Articolo 53 del Regolamento (UE) 2024/1689 — Obblighi dei fornitori di modelli di IA per uso generale con rischio sistemico. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del testo ufficiale
L'articolo 53 del Regolamento (UE) 2024/1689 stabilisce obblighi che si applicano esclusivamente ai fornitori di modelli di intelligenza artificiale (IA) per uso generale classificati come presentanti un rischio sistemico ai sensi dell'articolo 51. Si tratta di modelli addestrati con una capacità di calcolo superiore a 10^25 operazioni in virgola mobile (FLOPs), o di modelli designati dall'Ufficio per l'IA sulla base di una valutazione delle capacità o dell'impatto.
In aggiunta agli obblighi di base applicabili a tutti i fornitori di modelli GPAI ai sensi dell'articolo 52, i fornitori coperti dall'articolo 53 devono: effettuare valutazioni dei modelli, inclusi test avversariali condotti in conformità con protocolli normalizzati o metodologie approvate; valutare e attenuare i rischi sistemici a livello dell'Unione; segnalare all'Ufficio per l'IA senza indebito ritardo gli incidenti gravi e i malfunzionamenti; garantire un livello adeguato di protezione della cybersicurezza per il modello, la sua infrastruttura e il suo ambiente fisico; e documentare i risultati delle valutazioni dei modelli e renderli disponibili all'Ufficio per l'IA su richiesta.
L'articolo 53, paragrafo 2, prevede che i fornitori possano fare affidamento sui codici di condotta adottati ai sensi dell'articolo 56 per dimostrare la conformità. La Commissione europea è abilitata a emanare atti delegati che specificano il contenuto e le procedure delle valutazioni, e ad adeguare le soglie in base all'evoluzione delle conoscenze scientifiche. L'Ufficio per l'IA monitora la conformità e può richiedere ulteriori informazioni o misure correttive.
Cosa significa in pratica
L'articolo 53 crea un livello di conformità distinto per i modelli GPAI più capaci e potenzialmente più impattanti sul mercato dell'UE. Qualsiasi organizzazione — indipendentemente dal luogo in cui è stabilita — che metta a disposizione di distributori o utenti finali nell'UE un tale modello deve valutare se supera la soglia del rischio sistemico.
Per i fornitori al di sopra della soglia di calcolo di 10^25 FLOPs, gli obblighi sono automatici. Per i fornitori al di sotto di tale soglia, l'Ufficio per l'IA può comunque attivare gli obblighi dell'articolo 53 a seguito di una valutazione caso per caso basata su indicatori quali il numero di utenti, l'ampiezza delle capacità o l'integrazione in settori critici.
In pratica, la conformità richiede la creazione di solidi processi interni: un programma di valutazione dei modelli in grado di condurre red-teaming e test avversariali prima e dopo il dispiegamento; un registro dei rischi sistemici e un piano di attenuazione associato; un quadro di cybersicurezza che copra i pesi del modello, le API e l'infrastruttura di addestramento; e una procedura di risposta agli incidenti collegata all'obbligo di segnalazione verso l'Ufficio per l'IA.
In concreto, un fornitore di un modello linguistico di grandi dimensioni di frontiera reso disponibile tramite API a distributori stabiliti nell'UE deve effettuare test avversariali — come tentativi di jailbreak e sollecitazione di capacità per contenuti pericolosi — documentare i risultati, conservarli ed essere in grado di condividerli con l'Ufficio per l'IA. Se il modello produce un output che causa o rischia quasi di causare gravi danni a una persona o a un'infrastruttura critica, tale incidente deve essere segnalato tempestivamente. La partecipazione a un codice di condotta approvato dall'Ufficio per l'IA ai sensi dell'articolo 56 fornisce un percorso strutturato per dimostrare la conformità senza attendere norme armonizzate.
Obblighi principali
- Valutazioni dei modelli e test avversariali: Condurre valutazioni approfondite, inclusi red-teaming e test avversariali, utilizzando protocolli normalizzati o approvati dall'Ufficio per l'IA, prima e dopo aggiornamenti significativi del modello.
- Valutazione e attenuazione del rischio sistemico: Identificare, analizzare e attenuare i potenziali rischi sistemici a livello dell'Unione che possono derivare dallo sviluppo, dall'immissione sul mercato o dall'utilizzo del modello.
- Segnalazione degli incidenti gravi: Segnalare all'Ufficio per l'IA senza indebito ritardo qualsiasi incidente grave o malfunzionamento collegato al modello GPAI con rischio sistemico, incluse informazioni sull'incidente e le misure correttive adottate.
- Protezione della cybersicurezza: Implementare e mantenere appropriate misure di cybersicurezza che proteggano il modello, la sua infrastruttura fisica e la catena di approvvigionamento — inclusi pesi del modello, API e pipeline di addestramento — commisurate ai rischi identificati.
- Documentazione e trasparenza verso l'Ufficio per l'IA: Conservare la documentazione dei risultati delle valutazioni, delle metodologie di test e delle misure di attenuazione dei rischi; renderla disponibile all'Ufficio per l'IA su richiesta.
- Percorso di conformità tramite codici di condotta: Dimostrare la conformità con gli obblighi dell'articolo 53 aderendo ai codici di condotta sviluppati ai sensi dell'articolo 56, in attesa della disponibilità di norme armonizzate.
Relazione con altri articoli
L'articolo 53 non può essere letto in isolamento. Si costruisce direttamente sull'articolo 51, che definisce i criteri e le procedure per classificare un modello GPAI come presentante un rischio sistemico — inclusa la soglia di calcolo di 10^25 FLOPs e il potere discrezionale di designazione dell'Ufficio per l'IA. Gli obblighi di base dell'articolo 52 rimangono pienamente applicabili insieme all'articolo 53; quest'ultimo aggiunge un ulteriore livello piuttosto che sostituire il primo.
L'articolo 55 disciplina le presunzioni qualificate di conformità, mentre l'articolo 56 istituisce il meccanismo dei codici di condotta che l'articolo 53, paragrafo 2, cita esplicitamente come percorso di conformità. Il ruolo di vigilanza dell'Ufficio per l'IA sugli obblighi dell'articolo 53 è fondato negli articoli da 88 a 90, che definiscono i poteri e le procedure di applicazione. Per i fornitori che sono anche distributori di sistemi di IA ad alto rischio, i requisiti del Capo III (articoli 9–16) sulla gestione dei rischi e la documentazione tecnica possono sovrapporsi al lavoro di attenuazione del rischio sistemico richiesto dall'articolo 53, ed è opportuno coordinare i team di conformità per evitare duplicazioni.
Calendario di conformità
Il Regolamento IA UE è entrato in vigore il 1° agosto 2024 (venti giorni dopo la pubblicazione nella Gazzetta Ufficiale del 12 luglio 2024). L'articolo 53, in quanto parte del Titolo V che disciplina i modelli di IA per uso generale, è diventato applicabile il 2 agosto 2025 — dodici mesi dopo l'entrata in vigore, conformemente all'articolo 113, paragrafo 3.
Ciò significa che i fornitori di modelli GPAI con rischio sistemico erano tenuti ad avere operativi i loro programmi di valutazione, le procedure di segnalazione degli incidenti e i quadri di cybersicurezza entro quella data. Il calendario di applicazione graduale a titolo di riferimento: le pratiche di IA vietate ai sensi dell'articolo 5 si applicano dal 2 febbraio 2025 (sei mesi); gli obblighi relativi ai modelli GPAI, incluso l'articolo 53, dal 2 agosto 2025 (dodici mesi); gli obblighi relativi ai sistemi di IA ad alto rischio ai sensi dell'Allegato I dal 2 agosto 2026 (ventiquattro mesi); e i restanti obblighi sui sistemi di IA ad alto rischio dal 2 agosto 2027 (trentasei mesi). I fornitori dovrebbero inoltre monitorare gli atti delegati della Commissione europea che potrebbero precisare i requisiti di valutazione dell'articolo 53 o adeguare la soglia di calcolo man mano che la comprensione scientifica delle capacità dei modelli di frontiera evolve.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
L'articolo 53 si applica ai fornitori di modelli di IA per uso generale che sono stati classificati come presentanti un rischio sistemico — o perché sono stati addestrati utilizzando una quantità cumulativa di calcolo superiore a 10^25 FLOPs, o perché l'Ufficio per l'IA li ha designati come tali a seguito di una valutazione ai sensi dell'articolo 51.
L'articolo 52 stabilisce obblighi di base per tutti i fornitori di modelli di IA per uso generale, compresi i requisiti di documentazione e trasparenza. L'articolo 53 impone obblighi aggiuntivi, più stringenti, esclusivamente ai fornitori di modelli GPAI con rischio sistemico, tra cui test avversariali, segnalazione degli incidenti e misure di cybersicurezza.
L'articolo 53 non impone di limitare l'accesso, ma richiede ai fornitori di attuare politiche e misure tecniche commisurate al rischio sistemico. Ciò può includere controlli di accesso laddove giustificato dai risultati dei test avversariali o dalla valutazione del rischio di cybersicurezza.
Un incidente grave ai sensi dell'articolo 53 si riferisce a qualsiasi incidente o malfunzionamento di un modello GPAI con rischio sistemico che comporta, o ha una ragionevole probabilità di comportare, morte, gravi danni alla salute, grave perturbazione delle infrastrutture critiche, danni materiali o effetti negativi significativi sui diritti fondamentali. I fornitori devono segnalare tali incidenti all'Ufficio per l'IA senza indebito ritardo.
L'articolo 53 è diventato applicabile il 2 agosto 2025, dodici mesi dopo l'entrata in vigore del Regolamento il 1° agosto 2024. Ciò riflette il calendario specifico del Regolamento IA UE per le disposizioni del Titolo V che disciplinano i modelli di IA per uso generale.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.