Ai sensi dell’articolo 50 dell’AI Act, a decorrere dal 2 agosto 2026, i fornitori e i deployer di sistemi di IA sono soggetti a un obbligo di trasparenza nei confronti degli utenti (I). Tale obbligo conosce rare eccezioni (II) e comporta implicazioni pratiche nelle modalità di concezione e di commercializzazione dei sistemi di IA (III).
I. L’obbligo di trasparenza
Il regolamento prevede che i fornitori informino gli utenti (i) del fatto che essi interagiscono direttamente con un sistema di IA e (ii) che i contenuti generati o manipolati dall’IA debbano essere chiaramente marcati e rilevabili come generati o manipolati da un’IA.
I deployer, dal canto loro, devono (i) informare l’utente del funzionamento del sistema di IA quando quest’ultimo è idoneo al riconoscimento delle emozioni o alla categorizzazione biometrica, (ii) comunicargli che i contenuti sono stati generati o manipolati da un’IA in caso di generazione o manipolazione di deepfake o di testi pubblicati al fine di informare il pubblico su questioni di interesse pubblico.
II. Le eccezioni all’obbligo di trasparenza
In via generale, l’obbligo di trasparenza non si applica quando i sistemi sono autorizzati dalla legge a rilevare, prevenire, istruire o perseguire reati penali.
Oltre a tale deroga generale, si applicano altre eccezioni specifiche elencate di seguito. Tali eccezioni sono il risultato di un bilanciamento con le libertà fondamentali di iniziativa economica, di creazione e di espressione e di informazione.
- L’obbligo per i fornitori di marcare i contenuti generati o manipolati dall’IA non trova applicazione quando i sistemi di IA svolgono una funzione di assistenza per la formattazione standard o non modificano in modo sostanziale i dati di input forniti dal deployer o la loro semantica.
- L’obbligo per i deployer di comunicare che i contenuti «deepfake» sono stati generati o manipolati da un’IA è limitato alla divulgazione dell’esistenza di tali contenuti, in modo da non ostacolare la visualizzazione o il godimento dell’opera quando i contenuti fanno parte di un’opera o di un programma manifestamente artistico, creativo, satirico, fittizio o analogo.
- L’obbligo per i deployer di comunicare che i contenuti diretti a informare il pubblico su questioni di interesse pubblico sono stati generati dall’IA non trova applicazione quando il contenuto è stato oggetto di un processo di revisione umana o di controllo editoriale e quando una persona fisica o giuridica assume la responsabilità editoriale della pubblicazione del contenuto.
III. Le implicazioni pratiche dell’obbligo di trasparenza
Per cercare di comprendere quali saranno le implicazioni pratiche dell’obbligo di trasparenza per i fornitori e i deployer, occorre fare riferimento alla bozza di Codice di buone pratiche sulla trasparenza dei contenuti generati dall’IA, elaborato sotto l’egida della Commissione europea, che è destinato a strutturare e concretizzare gli obblighi previsti dall’articolo 50 dell’AI Act.
Il progetto di Codice di buone pratiche raccomanda che i fornitori integrino nei metadati dei contenuti generati le informazioni previste dal regolamento, corredate di meccanismi di firma digitale che ne garantiscano l’integrità e, per quanto possibile, di «watermark» (filigrane impercettibili) direttamente integrati nell’output, che possano sopravvivere alle operazioni di trasformazione nonché alle eventuali alterazioni del contenuto. In caso di impossibilità tecnica di implementazione di tali misure, il progetto di Codice di buone pratiche contempla il ricorso a meccanismi complementari di «logging» (registrazione) o di «digital footprint» (impronte digitali).
Secondo il progetto, tali requisiti dovrebbero essere integrati dai fornitori sin dalla fase di progettazione dei sistemi di IA ed essere collocati a monte, al fine di facilitare la conformità degli operatori a valle e di garantire la tracciabilità lungo l’intera catena del valore.
Per garantire l’efficacia dell’obbligo di trasparenza, il progetto di Codice di buone pratiche prevede che i fornitori mettano gratuitamente a disposizione un’interfaccia (ad esempio un’API o un’interfaccia utente) o uno strumento di rilevazione accessibile al pubblico che consenta agli utenti e alle altre parti interessate di verificare, mediante punteggi di affidabilità, se un contenuto sia stato generato o manipolato dal loro sistema o modello di IA.
Inoltre, il progetto prevede la creazione di un’icona comune all’interno dell’Unione europea per segnalare i contenuti generati o manipolati dall’IA.
Il progetto è particolarmente dettagliato: a titolo esemplificativo, esamineremo le raccomandazioni previste per i «deepfake» (A) e per i contenuti diretti a informare su questioni di interesse pubblico (B).
A) Le raccomandazioni per i «deepfake»
Il progetto di Codice di buone pratiche sulla trasparenza dei contenuti generati dall’IA raccomanda che:
- I «deepfake» siano segnalati in modo chiaro e distinto sin dalla prima esposizione.
- In caso di video in tempo reale, vi sia una visualizzazione continua di un’icona non intrusiva accompagnata da un avvertimento all’inizio del video.
- In caso di video non in tempo reale, vi sia una segnalazione mediante icona visibile accompagnata da un avvertimento all’inizio e/o un’icona permanente.
- In caso di contenuto multimodale (immagine-testo-suono, ecc.), vi sia un’icona visualizzata in modo permanente, chiaramente visibile senza azione dell’utente.
- In caso di immagine «deepfake», vi sia un’icona fissa, visibile e distinta dall’immagine, non occultata.
- In caso di audio < 30 secondi, vi sia un breve avvertimento sonoro all’inizio che indichi l’origine artificiale.
- In caso di audio di lunga durata (podcast, ecc.), vi siano avvertimenti sonori ripetuti.
B) Le raccomandazioni per i contenuti diretti a informare su questioni di interesse pubblico
Il progetto di Codice di buone pratiche sulla trasparenza dei contenuti generati dall’IA raccomanda che, per i contenuti diretti a informare l’utente, il deployer adotti procedure e conservi documentazione proporzionate alla propria dimensione ma che includano almeno i seguenti elementi:
- l’identificazione della persona fisica o giuridica responsabile sul piano editoriale (nome, funzione e recapiti);
- una panoramica delle misure organizzative e tecniche concrete nonché delle risorse umane predisposte al fine di garantire un controllo umano o editoriale adeguato prima della pubblicazione dei contenuti testuali generati o manipolati dall’IA, tenendo conto, ove del caso, delle specificità nazionali (fattori linguistici, culturali o contestuali che possano influenzare l’interpretazione o l’impatto);
- la data di revisione e di approvazione;
- un riferimento alla versione finale approvata del contenuto (ad esempio, nome del file, URL o qualsiasi altro identificativo interno).
In conclusione, per le imprese, è consigliabile non attendere l’applicazione formale dell’articolo 50, bensì di anticipare sin d’ora l’attuazione di meccanismi di trasparenza al contempo giuridicamente affidabili, tecnicamente robusti e conformi a quello che è destinato a imporsi quale standard europeo di trasparenza in materia di contenuti generati dall’intelligenza artificiale.
