GPAI · dal 2 agosto entra in pieno regime l'enforcement europeo sui modelli generalisti

La data che cambia il quadro operativo

Il 2 agosto 2026 e' una data piu' silenziosa rispetto al clamore del 2 febbraio 2025 — la giornata in cui i divieti dell'AI Act sono entrati in applicazione — eppure segna un passaggio piu' concreto per il mercato europeo dei modelli generalisti. Da quel giorno, la Commissione europea acquisisce i poteri pieni di vigilanza e sanzione previsti dal regolamento sull'intelligenza artificiale per i fornitori di modelli AI di scopo generale (GPAI). Gli obblighi di trasparenza, documentazione, gestione del rischio sistemico e tutela del diritto d'autore erano gia' formalmente in vigore dal 2 agosto 2025, ma la Commissione aveva concesso un anno di adattamento prima di poter esercitare il potere sanzionatorio.

Quell'anno e' adesso scaduto.

Cosa puo' fare la Commissione dal 2 agosto

I poteri operativi che il regolamento attribuisce all'AI Office della Commissione europea coprono l'intero ciclo di vita di un modello generalista. La Commissione puo' richiedere documentazione tecnica e tracce di addestramento, condurre valutazioni indipendenti del modello, imporre misure correttive sulla gestione del rischio, e — quando le altre leve falliscono — disporre richiami dal mercato europeo o ritiri totali. Le sanzioni pecuniarie arrivano fino al maggiore tra 15 milioni di euro e il 3 percento del fatturato globale annuo del provider. Per un grande laboratorio americano, la cifra in valore assoluto e' significativa anche rispetto al budget di compliance interno.

I modelli immessi sul mercato europeo prima del 2 agosto 2025 godono di un anno supplementare di adeguamento, fino al 2 agosto 2027. Il calendario di favore vale solo per il pregresso: ogni release successiva al primo agosto 2025 entra nel perimetro pieno della vigilanza.

Il Code of Practice come scorciatoia regolatoria

La Commissione ha pubblicato il General-Purpose AI Code of Practice come strumento volontario che traduce in pratica operativa gli obblighi del regolamento. Aderire al Code of Practice resta una scelta libera del provider, ma e' la via piu' rapida per dimostrare conformita' in modo prevedibile. Tre le aree coperte: trasparenza (template di documentazione tecnica e di sintesi degli addestramenti), copyright (filtri e meccanismi di opt-out per i detentori dei diritti), sicurezza (mitigazione dei rischi sistemici per i modelli sopra una certa soglia di capacita').

Il Code of Practice ha valore generale riconosciuto dall'AI Board e dalla Commissione stessa: chi vi aderisce in buona fede sposta su un binario procedurale prevedibile la propria postura di compliance. Chi sceglie un percorso alternativo deve dimostrare equivalenza sostanziale, articolo per articolo, e si espone a maggiore frizione in caso di richiesta documentale.

Cosa significa per chi guida la trasformazione AI in Italia

Per le imprese italiane il 2 agosto 2026 vale come data di adempimento indiretto — gli obblighi sui GPAI ricadono sul provider del modello, restano in capo al fornitore. Eppure il passaggio cambia il quadro di rischio della catena del valore. Chi integra Claude, GPT, Gemini, Mistral o un modello open-weight in produzione assume una dipendenza regolatoria dal proprio fornitore. La sostituibilita' tecnica del modello diventa una variabile di compliance, oltre che di costo.

Gli hub europei che hanno costruito il proprio metodo intorno a una scelta multi-modello iniziano qui a vedere il vantaggio strutturale. L'approccio della AI Methodology — il vocabolario tecnico che codifica il pattern di lavoro con fornitori modello eterogenei — separa la scelta del modello dal contratto di servizio col cliente finale. Quando il quadro regolatorio si muove su un provider specifico, il cliente regolato preserva continuita' operativa attraverso il rerouting verso un modello equivalente, in genere su un perimetro architetturale gia' progettato per accogliere tre o quattro provider in parallelo.

Le imprese italiane piu' esposte al passaggio sono tre categorie: i grandi gruppi finance che hanno integrato GPAI in workflow critici di documentazione (banche, assicurazioni, asset management); i fornitori italiani di soluzioni verticali che ribrandizzano un GPAI esterno (chatbot, copilot, agent specialistici); le pubbliche amministrazioni che hanno avviato pilot agentici su modelli stranieri. Le tre coorti reagiscono al 2 agosto in modo molto diverso, e il primo gruppo e' quello che oggi sta scrivendo le clausole di esit-route nei contratti.

Implicazioni operative per i CIO e i CTO italiani

A livello operativo, le implicazioni del 2 agosto 2026 si traducono in cinque domande che ogni direzione tecnologica italiana sta facendo al proprio team legal e procurement in queste settimane:

1. Quale modello sta sotto quale GPAI obligation? La lista dei provider che cadono nel perimetro pieno include OpenAI, Anthropic, Google, Meta, Mistral, Cohere, Alibaba e i grandi laboratori cinesi attivi in Europa. La lista delle famiglie con rischio sistemico — soglia di capacita' aggiuntiva — e' un sottoinsieme della precedente.

1. Il fornitore aderisce al Code of Practice? Il sito ufficiale dell'AI Office mantiene l'elenco degli aderenti. La distinzione tra aderenti e percorsi alternativi va riportata nei contratti come dichiarazione contrattuale del provider, da rinnovare a ogni release maggiore.

1. Come e' tracciato il consenso al fine-tuning? Per i modelli aperti al fine-tuning sul corpus aziendale, il rispetto del copyright richiede un audit trail del dataset usato. Il pattern che gli hub europei stanno consolidando e' quello della pipeline interna sigillata con scrittura di evidenze immutabili.

1. Quale postura di sicurezza copre i workflow agentici? Il Code of Practice tratta la sicurezza dei modelli al livello del provider; la sicurezza dei deployment agentici resta in capo all'integratore. Il punto di contatto tra le due responsabilita' e' il monitoring runtime, e qui l'approccio AI Privacy First — kickoff sigillati su open-weight EU-sovereign — diventa la baseline tecnica con cui un cliente regolato puo' chiudere il proprio perimetro indipendentemente dalle scelte del provider downstream.

1. Esiste un piano di rerouting? La domanda che chiude ogni board pack del trimestre estivo: se domani il modello A esce dal mercato europeo per misura cautelare della Commissione, in quante settimane sostituite l'integrazione su un modello B equivalente? La risposta accettabile e' inferiore a sei.

Cosa fare adesso

Tre azioni vendor-independent, applicabili da ogni CIO o CTO italiano che integra GPAI in produzione:

• Mappare il portafoglio di dipendenze sui modelli. Per ogni workflow critico, registrare il provider del modello, la versione, la data di rilascio, la postura di compliance al Code of Practice. La mappa va aggiornata a ogni rilascio dei provider sopra soglia.

• Inserire clausole di compliance dinamica nei contratti. Le clausole di adeguamento normativo previsto, gia' standard nel software enterprise, vanno estese al diritto di sostituzione del modello in caso di provvedimento regolatorio. Il template e' tornato nel ciclo di rinnovo di tutte le procurement function italiane mid-market e oltre.

• Definire una baseline architetturale multi-modello. L'architettura piu' resiliente al 2 agosto 2026 e' quella che astrae il provider del modello dietro un layer di adattamento applicativo. Tre provider supportati in parallelo, due come default operativo, uno come hot-spare, e' lo schema con cui gli integratori europei piu' maturi affrontano l'autunno 2026.

Lo scenario verso il 2027

Il 2 agosto 2026 inaugura un anno in cui la Commissione europea avra' il polso operativo sui modelli generalisti. La prossima soglia significativa cadra' il 2 agosto 2027, quando anche i modelli immessi sul mercato prima del 2025 dovranno essere conformi a tutti gli obblighi GPAI. In mezzo, l'attesa per il primo procedimento sanzionatorio: il primo richiamo formale a un grande provider americano ridefinira' le aspettative del mercato europeo sulla velocita' di esecuzione regolatoria.

Il quadro complessivo e' coerente con la direzione politica che il digitale europeo ha preso negli ultimi diciotto mesi. La sovranita' tecnologica si misura ormai su due piani: la capacity di calcolo e la capacita' di esercitare leve regolatorie su tecnologie costruite altrove. Il 2 agosto 2026 e' il giorno in cui l'AI Act diventa, per i provider, qualcosa di concreto e quotidiano.

Resta aperta la domanda piu' interessante per chi guarda al mercato europeo dei prossimi tre anni: quale percentuale dei modelli oggi attivi in produzione nelle imprese italiane sara' ancora rilevante operativamente, alla fine del primo ciclo sanzionatorio della Commissione?

Fonti

• "Enforcement of Chapter V under the EU AI Act" — Future of Life Institute / AI Act EU, 2025
• "Article 101: Fines for Providers of General-Purpose AI Models" — EU Artificial Intelligence Act, 2024
• "Guidelines for providers of general-purpose AI models" — European Commission, Shaping Europe's digital future, 2025
• "The General-Purpose AI Code of Practice" — European Commission, AI Office, luglio 2025
• "AI Office invites providers to sign the GPAI Code of Practice" — European Commission, luglio 2025
• "EU AI Act: GPAI Model Obligations in Force and Final GPAI Code of Practice in Place" — Latham & Watkins, agosto 2025
• "How Much Power Does the EU AI Office Actually Have?" — Lawfare, 2025