codici di buone pratiche definiscano chiaramente i loro obiettivi specifici e contengano impegni o misure, compresi, se del caso, indicatori chiave di prestazione, volti ad assicurare il conseguimento di tali obiettivi e che tengano debitamente conto delle esigenze e degli interessi di tutte le parti interessate, anche delle persone interessate, a livello dell'Unione.

  5. L'ufficio per l'IA mira a garantire che i partecipanti all'elaborazione dei codici di buone pratiche riferiscano periodicamente all'ufficio per l'IA in merito all'attuazione degli impegni, alle misure adottate e ai loro esiti, anche rispetto agli indicatori chiave di prestazione, se del caso. Gli indicatori chiave di prestazione e gli impegni di comunicazione riflettono le differenze in termini di dimensioni e capacità tra i vari partecipanti.

  6. L'ufficio per l'IA e il comitato monitorano e valutano periodicamente il conseguimento degli obiettivi dei codici di buone pratiche da parte dei partecipanti e il loro contributo alla corretta applicazione del presente regolamento. L'ufficio per l'IA e il comitato valutano se i codici di buone pratiche contemplano gli obblighi di cui agli articoli 53 e 55, 4e monitorano e valutano periodicamente il conseguimento dei loro obiettivi. Essi pubblicano la loro valutazione riguardante l'adeguatezza dei codici di buone pratiche.

    La Commissione può approvare, mediante atto di esecuzione, un codice di buone pratiche e conferire ad esso una validità generale all'interno dell'Unione. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

  7. L'ufficio per l'IA può invitare tutti i fornitori di modelli di IA per finalità generali ad aderire ai codici di buone pratiche. Per i fornitori di modelli di IA per finalità generali che non presentano rischi sistemici, tale adesione può essere limitata agli obblighi di cui all'articolo 53, a meno che essi dichiarino esplicitamente il loro interesse ad aderire al codice nella sua interezza.

  8. L'ufficio per l'IA incoraggia e agevola, se del caso, anche il riesame e l'adeguamento dei codici di buone pratiche, in particolare alla luce di norme emergenti. L'ufficio per l'IA fornisce assistenza per quanto riguarda la valutazione delle norme disponibili.

  9. I codici di buone pratiche sono pronti al più tardi entro il 2 maggio 2025. L'ufficio per l'IA adotta le misure necessarie, compreso l'invito ai fornitori di cui al paragrafo 7.

    Qualora entro il 2 agosto 2025, un codice di buone pratiche non possa essere portato a termine, o qualora l'ufficio per l'IA lo ritenga non adeguato a seguito della valutazione di cui al paragrafo 6 del presente articolo, la Commissione può prevedere, mediante atti di esecuzione, norme comuni per l'attuazione degli obblighi di cui agli articoli 53 e 55, comprese le questioni di cui al paragrafo 2 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.