L'Ufficio AI dell'UE, istituito all'interno della Commissione europea, è il principale organismo a livello UE che supervisiona i modelli GPAI e coordina l'applicazione del Regolamento sull'IA. Questa pagina spiega il suo mandato, i poteri investigativi, l'autorità sanzionatoria e come interagisce con le autorità nazionali di vigilanza del mercato.
Cos'è l'Ufficio AI dell'UE?
L'Ufficio AI dell'UE (formalmente: Ufficio per l'Intelligenza Artificiale) è l'organismo a livello UE istituito all'interno della Commissione europea per supervisionare l'attuazione e l'applicazione del Regolamento UE sull'IA — con uno specifico mandato che copre i modelli di IA per uso generale (GPAI).
A differenza delle tradizionali agenzie UE (come ENISA o EBA), l'Ufficio AI non è un'autorità di regolamentazione indipendente. È strutturato come ufficio amministrativo all'interno della Direzione Generale delle Reti di comunicazione, dei contenuti e della tecnologia (DG CONNECT). Questa struttura gli conferisce accesso diretto alle risorse della Commissione e all'impostazione dell'agenda, ma significa anche che le sue decisioni di applicazione sono tecnicamente decisioni della Commissione soggette a revisione giudiziaria dell'UE.
L'Ufficio AI è stato creato in anticipo — istituito formalmente nel febbraio 2024, diversi mesi prima che il Regolamento sull'IA venisse pubblicato nella Gazzetta Ufficiale (luglio 2024) e fosse entrato in vigore (agosto 2024). Questo anticipo è stato deliberato: la regolamentazione GPAI è sensibile al fattore tempo dato il ritmo dello sviluppo dei modelli fondazionali, e la Commissione voleva che l'infrastruttura di applicazione fosse pronta prima che entrassero in vigore gli obblighi più urgenti.
Base Giuridica e Mandato
La base giuridica dell'Ufficio AI dell'UE è il Capitolo VIII del Regolamento UE sull'IA (Art. 64–68), integrato dalla Decisione della Commissione del 24 gennaio 2024 che lo ha formalmente istituito.
Il suo mandato principale copre tre aree:
1. Supervisione dei Modelli GPAI (Applicazione Diretta)
L'Ufficio AI ha competenza esclusiva a livello UE per la supervisione dei fornitori di modelli di IA per uso generale. Ciò include:
- Monitoraggio della conformità agli obblighi del Capitolo V (trasparenza, documentazione tecnica, rispetto del diritto d'autore, rendicontazione dell'efficienza energetica per i modelli a rischio sistemico)
- Richiesta e revisione della documentazione tecnica dei fornitori GPAI
- Conduzione di valutazioni dei modelli GPAI — inclusi test avversariali ed esercizi di red team — per valutare le capacità e i rischi sistemici
- Emissione di avvisi quando un modello GPAI presenta rischio sistemico
- Irrogazione di sanzioni e misure correttive
2. Coordinamento Transfrontaliero (Sistemi AI ad Alto Rischio)
Per i sistemi AI ad alto rischio, l'applicazione è principalmente nazionale. Ma l'Ufficio AI svolge un ruolo chiave di coordinamento:
- Facilitare lo scambio di informazioni tra le autorità nazionali di vigilanza del mercato (MSA)
- Gestire i casi in cui un sistema AI ad alto rischio non conforme circola in più Stati membri
- Fornire competenze tecniche e orientamenti alle autorità nazionali
- Richiedere indagini congiunte dove l'impatto transfrontaliero è significativo
3. Supporto Scientifico e Tecnico
L'Ufficio AI gestisce un Comitato Consultivo Scientifico composto da esperti AI indipendenti (Art. 68). Questo comitato fornisce:
- Valutazioni tecniche delle capacità e dei rischi dei modelli GPAI
- Consulenza sulle soglie di classificazione (ad es. la soglia di calcolo per i modelli GPAI a rischio sistemico)
- Input nello sviluppo di norme, codici di condotta e metodologie di valutazione
Poteri Investigativi e di Applicazione
L'Ufficio AI dell'UE dispone di poteri investigativi significativi sui fornitori di modelli GPAI, tra cui:
Richieste di Informazioni
L'Ufficio AI può richiedere qualsiasi informazione a un fornitore GPAI che ritenga necessaria per i suoi compiti di supervisione (Art. 91). I fornitori devono rispondere entro il termine stabilito dall'Ufficio. La mancata fornitura di informazioni, o la fornitura di informazioni false o fuorvianti, è essa stessa un reato sanzionabile.
Valutazioni e Test
L'Ufficio AI può richiedere che un fornitore GPAI sottoponga il proprio modello a valutazione, tra cui:
- Valutazioni delle capacità (identificazione di capacità pericolose come l'assistenza CBRN, la facilitazione di attacchi informatici o la manipolazione su scala)
- Valutazioni della sicurezza e dell'allineamento
- Test avversariali / red teaming
L'Ufficio può condurre valutazioni in proprio, o affidarle a terze parti qualificate o ad autorità nazionali. Il Regolamento sull'IA richiede che i fornitori GPAI con modelli a rischio sistemico forniscano accesso ai propri modelli per scopi di valutazione.
Ispezioni in Loco
Per i modelli GPAI a rischio sistemico, l'Ufficio AI può condurre ispezioni in loco delle strutture del fornitore, con l'assistenza delle autorità nazionali nello Stato membro interessato. È generalmente richiesto un preavviso, a meno che l'Ufficio non abbia specifici motivi per ritenere che il preavviso pregiudicherebbe l'indagine.
Misure Provvisorie
In presenza di un rischio urgente, l'Ufficio AI può imporre misure provvisorie provvisorie per prevenire danni gravi e irreversibili. Queste misure devono essere proporzionate e sono soggette a revisione.
Sanzioni
Le sanzioni sono strutturate su tre livelli:
| Violazione | Sanzione Massima |
|---|---|
| Non conformità agli obblighi GPAI (Capitolo V) | €15M o 3% del fatturato annuo mondiale |
| Fornitura di informazioni non corrette/incomplete | €7,5M o 1,5% del fatturato annuo mondiale |
| Non conformità agli obblighi GPAI a rischio sistemico | €30M o 6% del fatturato annuo mondiale |
| Violazioni generali applicabili a tutti i soggetti | €35M o 7,5% (pratiche vietate) |
Per le PMI e le start-up, si applica il minore tra l'importo fisso e la percentuale del fatturato. L'Ufficio AI deve tener conto della natura, della gravità, della durata e delle conseguenze dell'infrazione, nonché dei livelli di cooperazione mostrati dal fornitore.
Il Codice di Condotta GPAI
Uno strumento chiave dell'Ufficio AI è il Codice di Condotta GPAI — uno strumento volontario tecnico sviluppato attraverso un processo multi-stakeholder che traduce gli obblighi del Capitolo V del Regolamento sull'IA in orientamenti concreti di implementazione.
Il processo del Codice di Condotta è iniziato nell'ottobre 2024, con l'Ufficio AI che ha convocato gruppi di lavoro di fornitori GPAI, ricercatori accademici, organizzazioni della società civile e autorità nazionali. Copre:
- Obblighi di trasparenza per i fornitori GPAI (sintesi dei dati di addestramento, documentazione delle capacità)
- Procedure di rispetto del diritto d'autore
- Metodologie di valutazione del modello per la valutazione del rischio sistemico
- Norme di sicurezza per i modelli GPAI a rischio sistemico
La conformità al Codice di Condotta crea una presunzione di conformità con gli obblighi corrispondenti del Capitolo V. Questo è un vantaggio significativo: i fornitori che seguono il Codice possono fare affidamento su di esso nei procedimenti di applicazione piuttosto che dover dimostrare la conformità da zero.
Il Comitato AI
Il Comitato AI (Art. 65) opera parallelamente all'Ufficio AI. È composto da:
- Un rappresentante per ogni Stato membro dell'UE (autorità di vigilanza nazionali)
- Un rappresentante del Garante europeo della protezione dei dati (GEPD)
- Un rappresentante della Commissione (presidente non votante)
Le funzioni del Comitato AI includono:
- Emissione di pareri e raccomandazioni all'Ufficio AI e alla Commissione
- Coordinamento degli approcci di vigilanza nazionali
- Consulenza sulla classificazione dei sistemi e dei modelli AI
- Contributo allo sviluppo di norme e metodologie di valutazione
Il Comitato è un organismo consultivo e di coordinamento — non ha poteri diretti di applicazione. Tuttavia, i suoi pareri hanno un peso significativo e l'Ufficio AI è tenuto a prenderli in considerazione.
Autorità Nazionali di Vigilanza del Mercato
Per i sistemi AI ad alto rischio (non i modelli GPAI), le autorità nazionali di vigilanza del mercato (MSA) sono i principali organismi di applicazione. Ogni Stato membro deve designare almeno un'MSA responsabile dell'applicazione del Regolamento sull'IA nel proprio territorio.
Le MSA hanno l'autorità di:
- Condurre attività di vigilanza del mercato
- Richiedere documentazione tecnica e registri di accesso da fornitori e deployer
- Ordinare misure correttive (ritiro, richiamo, restrizione dell'accesso al mercato)
- Irrogare sanzioni ai sensi della legislazione di attuazione nazionale
L'Ufficio AI coordina con le MSA attraverso il Comitato AI e attraverso la cooperazione bilaterale, ma non le comanda. Gli Stati membri sono responsabili del finanziamento e del potenziamento delle proprie MSA.
Implicazioni Pratiche per i Fornitori GPAI
Se sviluppate o dispieghete un modello di IA per uso generale accessibile sul mercato UE, l'Ufficio AI dell'UE è il vostro principale interlocutore normativo. In pratica, ciò significa:
-
Registrate e documentate in modo proattivo — l'Ufficio AI si aspetta che i fornitori abbiano la documentazione tecnica pronta prima di essere interpellati. Affrettarsi a preparare la documentazione dopo un'indagine non è una postura di conformità solida.
-
Partecipate al Codice di Condotta — la partecipazione al processo del Codice di Condotta GPAI e l'adozione delle sue disposizioni creano una presunzione di conformità e dimostrano buona fede nei confronti dell'Ufficio AI.
-
Conoscete il vostro status di rischio sistemico — la soglia attuale per la classificazione del rischio sistemico è il calcolo di addestramento superiore a 10^25 FLOPs. Se il vostro modello è vicino o al di sopra di questa soglia, impegnatevi proattivamente con l'Ufficio AI sugli obblighi di valutazione.
-
Preparatevi alle valutazioni — se sviluppate un modello GPAI con rischio sistemico, dovete essere in grado di fornire accesso al modello per la valutazione. Ciò richiede un'infrastruttura tecnica per l'accesso API controllato, la cooperazione ai test avversariali e la documentazione dei risultati del red teaming.
-
Monitorate gli avvisi e i pareri — l'Ufficio AI pubblica orientamenti, avvisi e pareri sul proprio sito web. Non si tratta di normative vincolanti, ma segnalano le priorità di applicazione e le posizioni interpretative che modelleranno le indagini.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
L'Ufficio AI dell'UE è un ufficio all'interno della Commissione europea, istituito ai sensi dell'Art. 64 del Regolamento UE sull'IA. Non è un'agenzia di regolamentazione indipendente — opera nell'ambito dell'autorità della Commissione. È guidato da un Direttore e dispone di un personale di circa 140 funzionari. È stato formalmente istituito nel febbraio 2024, prima che il Regolamento sull'IA entrasse in vigore, e ha iniziato le operazioni a pieno regime nell'agosto 2024.
L'Ufficio AI dell'UE ha diretta competenza di supervisione e applicazione per i fornitori di modelli GPAI (modelli di IA per uso generale come i grandi modelli linguistici). Per i sistemi AI ad alto rischio e gli altri sistemi AI coperti dal Regolamento, la responsabilità principale dell'applicazione spetta alle autorità nazionali di vigilanza del mercato, non all'Ufficio AI. L'Ufficio AI coordina con le autorità nazionali e gestisce le questioni sistemiche transfrontaliere.
L'Ufficio AI dell'UE può irrogare sanzioni ai fornitori di modelli GPAI per: non conformità agli obblighi del Capitolo V (fino a €15 milioni o 3% del fatturato annuo mondiale, a seconda di quale sia il maggiore); fornitura di informazioni non corrette o fuorvianti all'Ufficio (fino a €7,5 milioni o 1,5% del fatturato annuo mondiale); e per i modelli GPAI con rischio sistemico, ulteriori obblighi possono generare sanzioni fino a €30 milioni o 6% del fatturato annuo mondiale.
Il Comitato AI (Art. 65) è l'organismo consultivo di alto livello composto da rappresentanti delle autorità di vigilanza nazionali di tutti gli Stati membri dell'UE. Consiglia la Commissione e l'Ufficio AI, coordina gli approcci di vigilanza nazionali e emette pareri e raccomandazioni. L'Ufficio AI attua; il Comitato consiglia e coordina.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.