La Commissione Ue ha pubblicato due giorni fa la versione finale del Code of Practice on Transparency of AI-Generated Content, un documento che fissa standard chiari per identificare in modo automatico i contenuti prodotti o modificati dall’intelligenza artificiale (AI) in ogni fase del loro ciclo di vita. Pur non essendo obbligatorio, il testo si rivolge ai grandi e piccoli players del mercato e si posiziona come il riferimento ufficiale per la compliance, la governance e il controllo da parte delle autorità UE e dei mercati.
Il testo risponde all’articolo 50 del Regolamento UE 2024/1689 (AI Act), che stabilisce l’obbligo di rendere trasparente chi genera contenuti AI. In concreto, il Codice ha la funzione di supportare i grandi operatori e i regolatori nello svolgimento delle attività di verifica, vigilanza e monitoraggio. Il progetto è stato redatto da sei esperti indipendenti designati dall’AI Office e ha coinvolto più di 180 stakeholder, tra provider di tecnologie AI, deployer, associazioni di categoria, mondo accademico, amministrazioni pubbliche e organizzazioni della società civile.
Oltre il Codice: il pacchetto completo
Sul fronte operativo, il Codice arriva accompagnato da strumenti utili per metterlo in atto. Si tratta, in primis, da un modulo di adesione per i signatari, in cui si specificano le misure che ogni provider si impegna a rispettare. A completare l’offerta, la Commissione ha consegnato tre documenti tecnici sull’evoluzione delle tecniche di tracciabilità e di marcatura, uno per ogni tipo di contenuto – testo, immagini e video e audio.
Non manca nemmeno una serie di iconografia europea per etichettare i contenuti AI che possono essere scaricate e utilizzate liberamente in formato vettoriale. Questi strumenti grafici saranno fondamentali per rendere visibile ai consumatori l’origine non umana di un contenuto, in particolare in contesti di informazione pubblica dove un chiarimento trasparente potrebbe salvare la credibilità.
Da una parte la Commissione ha annunciato inoltre l’uscita di linee guida dettagliate che chiariranno meglio i limiti normativi e gli aspetti che non sono coperti dal Codice per sé stesso.
Come funziona l’impegno volontario
Il Codice distingue tra obblighi e raccomandazioni. Per i firmatari, il documento include misure che sono effettivamente vincolanti, altre che sono promosse o lasciate a discrezione, ma comunque di buona pratica. Inoltre, chiarisce esplicitamente che aderire non implica necessariamente conformità assoluta all’attuale normativa, ma è certo che il documento sarà uno dei primi indicatori per gli organi di vigilanza in tutta l’UE.
Il Codice è quindi chiaramente rivolto agli sviluppatori e deployer di sistemi AI generativi, ma il testo richiama in particolare i fornitori di sistemi di AI, che dovranno garantire la marca in modo automatico e verificabile su ogni output. Per i deployer, invece, il Codice suggerisce una serie di linee guida per etichettare correttamente i contenuti modificati con AI quando la produzione o manipolazione sono visibili al pubblico.
Le due facce del Codice
L’art. 50 del Codice presenta due aspetti: una parte dei provider (produttori) e una dei deployer (utilizzatori). In sintesi, per i primi è richiesto di garantire una marca chiara e riconoscibile per ogni contenuto generato. Per i secondi, invece, il Codice richiede di dichiarare esplicitamente che un contenuto modificato da AI è stato manipolato artificialmente.
Per entrambi, l’obiettivo comune è di rendere il contenuto chiaramente identificabile: per il pubblico e, soprattutto, per le autorità che supervisioneranno i comportamenti del mercato.
Quali tecnologie obbligatorie?
Il Codice richiede, per i provider, di utilizzare almeno due strumenti obbligatori per identificare i contenuti AI generativi: i metadati firmati digitalmente e un watermarking impercettibile. Queste due tecnologie, messe insieme, soddisfano i criteri di efficacia, interoperabilità, robustezza e affidabilità richiesti per il funzionamento del sistema. In alternativa, i provider possono utilizzare una terza misura opzionale – logging o fingerprinting – che supporta il sistema di tracciamento.
I metadati firmati digitalmente garantiscono la presenza di una informazione visibile, ma esterna, al contenuto; mentre il watermarking si nasconde all’interno del contenuto stesso ed è meno facile da rimuovere. La combinazione dei due strumenti risolve la debolezza di uno da solo, aumentando la protezione complessiva del contenuto.
Quali rischi di rimozione?
Un punto cruciale è la protezione delle marcature. Il Codice chiede ai provider di evitare la rimozione di ogni segnale di tracciamento e di impedire l’uso di strumenti esterni volti a oscurare o a manipolare le informazioni di marca. L’adesione volontaria al Codice implica quindi una forma di responsabilità diretta, ma non vincolante, verso i deployer e terzi.
Perché il Codice è importante
Il Codice non è una legge né un obbligo formale, ma la sua diffusione tra i fornitori e gli utenti AI potrebbe creare nuove regole non scritte del mercato. Per i provider, aderire al Codice vuol dire non solo proteggersi da responsabilità legali, ma rendere leggibile la funzione delle loro tecnologie ad un pubblico potenzialmente confuso o manipolabile.
- Adattamento legale: il Codice aiuta a rispettare l’AI Act, prevenendo problemi legali.
- Trasparenza operativa: permette di costruire un sistema in cui i contenuti AI sono chiaramente identificati.
- Responsabilità editoriale: richiama i deployer a dichiarare chiaramente la manipolazione e/o generazione con AI.
- Protezione dell’utenza finale: aumenta la fiducia dei consumatori grazie a informazioni chiare.
Per chi invece non aderisce volontariamente al Codice, l’onere spetta di dimostrare la conformità all’articolo 50 dell’AI Act. Questo potrebbe significare investire in strumenti, processi e test personalizzati per rispondere a normative locali e regolamentazioni specifiche.
Chi dovrebbe leggere il Codice?
Sebbene il Codice non sia vincolante per tutti, è fondamentale per chi opera nel campo dell’AI generativa. Chi si dedica