Vai al contenuto

GPAI Code of Practice

Il General-Purpose AI Code of Practice è uno strumento volontario predisposto sotto la facilitazione dell'AI Office della Commissione europea ai sensi dell'articolo 56 del Regolamento (UE) 2024/1689 (AI Act), e finalizzato ad attuare nella prassi gli obblighi degli articoli 53 e 55 AI Act in capo ai provider di modelli di IA per finalità generali.

L'adesione al Code costituisce per i provider GPAI un "adequate voluntary tool to demonstrate compliance" con l'AI Act — secondo la formula testuale adottata dalla Commissione e dagli Stati membri il 1° agosto 2025. Non si tratta di presunzione di conformità in senso tecnico — quest'ultima è riservata, ai sensi dell'art. 40 AI Act, agli standard armonizzati europei la cui adozione è ancora in corso (mandato CEN-CENELEC).

Identificativi

Campo Valore
Denominazione completa General-Purpose AI Code of Practice
Soggetto facilitatore Commissione europea — AI Office
Base giuridica Art. 56 Regolamento (UE) 2024/1689 (AI Act)
Versione Versione finale del 10 luglio 2025
Conferma di adeguatezza 1° agosto 2025, Commissione + AI Board + Stati membri
Lingue ufficiali Tutte le lingue ufficiali UE (24 lingue)
Adesione Volontaria — i provider non firmatari devono dimostrare conformità mediante alternative adequate means
Procedura di firma Signatory Form da inviare a EU-AIOFFICE-CODE-SIGNATURES@ec.europa.eu
Coordinamento Signatory Taskforce, presieduta dall'AI Office, con Vademecum operativo

Struttura

Il Code si articola in tre capitoli rivolti a destinatari diversi:

Capitolo Destinatari Disposizione AI Act attuata
Transparency Tutti i provider di modelli GPAI Art. 53(1), lett. a) e b) + Allegato XI + Allegato XII
Copyright Tutti i provider di modelli GPAI Art. 53(1), lett. c)
Safety and Security Provider di GPAI con rischio sistemico Art. 55

Il Code è completato da:

  • Guidelines della Commissione sullo scope degli obblighi GPAI (18 luglio 2025), che chiariscono l'interpretazione della Commissione su nozioni-chiave (GPAI, provider, placing on the market, modifiche significative, esenzione open-source);
  • Template ufficiale per la pubblicazione del summary about the content used for training ex art. 53(1), lett. d) AI Act (24 luglio 2025) — obbligo direttamente vincolante, distinto dalle misure del Code;
  • Q&A ufficiali ("GPAI Q&A" e "Code of Practice Q&A") pubblicati dall'AI Office;
  • Piattaforma EU SEND, canale ufficiale per la trasmissione di documenti all'AI Office (in particolare Safety and Security Framework e Model Reports per i provider di GPAI con rischio sistemico).

Ambito di applicazione

Soggetti destinatari

Il Code è rivolto ai provider di modelli GPAI ai sensi dell'art. 3, par. 63 AI Act. Le Guidelines della Commissione del 18 luglio 2025 individuano un criterio operativo indicativo:

Un modello è considerato GPAI se la potenza di calcolo utilizzata per l'addestramento (training compute) supera 10²³ FLOP ed è in grado di generare linguaggio (testo o audio), immagini a partire da testo, o video a partire da testo.

I provider di GPAI con rischio sistemico sono destinatari aggiuntivi del Capitolo Safety and Security. Ai sensi dell'art. 51 AI Act, un modello è presunto presentare rischi sistemici se la potenza di calcolo di addestramento supera 10²⁵ FLOP. Tali provider hanno l'obbligo aggiuntivo di notifica alla Commissione entro due settimane dal raggiungimento (o dal momento in cui è previsto il raggiungimento) di tale soglia, ai sensi dell'art. 52(1) AI Act.

Esenzione per modelli open-source

Ai sensi dell'art. 53(2) AI Act, gli obblighi di documentazione di cui all'art. 53(1), lett. a) e b), non si applicano ai provider che rilasciano i modelli con licenza free e open-source con parametri (compresi i pesi), architettura e informazioni d'uso pubblicamente accessibili. L'esenzione non si applica ai GPAI con rischio sistemico, che restano integralmente soggetti agli obblighi dell'art. 55 AI Act.

Scope materiale

Il Code attua nello specifico:

  • gli obblighi di trasparenza e documentazione (art. 53, par. 1, lett. a-b);
  • gli obblighi in materia di diritto d'autore (art. 53, par. 1, lett. c);
  • gli obblighi specifici per provider di GPAI con rischio sistemico (art. 55).

Il Code non sostituisce il Regolamento, non sostituisce gli standard armonizzati quando saranno pubblicati, e non incide sugli obblighi derivanti da altri atti UE — in particolare GDPR, Data Act, Direttiva (UE) 2019/790 sul diritto d'autore nel mercato unico digitale.

Status applicativo e timeline

Data Evento
1° agosto 2024 Entrata in vigore AI Act
10 luglio 2025 Pubblicazione versione finale del Code dall'AI Office
18 luglio 2025 Pubblicazione delle Commission Guidelines sullo scope GPAI
24 luglio 2025 Pubblicazione del Template ufficiale per il summary dei training data
1° agosto 2025 Conferma di adeguatezza del Code da parte di Commissione, AI Board e Stati membri
2 agosto 2025 Entrata in applicazione obblighi GPAI (artt. 53 e 55 AI Act)
2 agosto 2026 Entrata in applicazione dei poteri di enforcement della Commissione (incluse le sanzioni)
2 agosto 2027 Termine di compliance per i modelli GPAI già presenti sul mercato prima del 2 agosto 2025

Conseguenze giuridiche dell'adesione e della non-adesione

Per i firmatari:

  • l'adesione costituisce un mezzo di dimostrazione della conformità agli artt. 53 e 55 AI Act;
  • riduzione dell'onere amministrativo e maggiore certezza giuridica;
  • l'AI Office concentra l'attività di vigilanza sul monitoraggio dell'aderenza al Code;
  • l'adesione può essere considerata come fattore mitigante ai fini della determinazione delle sanzioni amministrative pecuniarie ex art. 101 AI Act.

Per i non firmatari:

  • obbligo di dimostrare la conformità mediante alternative adequate means;
  • soggezione a un numero maggiore di richieste di informazioni e di richieste di accesso da parte dell'AI Office, comprese richieste di gap analysis comparativa con le misure del Code;
  • enforcement non agevolato dalla cooperazione strutturata con l'AI Office.

Posizione formale

Il Code è stato confermato come strumento adeguato dalla Commissione, dall'AI Board e dagli Stati membri il 1° agosto 2025. Il consolidamento mediante atto di esecuzione formale ai sensi dell'art. 56(6) AI Act, che potrebbe attribuire al Code una validità generale all'interno dell'Unione, è elemento ancora in corso di definizione nella prassi attuativa.

Cross-reference con il sistema normativo

Con l'AI Act

Richiamo Disposizione AI Act Oggetto
Base giuridica del Code Art. 56 Predisposizione del Code da parte dell'AI Office; possibile approvazione mediante atto di esecuzione
Considerando applicativo Considerando 117 Funzione del Code come strumento centrale di conformità in attesa degli standard armonizzati
Definizione di GPAI provider Art. 3, par. 3 e par. 63 Soggetti destinatari del Code
Obblighi di trasparenza Art. 53(1), lett. a-b + Allegati XI e XII Capitolo Transparency del Code
Obblighi copyright Art. 53(1), lett. c) Capitolo Copyright del Code
Obbligo di summary training data Art. 53(1), lett. d) Obbligo direttamente vincolante, attuato dal Template della Commissione (non dal Code)
Esenzione open-source Art. 53(2) Esclusione degli obblighi di documentazione per modelli open-source non sistemici
Soglia rischio sistemico Art. 51 Criterio di attivazione del Capitolo Safety and Security
Obbligo di notifica modelli sistemici Art. 52(1) Notifica alla Commissione entro due settimane dal raggiungimento della soglia
Obblighi rischio sistemico Art. 55 Capitolo Safety and Security del Code
Standard armonizzati Art. 40 Strumento che, una volta pubblicato, darà presunzione di conformità
Sanzioni amministrative Art. 101 L'adesione al Code può rilevare come fattore mitigante

Con il GDPR

Il Code non sostituisce gli obblighi GDPR. Quando i provider GPAI trattano dati personali nelle fasi di training, fine-tuning, deployment o inferenza, il Regolamento (UE) 2016/679 si applica integralmente (cfr. scheda GDPR, sezione "Cross-reference con l'AI Act"). In particolare:

  • la documentazione richiesta dal Capitolo Transparency è complementare ai registri di trattamento ex art. 30 GDPR e alle informative ex artt. 13-14 GDPR;
  • la politica copyright del Capitolo Copyright si interseca con le basi giuridiche di trattamento ex art. 6 GDPR e con le riserve di opt-out da text & data mining ex art. 4 Direttiva (UE) 2019/790;
  • i firmatari del Capitolo Safety and Security restano soggetti agli obblighi GDPR di sicurezza ex art. 32 GDPR e agli obblighi di valutazione d'impatto ex art. 35 GDPR.

Con il Data Act

Il Code non disciplina l'accesso ai dati di addestramento generati da prodotti connessi (perimetro Data Act). I provider GPAI che siano contestualmente data holder ai sensi del Data Act restano soggetti agli obblighi di accesso e portabilità dei dati indipendentemente dall'adesione al Code.

Il Capitolo Copyright del Code attua nella prassi l'art. 53(1), lett. c) AI Act, il quale presuppone il rispetto delle riserve di opt-out da text & data mining stabilite dall'art. 4 della Direttiva (UE) 2019/790 sul diritto d'autore nel mercato unico digitale. La Commissione ha avviato a dicembre 2025 una consultation pubblica sui protocolli machine-readable per la riserva di diritti, in attuazione della Misura 1.3 del Capitolo Copyright.

Rapporto con gli standard armonizzati

L'AI Act prevede una transizione graduale dal Code agli standard armonizzati europei:

  1. Fase attuale (2025-) — Code of Practice come strumento principale di conformità per i provider GPAI, in assenza di standard armonizzati pubblicati;
  2. Fase transitoria — Coesistenza Code + standard armonizzati man mano che vengono pubblicati;
  3. Fase finale — Standard armonizzati come strumento principale, idoneo a conferire presunzione di conformità ai sensi dell'art. 40 AI Act; il Code potrà restare come riferimento operativo complementare.

Gli standard armonizzati sono in fase di sviluppo presso CEN-CENELEC sotto il mandato della Commissione (cfr. scheda Standard del sito).

Fonti ufficiali

Indice della sezione

Ultima revisione: 27 aprile 2026