Oltre la norma, il metodo: perché il Code of Practice ridisegna la compliance AI

La pubblicazione, il 10 luglio 2025, del General Purpose AI Code of Practice da parte della Commissione europea rappresenta un passaggio cruciale nella traiettoria di attuazione dell’AI Act. Dopo l’entrata in vigore del regolamento il 1º agosto 2024 e in vista dell’applicazione degli articoli 53 e 55 prevista per il 2 agosto 2025, Bruxelles ha scelto di colmare il vuoto operativo con uno strumento di soft law che svolge la funzione di ponte regolatorio: offre ai provider di modelli generativi un percorso volontario – ma altamente incentivante – per anticipare gli obblighi di trasparenza, rispetto del copyright e gestione dei rischi sistemici, assicurando nel contempo un regime di presunzione di conformità che alleggerisce l’onere probatorio gravante sugli operatori. In questo modo la Commissione tenta di evitare la duplice trappola di un’applicazione “a freddo” di norme dettagliate e, al tempo stesso, di un eccesso di autoregolamentazione priva di verifiche sostanziali. Il nuovo Codice, infatti, non è un semplice vademecum di buone intenzioni, bensì un documento tecnicosistemico che innerva i princìpi dell’AI Act nella pratica quotidiana dei laboratori di ricerca, degli uffici legali aziendali e delle catene di fornitura di modelli fondamentali.

La stesura del Codice di Condotta

L’elaborazione del testo, durata sette mesi e orchestrata dall’AI Office, è stata concepita come un processo di co regolazione iterativa, assai simile al modello agile dei cicli di sviluppo software. Oltre mille stakeholder – big tech, PMI deep tech, università, centri di ricerca, autorità nazionali competenti, società civile organizzata e think tank – hanno contribuito a quattro bozze pubbliche, discusse in workshop tematici e plenarie mensili. Questo metodo partecipativo non ha soltanto legittimato l’esito finale, ma ha permesso di testare in tempo reale la sostenibilità delle misure proposte su casi d’uso concreti, introducendo già ex ante meccanismi di versioning e di aggiornamento continuo.

Il risultato è un testo in tre capitoli che riflette la struttura tripartita degli obblighi GPAI dell’AI Act:

1. documentazione e disclosure;
2. protezione del diritto d’autore;
3. risk governance per i modelli di frontiera ad alto impatto sistemico.

Nel primo capitolo, il Model Documentation Form diventa il fulcro di una trasparenza non meramente dichiarativa, giacché impone di descrivere con granularità l’architettura, i dataset utilizzati, le risorse computazionali impiegate, nonché le metriche di performance, i consumi energetici e le limitazioni note. Tale modulo, condiviso con l’AI Office, gli utenti professionali e, in forma parzialmente redatta, con il pubblico, si propone di standardizzare il dialogo tecnico giuridico lungo l’intera filiera del valore.

Il secondo capitolo affronta l’area più densa di conflittualità normativa emersa negli ultimi anni, quella del copyright. Il Codice richiede ai firmatari di adottare e pubblicare una policy interna dettagliata che specifichi il rispetto dei protocolli di esclusione dal text and data mining, l’implementazione di procedure di notice and action per la rimozione di output illeciti e l’esecuzione periodica di audit indipendenti sull’uso di materiale protetto. L’aspirazione sottesa è duplice: da un lato, offrire ai titolari di diritti uno strumento pragmatico di tutela; dall’altro, prevenire l’esplosione di contenziosi che potrebbe ritardare l’innovazione europea o spostarla verso giurisdizioni meno garantiste.

Il terzo capitolo, riservato ai modelli che superano soglie di capacità tali da generare rischi sistemici, formalizza un framework di valutazione, verifica e mitigazione affidato a terze parti qualificate e condiziona l’accesso al safe harbour al mantenimento di un canale di reporting continuo verso l’AI Office. Particolare enfasi viene posta sui rischi biologici, sulle minacce cyber e sugli scenari dual use, riflettendo la crescente preoccupazione strategica per la sicurezza dell’IA avanzata.

Un sistema incentivante

Il valore giuridico del Codice è direttamente proporzionale all’insieme di incentivi disegnati dalla Commissione. In primo luogo, la presunzione di conformità costituisce uno scudo significativo: gli articoli 71 e 72 dell’AI Act prevedono sanzioni fino al 7% del fatturato globale per violazioni gravi, ma tale rischio è sostanzialmente sterilizzato per i firmatari, a condizione che questi dimostrino diligenza e collaborino in buona fede con l’autorità.

In secondo luogo, l’AI Office offre un periodo di “co versione morbida” durante il quale eventuali carenze formali vengono sanate senza azioni correttive punitive, instaurando una dinamica simile a quella dei sandbox regolatori già sperimentati nel fintech.

In terzo luogo, la reputazione di compliance avanzata assume immediatamente un peso competitivo, tanto nei mercati B2B quanto nella partecipazione a bandi di gara pubblici, in cui la nozione di “trustworthy AI” è ormai un criterio di valutazione esplicito.

La dimensione geopolitica della governance dell’IA, tuttavia, rivela divergenze di interesse che il Codice porta in superficie. OpenAI e Mistral, ad esempio, hanno accolto con favore lo strumento, con l’obiettivo evidente di agevolare l’accesso al mercato unico europeo e di posizionarsi come protagonisti di una transizione regolatoria ordinata. Meta, al contrario, ha dichiarato la propria indisponibilità a sottoscrivere un documento ritenuto ultra vires rispetto alle previsioni dell’AI Act, temendo che il meccanismo soft law possa trasformarsi in un vincolo di fatto ancora più stringente. Questa frattura indica che il Codice funge anche da cartina di tornasole della disponibilità delle big tech a sottostare a un perimetro normativo europeo orientato alla tutela dei diritti fondamentali. In prospettiva, la scelta di non firmare potrebbe tradursi in un onere di compliance più gravoso, nonché in una minore attrattività per partner industriali europei desiderosi di ridurre il proprio rischio regolatorio.

Gli aspetti di criticità del General Purpose AI Code of Practice

Le criticità non mancano. La prima riguarda il delicato equilibrio tra soft law e enforceability: il valore della presunzione di conformità dipenderà dalla capacità dell’AI Office di revocarla tempestivamente qualora emerga il mancato rispetto sostanziale degli impegni. La seconda coinvolge l’ecosistema open source, che beneficia di esenzioni mirate all’innovazione ma rischia di generare arbitraggio se modelli rilasciati pubblicamente vengono potenziati downstream senza adeguate garanzie. La terza concerne la misurazione dell’impatto discriminatorio: benché il Codice richiami costantemente la protezione dei diritti fondamentali, rimanda all’autovalutazione responsabile del provider la scelta di metriche di fairness, lasciando aperta la questione dell’allineamento con il Toolkit ONU sull’intersezionalità e con il crescente corpus di giurisprudenza europea in materia di non discriminazione algoritmica. Infine, la mancanza di standard tecnici armonizzati – la cui redazione è in corso presso il CEN CENELEC JTC 21 con obiettivo 2027 – crea incertezza su parametri chiave, come le soglie di “rischio sistemico” o i benchmark di robustezza.

Nel medio termine, la Commissione ha già annunciato l’intenzione di pubblicare linee guida interpretative sui concetti cardine dei modelli generali, un template armonizzato per il summary of training data e una consultazione pubblica sui test di valutazione dei modelli di frontiera. Queste iniziative, combinate con la naturale evoluzione del Codice attraverso release successive, dovrebbero consolidare un ecosistema di compliance dinamico, in grado di adattarsi alle accelerazioni tecnologiche senza sacrificare la protezione dei diritti. Sul piano internazionale, il documento potrebbe fungere da prototipo di soft law per il G7, per l’OCSE e per le iniziative “AI for Good”, rafforzando l’effetto Bruxelles quale catalizzatore di convergenza normativa globale.

Implementazione pratica: roadmap per i provider AI

Per i provider che intendono operare nel mercato europeo, la strada tracciata dal Codice appare chiara. Occorre innanzitutto mappare con precisione dataset, pipeline di addestramento e supply chain software, poiché il Model Documentation Form esige una tracciabilità assai più granulare di quanto prassi industriali consolidate fossero abituate a fornire. È poi fondamentale rivedere, o creare ex novo, una policy sul diritto d’autore che contempli il rispetto dei robots.txt, l’uso di licenze chiare per i dati raccolti e un sistema efficace di gestione delle segnalazioni. Sul versante della governance, diviene strategico istituire un comitato interno di monitoraggio del rischio IA, con membri indipendenti e reporting diretto al board, preludio di un modello di accountability che l’AI Office considera essenziale per i fornitori di modelli con capacità di frontiera. In prospettiva, risulterà decisiva un’analisi comparativa tra gli adempimenti del Codice e gli standard ISO/IEC 42001, oltre ai futuri standard CEN, per anticipare la futura convergenza normativa.

Nel complesso, il Codice di Condotta si configura come la chiave di volta che congiunge l’ambizione costituzionale dell’AI Act alla realtà operativa dei laboratori di ricerca e dei mercati. Il suo successo dipenderà dalla partecipazione concreta dei provider, dalla capacità di enforcement proporzionato dell’AI Office e dall’allineamento progressivo con standard tecnici internazionali. Se questi elementi sapranno convergere, l’Europa potrà affermare un modello di intelligenza artificiale responsabile, antidiscriminatoria e orientata ai diritti fondamentali, rafforzando la propria autonomia strategica in un contesto globale sempre più competitivo. In caso contrario, il rischio è una frammentazione regolatoria che penalizzi proprio quei soggetti – in primis le piccole e medie imprese innovative – che la nuova governance aspira a tutelare. La sfida, pertanto, non è soltanto giuridica, ma eminentemente politica e industriale: trasformare il Codice da soft law volontaria in prassi condivisa a livello internazionale, facendo delle esigenze di trasparenza e sicurezza il motore di una competitività europea basata sulla fiducia e sul rispetto dei valori democratici.