La bozza del codice di condotta GPAI: verso una governance etica dell’IA in Europa

Il countdown per l’attuazione delle disposizioni del Regolamento (UE) 1689/2024 (“AI Act”) è ufficialmente iniziato segnando l’approssimarsi di un nuovo quadro normativo per l’intelligenza artificiale. In questo contesto, la Commissione europea (la “Commissione”) ha pubblicato lo scorso 14 novembre una bozza di General-Purpose AI Code of Practice (di seguito, il “Codice di Condotta” o semplicemente “Codice”) destinata a fornire orientamenti pratici per lo sviluppo e l’uso responsabile dell’AI.

I modelli di AI a uso generale (General-Purpose AI – “GPAI”) sono modelli informatici addestrati su un’ampia quantità di dati, capaci di svolgere molteplici funzioni, come la generazione di testi, audio, immagini o video. Esempi noti includono GPT-4 di OpenAI alla base di ChatGPT, Gemini di Google o Llama di Meta.

L’obiettivo di questa prima bozza del Codice è quello di fornire linee guida che garantiscano la conformità agli obblighi previsti dagli articoli 53 e 55 dell’AI Act per gli sviluppatori di modelli GPAI. Il Codice, infatti, si articola in due sezioni principali: una destinata ai fornitori di tutti i modelli GPAI (art. 53) e l’altra rivolta esclusivamente ai fornitori di modelli GPAI classificati come aventi “rischio sistemico” (art. 55). 

Con riguardo alle tempistiche, i fornitori di modelli GPAI immessi sul mercato prima del 2 agosto 2025 dovranno adeguarsi alle prescrizioni dell’AI Act entro il 2 agosto 2027. Tuttavia, il Codice è stato progettato per essere “a prova di futuro”, risultando applicabile anche alle successive generazioni di modelli GPAI che verranno sviluppati e distribuiti dopo il 2025[1]. La sua versione definitiva dovrà essere adottata entro il 1° maggio 2025, in conformità all’art. 56, par. 9, dell’AI Act.

Analogamente all’AI Pact – accordo volontario che consente alle imprese di anticipare l’applicazione di alcune disposizioni dell’AI Act (per approfondimenti, si veda un nostro precedente contributo disponibile qui) – anche il Codice di Condotta prevede un’adesione volontaria, la quale, tuttavia, non potrà essere considerata come prova definitiva di conformità normativa.

Ma cosa prevede e com’è strutturato il Codice di Condotta?

Il Codice di Condotta è il risultato di un articolato lavoro. La sua elaborazione è stata affidata a quattro gruppi di lavoro, composti da esperti provenienti da diversi ambiti (industria, accademia e società civile) e arricchita dal contributo di quasi mille stakeholders, tra rappresentanti degli Stati membri dell’Unione europea e osservatori europei e internazionali. Questo approccio riflette la volontà di creare un documento suscettibile di evoluzioni e miglioramenti continui.

Il Codice si fonda su sei pilastri chiave, che ne delineano l’impostazione e le finalità:

1. allineamento con i principi e i valori dell’Unione: misure, sotto-misure e indicatori chiavi di prestazione (“KPI”) su cui è strutturato il Codice devono rispettare i principi e i valori fondamentali dell’UE;
2. conformità con l’AI Act e standard internazionali: misure, sotto-misure e KPI devono facilitare l’applicazione dell’AI Act e considerare standard e metriche internazionali (un esempio, potrebbe essere la guida operativa “Gen-AI Profile del NIST” – per approfondimenti, si rinvia ad un nostro precedente contribuito disponibile su AI4Business);
3. proporzionalità ai rischi: le misure, sotto-misure e KPI devono essere calibrate in base alla gravità e alla natura dei rischi, considerando contesti specifici e strategie di distribuzione;
4. adattabilità futura: sotto-misure e KPI devono consentire aggiornamenti rapidi per riflettere i progressi tecnologici e le evoluzioni del settore, includendo ad esempio linee guida dinamiche (emanate dall’AI Office) e database sugli incidenti;
5. proporzionalità alle dimensioni aziendali: le misure e i KPI devono tener conto delle dimensioni dei fornitori dei modelli GPAI, prevedendo modalità semplificate per PMI e start-up;
6. sostegno e crescita dell’ecosistema di sicurezza dell’IA: il Codice incentiva la cooperazione tra stakeholders promuovendo la trasparenza, la condivisione di conoscenze e riconoscendo il contributo dei modelli open-source per la sicurezza dell’IA.

Come sopra precisato, il Codice di Condotta si applica sia ai fornitori di modelli GPAI generici, sia ai fornitori di modelli GPAI a rischio sistemico. Quest’ultima categoria include quei modelli che possono generare impatti significativi sul mercato interno, con conseguenze negative sulla salute pubblica, sicurezza, diritti fondamentali o società, in grado di diffondersi su larga scala lungo tutta la catena del valore. Un esempio paradigmatico è il malfunzionamento su larga scala di una app di guida autonoma, con possibili incidenti diffusi e gravi ripercussioni sulla mobilità urbana. Il Codice individua i seguenti tipi di rischi sistemici:

• offensive informatiche, quali la scoperta o lo sfruttamento di vulnerabilità;
• rischi chimici, biologici, radiologici e nucleari;
• perdita di controllo di modelli GPAI;
• uso automatizzato di modelli GPAI per ricerca e sviluppo dell’IA;
• facilitazione di persuasione e manipolazione su larga scala, disinformazione o informazioni errate che mettono a rischio valori democratici e diritti umani (come, ad esempio, l’interferenza elettorale);
• discriminazione su larga scala nei confronti di individui, comunità o società.

Le misure per i fornitori di modelli GPAI

1. Trasparenza

In linea con l’art. 53, par. 1, lett. a) e b) dell’AI Act, i fornitori devono redigere una documentazione tecnica esaustiva, aggiornata e conforme all’Allegato XI dell’AI Act, includendo, a mero titolo esemplificativo, informazioni dettagliate sul fornitore e sul modello, le tipologie di sistemi di IA nei quali il modello GPAI può essere integrato, le modalità e il format degli input e degli output, nonché le c.d. acceptable use policies, ossia regole sull’utilizzo corretto (e scorretto) dei modelli GPAI.

La documentazione deve essere resa disponibile, su richiesta, all’AI Office, alle autorità competenti e ai fornitori che intendano integrare il modello GPAI nei propri sistemi.

2. Copyright

Il Codice adotta misure per assicurare il rispetto della normativa sul diritto d’autore (i.e. la Direttiva (UE) 790/2019), prevedendo:

1. policy aziendali sul copyright, per garantire il rispetto dei diritti in tutte le fasi, dalla progettazione alla distribuzione del modello;
2. rispetto dell’eccezione del text and data mining: i fornitori dei modelli GPAI devono assicurare che hanno lecitamente accesso ai contenuti protetti dal copyright e che rispettano le riserve espresse;
3. pubblicazione delle misure implementate per rispettare i diritti d’autore, al fine di garantire la trasparenza.

Le misure per i fornitori GPAI rischio sistemico

I firmatari devono implementare un Safety and Security Framework (“SSF”) per gestire e mitigare i rischi sistemici, con un livello di dettaglio proporzionale alla gravità dei rischi previsti. L’SSF dovrebbe includere almeno le seguenti misure:

1. identificazione e valutazione dei rischi, ossia strumenti in grado di classificare e misurare i rischi sistemici, durante l’intero ciclo di vita del modello GPAI, promuovendo trasparenza, sicurezza e responsabilità;
2. mitigazione tecnica dei rischi, ovvero misure volte a prevenire potenziali effetti negativi. L’obiettivo è quello di mappare ogni indicatore di rischio sistemico o livello di gravità con misure di sicurezza proporzionate, al fine di garantire che i rischi restino al di sotto di livelli tollerabili;
3. governance interna per la mitigazione dei rischi, ossia misure volte a stabilire responsabilità chiare per la gestione dei rischi sistemici, prevedendo valutazioni annuali sulla conformità e sull’adeguatezza del SSF, svolgendo test indipendenti sui modelli GPAI, segnalando tempestivamente eventuali incidenti gravi all’AI Office e implementando canali sicuri per segnalazioni interne e per la protezione dei whistleblower, nonché garantendo trasparenza e adeguate notifiche alle autorità competenti.

La valutazione e la mitigazione dei rischi sistemici dovrà essere basata sugli elementi che compongono la c.d. tassonomia di tali rischi, ossia i tipi, la natura (i.e. gli elementi chiave dei rischi che influenzano come gli stessi possano essere valutati e mitigati) e le fonti (ossia gli elementi – quali eventi, componenti, attori e le loro intenzioni o attività – che da soli o insieme ad altri danno vita a rischi).

L’impatto del Codice di Condotta

La bozza del Codice di Condotta riflette l’intento dell’Unione europea di garantire una gestione etica e responsabile dei modelli GPAI, inclusi quelli con rischio sistemico, in piano accordo con i principi stabiliti dall’AI Act. La proposta tiene conto anche delle esigenze specifiche di PMI e start-up, offrendo loro modalità semplificate di conformità, senza tuttavia compromettere i principi fondamentali di sicurezza e trasparenza.

Il Codice di Condotta rappresenterà un documento di fondamentale importanza non solo per favorire l’innovazione tecnologica in un settore ad alta crescita, ma anche per rafforzare la fiducia degli utenti e consumatori, assicurando l’utilizzo di tecnologie di IA che minimizzino effettivamente i rischi.

Attraverso la promozione di chiarezza e trasparenza, il Codice dovrebbe contribuire altresì a perseguire l’obiettivo di una c.d. trustworthy AI, ovvero un’intelligenza artificiale affidabile, etica e sicura.

[1] In questo caso, le disposizioni dell’AI Act troveranno applicazione a partire dal 2 agosto 2025.