Il GPAI Code of Practice: tra soft law e compliance anticipata nell’era dell’AI generativa

Il General‑Purpose AI (GPAI) Code of Practice, pubblicato il 10 luglio 2025, rappresenta il primo codice volontario di settore per facilitare l’adeguamento delle imprese ai requisiti obbligatori del Regolamento sull’intelligenza artificiale (AI Act). Redatto da 13 esperti indipendenti con il coinvolgimento di numerosi stakeholder, il Codice fornisce linee guida operative su trasparenza, diritti d’autore, sicurezza e cyber‑sicurezza. Questo articolo esamina le sue strutture normative, le finalità giuridiche, le criticità interpretative e le prospettive di governance globale.

1. Quadro normativo e valenza giuridica

In base all’art. 56 del AI Act, il Codice di Practice costituisce uno strumento transitorio e non vincolante: può essere adottato volontariamente dai fornitori di modelli GPAI per dimostrare la conformità agli obblighi degli articoli 53 e 55 del Regolamento fino alla definizione di standard armonizzati (entro tre anni). In caso di mancata adesione, i fornitori dovranno comunque dimostrare la compliance attraverso modalità alternative, potenzialmente più gravose.
Una volta approvato dagli Stati membri e dalla Commissione, il Codice fungerà da presunzione di conformità, offrendo certezze legali e snellendo gli oneri amministrativi.

2. Struttura e contenuti principali

Il Codice è suddiviso in tre capitoli distinti:

• Trasparenza: applicabile a tutti i fornitori di modelli GPAI;

• Copyright: obbligatorio anch’esso per tutti i fornitori GPAI;

• Sicurezza e Security: destinato soltanto ai modelli GPAI che superano la soglia di rischio sistemico (oltre 10^25 FLOPS).

2.1 Trasparenza (Art. 53):

I firmatari devono compilare un Model Documentation Form standardizzato, riportando dettagli tecnici quali: architettura del modello, fonti dati utilizzate, usi previsti, licenze, consumo energetico, limiti noti e procedure. Questo documento deve essere reso disponibile ai “downstream providers” e alle autorità regolatorie su richiesta, pur conservando riservatezza sulle informazioni commerciali sensibili.

2.2 Copyright (Art. 53‑c):

I fornitori devono adottare una copyright policy interna conforme al diritto d’autore UE. Il Codice impone una due diligence sui dataset impiegati, l’uso di crawler che rispettino robot.txt, l’esclusione di siti pirata e l’uso di filtri tecnici per evitare uscite infrangenti sulla base di contenuti protetti.
Dev’essere inoltre previsto un punto di contatto per i detentori di diritti, con un meccanismo per segnalazioni e reclami, e il divieto per i downstream user di generare output infrangenti tramite clausole nei terms of use.

2.3 Sicurezza e Security (Art. 55):

Applicabile solo ai modelli con rischio sistemico: impone l’adozione di un Safety and Security Framework con supervisione indipendente, valutazioni rigorose eseguite da esperti esterni, cybersecurity di livello avanzato (crittografia, controllo accessi, protezione insider) e obbligo di reporting tempestivo di incidenti gravi alle autorità competenti.

Sono richiesti anche governi aziendali dedicati, canali di whistleblowing e audit regolari del framework di sicurezza annual assessment da parte di esperti terzi.

3. Fattibilità applicativa e limiti interpretativi

Nonostante sia volontario, il Codice diventa di fatto la via preferenziale per la compliance normativa, offrendo maggiore certezza giuridica rispetto alle modalità alternative. I firmatari – tra cui OpenAI, Anthropic e Microsoft – possono ridurre il rischio di contenziosi e sanzioni, in coerenza con l’approccio dell’AI Office UE.

Tuttavia, persistono nodi critici:

• La natura non vincolante lascia margini interpretativi, soprattutto sul bilanciamento tra trasparenza e trade secrets;

• L’accesso ai dati (training summaries, crawler logs) può essere limitato dalla riservatezza commerciale;

• I requisiti di sicurezza per i modelli di fascia alta potrebbero risultare onerosi anche per provider emergenti;

• La soglia di 10^25 FLOPS come criterio di rischio sistemico è suscettibile di modifiche tecniche o mercati emergenti

4. Qualificazioni accademiche e prospettive evolutive

Sul piano teorico come pratico, il Codice introduce una forma emergente di soft governance normativamente orientata, utile per tempificare l’adozione del framework giuridico in fase pre‑standard.
Studi recenti (ad esempio Existing Industry Practice di Stelling et al., 2025) evidenziano come molte iniziative di sicurezza predittiva adottate da aziende leader anticipino alcune misure codificate dal Codice, allineando compliance tecnica e etica real‑world.
Altri contributi (ad esempio su bug‑reporting strutturato per GPAI) rimarcano la necessità di disciplina condivisa sulla flaw disclosure coordinata, aspetto non pienamente affrontato dal Codice, ma già segnalato come urgente nel contesto civile delle vulnerabilità GPAI.