AI Act e obbligo di disclosure per i fornitori di modelli di GPAI: come prepararsi concretamente

29 Luglio 2025
, ,

L’art. 53(1)(d) del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (“AI Act”) impone ai fornitori di modelli di IA per finalità generali (modelli di GPAI) l’obbligo di redigere e rendere pubblicamente disponibile una sintesi sufficientemente dettagliata dei dati di addestramento del modello. Non si tratterebbe di un adempimento meramente formale, ma di uno strumento di trasparenza sostanziale, destinato a incidere sull’equilibrio tra innovazione tecnologica, diritti degli individui e concorrenza equa. Per supportare l’attuazione concreta delle nuove disposizioni, la Commissione europea ha pubblicato, il 24 luglio 2025, un modello di riferimento che i fornitori sono invitati a utilizzare seguendo criteri strutturati.

Si tratta di un template pensato per favorire coerenza e uniformità, nell’applicazione delle regole, e che potrebbe avere ripercussioni a livello globale. I titolari di diritti sulle opere, anche al di fuori dell’UE, potenzialmente potranno utilizzare le informazioni contenute nella sintesi per far valere eventuali violazioni del diritto d’autore, ridefinendo così le strategie legali a livello internazionale nel campo dell’IA, specialmente in quella generativa.

Tale strumento assume rilievo anche in vista dell’entrata in applicazione del Capo V dell’AI Act – dedicato ai modelli di GPAI e agli obblighi posti in capo ai relativi fornitori – prevista a partire dal 2 agosto 2025.

A chi si applica l’obbligo?

Un fraintendimento piuttosto diffuso riguarda l’ambito soggettivo di applicazione degli obblighi relativi ai modelli di GPAI, di cui all’art. 53 dell’AI Act. Tali obblighi si riferiscono a tutti i modelli di GPAI, come definiti all’art. 3(1)(63) dell’AI Act, e non esclusivamente a quelli con rischio sistemico di cui all’art. 3(1)(65), per i quali si applicano anche le disposizioni specifiche previste dall’art. 55.

Si tende, infatti, a ritenere che tali obblighi riguardino esclusivamente i principali attori globali del settore, come ad esempio i fornitori di modelli più diffusi quali Gemini, DeepSeek-R1, ERNIE Bot, Claude, Llama o ChatGPT. In realtà, la definizione di fornitore,di cui all’art. 3(1)(3) dell’AI Act, è significativamente più ampia. L’obbligo di disclosure riguarda, infatti, non soltanto coloro che sviluppano un modello di GPAI, ma anche coloro che fanno sviluppare modelli di GPAI da terzi e li immettono sul mercato o li mettono in servizio, sotto il proprio nome o marchio, a titolo oneroso o gratuito.

Di conseguenza, anche imprese di dimensioni più contenute potrebbero quindi essere soggette agli obblighi di trasparenza, sicurezza e documentazione previsti dal Capo V dell’AI Act, a meno che non abbiano definito accordi contrattuali che specifichino una diversa ripartizione delle responsabilità.

Che cosa deve contenere la sintesi?

Secondo la normativa, la sintesi deve essere pubblica, accessibile e redatta in modo sufficientemente dettagliato da permettere ai soggetti con interessi legittimi (in particolare, i titolari dei diritti d’autore) di comprendere e verificare, nei limiti del possibile, se e come i propri contenuti siano stati utilizzati, nonché di esercitare i loro diritti.

Cosa debba intendersi, in concreto, per “sufficientemente dettagliato” è stato chiarito dalla Commissione europea attraverso la predisposizione del modello sopra menzionato. Le indicazioni fornite si articolano attorno a tre aree tematiche principali, che definiscono in modo strutturato i contenuti minimi da includere nella documentazione:

  • informazioni generali sul fornitore e sul modello:
  • identificazione del fornitore,
  • nome del modello e versione,
  • modalità di input utilizzate (testo, immagini, audio, video),
  • data di immissione del modello sul mercato,
  • se il modello è il risultato di una modifica, compresa la messa a punto, di uno o più modelli di GPAI, nome del modello e link alla relativa sintesi, se disponibile,
  • dimensioni dei dataset per ciascuna modalità,
  • lingua e provenienza geografica dei dati;
  • descrizione delle fonti dei dati di addestramento:
  • elenco dei principali dataset utilizzati, con distinzione tra pubblici, privati, commerciali, open source,
  • descrizione dettagliata e rappresentativa dei dati raccolti online dal fornitore o per suo conto (contenuti acquisiti tramite tecniche di web scraping), con riepilogo dei principali domini coinvolti;
  • indicazione di eventuali dati sintetici o dati degli utenti utilizzati nell’addestramento;
  • aspetti relativi al trattamento dei dati:
  • informazioni sul rispetto delle normative in materia di diritto d’autore e diritti connessi (ad es. text and data mining),
  • eventuali misure adottate per escludere contenuti illeciti o pregiudizievoli durante l’addestramento.

Tempistiche e obbligo di pubblicazione

Il documento di sintesi deve:

  • essere pubblicato al più tardi nel momento in cui il modello viene immesso sul mercato europeo;
  • essere chiaramente visibile e accessibile sul sito ufficiale del fornitore, nonché disponibile attraverso ogni altro canale di distribuzione del modello (ad es. piattaforme online);
  • indicare in modo inequivoco a quale modello e versione si riferisce.

L’obbligo di rendere pubblicamente disponibile il documento sarà applicabile a partire dal 2 agosto 2025.
Per i modelli immessi sul mercato prima di tale data, i fornitori potranno adottare le misure necessarie affinché il relativo documento sia reso pubblico non oltre il 2 agosto 2027.

È comunque fortemente raccomandato non attendere le scadenze, ma avviare sin da ora la raccolta e l’organizzazione delle informazioni richieste, anche per evitare rischi sanzionatori e danni reputazionali.

A livello di sanzioni, il rischio è che al fornitore venga inflitta una sanzione pecuniaria fino al 3% del fatturato mondiale annuo totale dell’esercizio precedente o fino a 15 milioni di euro, a seconda dell’importo più elevato.

Oltre alle sanzioni pecuniarie, il fornitore potrebbe essere soggetto a eventuali contenziosi da parte dei titolari di diritti lesi.

Al fine di conformarsi a tale disposizione, si suggerisce pertanto di:

  • mappare i dati utilizzati per l’addestramento;
  • verificare le licenze e i diritti d’uso sui contenuti, in particolare per quelli protetti dal diritto d’autore;
  • predisporre una descrizione esaustiva dei dati raccolti online;
  • individuare i principali domini web da cui sono stati estratti dati tramite tecniche di web scraping;
  • designare un team (interno o esterno) per la compilazione del documento secondo il modello della Commissione;
  • predisporre un piano di pubblicazione e aggiornamento continuo del documento.

2026 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.


Morri Rossetti S.t.p. S.r.l.

Sede legale: Piazza Eleonora Duse, 2 - 20122 Milano
Codice Fiscale/Partita IVA 04110250968
Registro delle Imprese di Milano n. 04110250968
Capitale Sociale 100.000,00 i.v.
cross