Sotto l'EU AI Act (Regolamento UE 2024/1689) la prima domanda di conformità non è "cosa fa il mio sistema di AI", ma "che ruolo ho io rispetto a quel sistema". Gli obblighi non seguono la dimensione dell'azienda: seguono il ruolo. Le due figure che contano per la maggior parte delle imprese sono il fornitore (provider) e il deployer (l'utilizzatore professionale).

Le due figure: fornitore e deployer

Le definizioni sono all'art. 3 del Regolamento:

  • Fornitore (provider): chi sviluppa un sistema di AI — o lo fa sviluppare — e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio, a titolo oneroso o gratuito.
  • Deployer: chi utilizza un sistema di AI sotto la propria autorità nell'ambito di un'attività professionale (è escluso l'uso personale non professionale).

La stessa azienda può avere ruoli diversi su sistemi diversi: sei deployer del tool di terzi che adotti e, allo stesso tempo, potresti essere fornitore del sistema che sviluppi internamente e offri ai clienti.

Chi fa cosa: gli obblighi a confronto

Per i sistemi ad alto rischio la differenza di carico è netta.

Il fornitore (artt. 16 e seguenti) deve, tra l'altro:

  1. Istituire un sistema di gestione del rischio e una governance dei dati.
  2. Redigere la documentazione tecnica (Allegato IV) e tenere i log.
  3. Garantire trasparenza e istruzioni per l'uso, progettare la sorveglianza umana e assicurare accuratezza, robustezza e cybersicurezza.
  4. Superare la valutazione di conformità, apporre la marcatura CE e registrare il sistema nella banca dati UE.
  5. Adottare azioni correttive e mantenere un sistema di gestione della qualità.

Il deployer (art. 26) ha obblighi più leggeri ma non trascurabili:

  1. Usare il sistema secondo le istruzioni del fornitore.
  2. Affidare la sorveglianza umana a persone competenti e formate.
  3. Assicurare che i dati di input siano pertinenti allo scopo.
  4. Monitorare il funzionamento e informare fornitore e autorità in caso di rischi o incidenti gravi; conservare i log disponibili.
  5. Se datore di lavoro, informare i lavoratori interessati; garantire la trasparenza verso le persone soggette al sistema.

A questo si aggiunge, per alcuni deployer (es. organismi pubblici e servizi essenziali), la valutazione d'impatto sui diritti fondamentali (FRIA, art. 27), e — quando c'è trattamento di dati personali — la DPIA ai sensi dell'art. 35 GDPR.

Quando un deployer diventa fornitore

È il punto che sorprende di più. L'art. 25 prevede che un deployer (o un distributore, un importatore o un terzo) sia considerato fornitore di un sistema ad alto rischio — con tutti gli obblighi del fornitore — in tre casi:

  • Rebranding: appone il proprio nome o marchio su un sistema ad alto rischio già immesso sul mercato.
  • Modifica sostanziale: apporta una modifica sostanziale a un sistema ad alto rischio già sul mercato.
  • Cambio di finalità: modifica la finalità prevista di un sistema di AI (anche non ad alto rischio) in modo tale che diventi ad alto rischio.

Tradotto: personalizzare pesantemente un modello, rivenderlo sotto il proprio brand o usarlo per uno scopo diverso da quello dichiarato può spostare su di te il carico di conformità del fornitore. È una delle trappole più comuni per chi "costruisce sopra" strumenti di terzi.

Cosa significa in pratica per una PMI

  1. Mappa i ruoli, sistema per sistema: per ciascun sistema di AI, sei fornitore o deployer?
  2. Per i sistemi in cui sei deployer, procurati e conserva le istruzioni per l'uso, definisci chi fa sorveglianza umana e come monitori.
  3. Verifica se qualche uso ti fa scivolare nel ruolo di fornitore (art. 25): è lì che il rischio di non conformità cresce di colpo.
  4. Ricorda che l'alfabetizzazione AI (art. 4) vale per entrambi i ruoli.

Da dove partire

Chiarire i ruoli è il primo output di un gap assessment: una mappa dei sistemi di AI, del ruolo che hai su ciascuno e degli obblighi che ne derivano, con priorità e responsabili. È il modo più economico di evitare sia l'eccesso di zelo sia le sorprese — e il primo passo verso un'AI conforme, sicura e difendibile.