Il General Purpose AI Model (GPAI) è un foundation model di intelligenza artificiale (IA), in italiano identificabile come modello di IA per finalità generali.
Esso è attualmente definito nell’AI Act (Regolamento UE 2024/1689) come «un modello di IA, anche laddove tale modello di IA sia addestrato con grandi quantità di dati utilizzando l'autosupervisione su larga scala, che sia caratterizzato da una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato» (art. 3, n. 63).
In termini più semplici, i modelli GPAI sono modelli di intelligenza artificiale che, grazie all’addestramento basato su grandi quantità di dati, sono capaci di affrontare diversi tipi di compiti. Tali modelli possono essere utilizzati da soli oppure come componenti inseriti all’interno di altri sistemi di IA. Non rientrano in questa definizione i modelli che sono ancora in fase di ricerca, sviluppo o prototipazione, purché non siano ancora stati immessi sul mercato.
L’AI Act distingue due categorie all’interno dei modelli GPAI: da una parte vi sono i modelli generici, dall’altra quelli che presentano rischi sistemici. Questi ultimi, a causa della loro potenziale incidenza su scala europea, sono sottoposti a una regolamentazione più rigorosa rispetto ai primi.
In linea generale, tutti i modelli GPAI sono soggetti ad alcuni obblighi comuni. In particolare, è richiesta la garanzia di un adeguato livello di trasparenza, la nomina di un rappresentante stabilito nell’Unione Europea che possa fungere da interlocutore ufficiale con le autorità competenti, l’assicurazione del rispetto delle norme in materia di diritto d’autore.
Per quanto riguarda i modelli GPAI considerati a rischio sistemico, il quadro regolatorio si intensifica. Questi modelli devono adempiere non solo agli obblighi previsti per i modelli generici, ma anche a ulteriori doveri sostanziali. In particolare, devono effettuare una valutazione tecnica del modello seguendo protocolli e strumenti standardizzati che riflettano lo stato dell’arte. Per questi modelli è necessario analizzare e mitigare i potenziali rischi sistemici a livello dell’Unione, individuando anche le fonti di tali rischi. In caso di incidenti gravi, è previsto l’obbligo di raccogliere, documentare e trasmettere senza indebito ritardo tutte le informazioni rilevanti all’AI Office o, in alternativa, alle autorità nazionali competenti, indicando anche le eventuali misure correttive adottate. Infine, tali modelli devono essere progettati in modo da assicurare un livello adeguato di protezione in materia di cybersecurity, sia per quanto riguarda il modello stesso che per l’infrastruttura fisica che ne consente il funzionamento.