Il 90% delle organizzazioni che utilizzano sistemi AI sono deployer che integrano modelli di terze parti — OpenAI, Anthropic, Azure AI o strumenti AI SaaS. Capite i vostri obblighi: cosa deve fornirvi il fornitore, cosa dovete fare e quando diventate voi stessi un fornitore.
La Realtà dell'AI di Terze Parti: La Maggior Parte delle Organizzazioni è Deployer
La maggior parte delle organizzazioni europee che utilizzano sistemi AI non sono né OpenAI, né Mistral, né un laboratorio di ricerca. Integrano modelli esistenti — tramite un'API, una piattaforma SaaS, un componente Azure AI o un plugin di strumento aziendale. Salesforce Einstein, Copilot per Microsoft 365, un chatbot HR basato su un grande modello linguistico, una soluzione di scoring creditizio acquistata da un fornitore specializzato: in tutti questi casi, siete un deployer di un sistema AI sviluppato da qualcun altro.
Questa posizione è occupata dalla stragrande maggioranza delle organizzazioni colpite dal Regolamento UE sull'IA. Porta obblighi precisi — diversi da quelli del fornitore, ma non trascurabili. Può anche evolversi: se modificate il sistema o lo rivendete, il vostro status giuridico cambia.
Capire la vostra posizione nella catena del valore AI è il primo passo in qualsiasi sforzo di conformità.
I Vostri Obblighi come Deployer
Gli obblighi del deployer differiscono a seconda del livello di rischio del sistema AI che state utilizzando.
Per i Sistemi AI ad Alto Rischio (Allegato III)
Se dispieghete un sistema AI di terze parti che si qualifica come ad alto rischio (valutazione del merito creditizio, identificazione biometrica, screening per il reclutamento, gestione delle infrastrutture critiche, ecc.), i vostri obblighi ai sensi dell'Art. 26 sono:
1. Seguire le istruzioni per l'uso Utilizzare il sistema solo per lo scopo previsto e in conformità con le istruzioni che il fornitore è tenuto a fornire. Utilizzare un sistema AI ad alto rischio al di fuori dell'ambito validato è una non conformità anche se siete solo un deployer.
2. Assegnare la supervisione umana Designare una persona fisica con la competenza, l'autorità e le risorse per eseguire una supervisione umana significativa sugli output del sistema AI. Questa persona deve essere in grado di capire cosa sta facendo il sistema, rilevare le anomalie e sovrascrivere o fermare il sistema quando necessario.
3. Garantire la qualità dei dati di input Garantire che i dati che inserite nel sistema siano pertinenti, sufficientemente rappresentativi e appropriati per lo scopo previsto nel vostro contesto specifico di dispiegamento. Un sistema validato su una popolazione può comportarsi diversamente sulla vostra — questo è il vostro rischio da gestire.
4. Monitorare il funzionamento e rilevare le anomalie Monitorare attivamente il funzionamento del sistema per anomalie, output inattesi o degrado delle prestazioni. Questa non è responsabilità del fornitore nel dispiegamento — è vostra.
5. Conservare i registri Attivare e conservare i registri automatizzati prodotti dal sistema per il periodo richiesto dal Regolamento (e da qualsiasi normativa settoriale che possa applicarsi). Non disattivate la registrazione per risparmiare spazio di archiviazione.
6. Segnalare gli incidenti gravi Se venite a conoscenza di un incidente grave o di un malfunzionamento — uno che ha causato o potrebbe causare morte, danno grave, violazioni dei diritti fondamentali o danni significativi ai beni — notificate il fornitore senza ingiustificato ritardo. In alcuni casi (in particolare dove il dispiegamento coinvolge servizi rivolti al pubblico o attività adiacenti all'attività di contrasto), potrebbe essere richiesta anche la segnalazione diretta all'autorità nazionale di vigilanza del mercato.
7. Valutazione dell'impatto sui diritti fondamentali (enti pubblici) Se siete un ente pubblico, o un soggetto privato che dispiega sistemi AI in aree che potrebbero incidere sui diritti fondamentali (sanità, servizi sociali, istruzione, attività di contrasto), dovete condurre una Valutazione dell'Impatto sui Diritti Fondamentali prima del dispiegamento (Art. 27).
Per i Sistemi AI Solo per la Trasparenza (Art. 50)
Se dispieghete un chatbot, un sistema di contenuto generato dall'IA o uno strumento di riconoscimento delle emozioni che non è ad alto rischio ma rientra negli obblighi di trasparenza dell'Art. 50, dovete:
- Informare gli utenti che stanno interagendo con un sistema AI (Art. 50(1))
- Garantire che i contenuti generati dall'IA siano contrassegnati tecnicamente (Art. 50(4)) ove applicabile
- Informare le persone esposte quando viene utilizzato il riconoscimento delle emozioni o la categorizzazione biometrica (Art. 50(2)–(3))
Questi obblighi si applicano anche quando si utilizza un'API o uno strumento SaaS di terze parti. Il fornitore è responsabile della creazione della capacità tecnica; voi siete responsabili di attivarla e garantire che la comunicazione raggiunga effettivamente gli utenti.
Per i Sistemi AI a Rischio Minimo
Nessun obbligo legale specifico ai sensi del Regolamento sull'IA. Si applicano codici di condotta volontari. La buona pratica di governance raccomanda comunque la documentazione di base dei sistemi AI in uso e la revisione periodica delle loro prestazioni.
Cosa Richiedere al Vostro Fornitore AI di Terze Parti
La vostra capacità di adempiere agli obblighi del deployer dipende direttamente da ciò che il fornitore vi fornisce. Il Regolamento UE sull'IA richiede ai fornitori di sistemi AI ad alto rischio di fornire informazioni specifiche — e i fornitori di modelli GPAI hanno obblighi di documentazione paralleli. Utilizzate questa lista di controllo quando acquistate AI di terze parti:
Per Qualsiasi Sistema AI
- Descrizione del sistema: Cosa fa il sistema, quali input accetta, quali output produce e quali decisioni può influenzare?
- Scopo previsto: Per quali casi d'uso esattamente il sistema è stato progettato, validato e approvato?
- Limitazioni note: In quali condizioni il sistema funziona male? Quali popolazioni, lingue o tipi di dati sono al di fuori del suo ambito validato?
- Istruzioni per l'uso: L'intero set di istruzioni che il fornitore è tenuto a fornire ai sensi dell'Art. 13 per i sistemi ad alto rischio
Specificatamente per i Sistemi ad Alto Rischio
- Dichiarazione di Conformità o sintesi dei risultati della valutazione della conformità
- Documentazione della gestione del rischio — quali rischi sono stati identificati e come sono stati mitigati?
- Risultati del bias e del fairness testing — quali caratteristiche protette sono state testate, quali metriche sono state utilizzate e quali risultati sono stati trovati?
- Metriche di prestazione — accuratezza, tassi di falsi positivi/negativi e prestazioni disaggregate per gruppi demografici rilevanti
- Capacità di registrazione — conferma che il sistema genera i registri richiesti dall'Art. 12 e istruzioni per accedervi e conservarli
- Processo di notifica degli incidenti — chi contattare, in quale periodo di tempo e tramite quale canale quando si verifica un incidente grave
- Politica di aggiornamento — come il fornitore vi notifica gli aggiornamenti materiali e quale rivalidazione è richiesta dopo gli aggiornamenti?
Per i Modelli GPAI (API e Accesso ai Modelli Fondazionali)
- Scheda del modello o sintesi tecnica — capacità, limitazioni, sintesi dei dati di addestramento, risultati della valutazione
- Dichiarazione di conformità al diritto d'autore — come il fornitore affronta il diritto d'autore per i dati di addestramento e gli output
- Politica di uso accettabile — quali casi d'uso sono vietati dal fornitore e cosa succede se li violate?
- Condizioni di elaborazione dei dati — come il fornitore gestisce i vostri dati di input? Vengono utilizzati per ulteriori addestramenti?
Quando Diventate un Fornitore
L'Art. 25 del Regolamento UE sull'IA è cruciale per gli utenti di AI di terze parti: definisce quando un deployer si trasforma in un fornitore e assume tutti gli obblighi del fornitore.
Diventate un fornitore quando:
1. Modificate Sostanzialmente un Sistema AI ad Alto Rischio
Se prendete un sistema AI ad alto rischio e apportate modifiche sostanziali che vanno oltre quanto previsto dal fornitore — modificando il modello, riaddestrando sui vostri dati, alterando la logica di base — siete ora un fornitore di un sistema nuovo o sostanzialmente modificato. Si applicano tutti gli obblighi del fornitore: valutazione della conformità, documentazione tecnica, marcatura CE, registrazione nella banca dati UE.
Domanda chiave: La vostra personalizzazione è "utilizzo nei parametri previsti" o "sviluppo di una nuova capacità"? La messa a punto di un modello sui vostri dati di dominio può essere o meno una modifica sostanziale a seconda del grado di cambiamento e se influisce sul profilo di rischio.
2. Modificate lo Scopo Previsto ad Alto Rischio
Se prendete un sistema non classificato come ad alto rischio e lo dispieghete per un caso d'uso ad alto rischio — utilizzando un classificatore di testo generico per prendere decisioni occupazionali, ad esempio — avete modificato lo scopo previsto in un modo che attiva la classificazione ad alto rischio. Diventate il fornitore di un sistema AI ad alto rischio e dovete rispettare tutti gli obblighi del fornitore per quel dispiegamento.
3. Immettete il Sistema sul Mercato sotto il Vostro Nome
Se acquistate o concedete in licenza un sistema AI e lo rivendete o lo offrite ad altri come vostro prodotto (white-labelling), lo immettete sul mercato sotto il vostro nome e diventate il fornitore. Questo è comune nel settore SaaS: l'integrazione di un modello di terze parti nel vostro prodotto lo rende vostra responsabilità come fornitore.
4. Apportate Modifiche Sostanziali a un Modello GPAI
Se prendete un modello GPAI e apportate modifiche sostanziali alle sue capacità o al suo caso d'uso — oltre alla messa a punto nei parametri previsti dal fornitore — potreste diventare un fornitore di un nuovo modello GPAI con i vostri obblighi del Capitolo V.
Protezioni Contrattuali per i Deployer
Poiché la vostra conformità dipende da ciò che il fornitore vi fornisce, i vostri contratti con i fornitori AI di terze parti sono uno strumento critico di conformità. Clausole chiave da includere:
Diritti di Informazione
- Diritto di ricevere e a una versione regolarmente aggiornata delle istruzioni per l'uso
- Diritto di accedere alla dichiarazione di conformità e alla sintesi della valutazione della conformità
- Diritto di ricevere i risultati del bias testing e le metriche di prestazione
- Diritto di ricevere documentazione degli aggiornamenti materiali del modello prima del dispiegamento
Gestione degli Incidenti
- Obbligo del fornitore di notificarvi eventuali incidenti gravi o vulnerabilità di cui viene a conoscenza, entro un periodo di tempo definito
- Canale e processo chiari per segnalare gli incidenti al fornitore
- Impegno del fornitore a cooperare con le vostre indagini sugli incidenti e le indagini normative
Diritti di Audit
- Diritto di effettuare audit o di ricevere rapporti di audit sulla conformità del fornitore agli obblighi del Regolamento sull'IA
- Diritto di richiedere documentazione aggiornata quando si verificano modifiche significative
Obblighi di Aggiornamento
- Il fornitore deve notificarvi prima di dispiegare aggiornamenti materiali al sistema AI
- Il fornitore deve comunicarvi se un aggiornamento costituisce una modifica sostanziale che richiede una nuova validazione
- Continuità della documentazione — la documentazione tecnica aggiornata deve essere fornita con ogni aggiornamento materiale
Allocazione della Responsabilità
- Chiarezza su quale parte è responsabile di quali obblighi ai sensi dell'Art. 25
- Indennizzo per le perdite derivanti dalla non conformità del fornitore agli obblighi del fornitore
- Disposizioni di limitazione della responsabilità che non minino la vostra capacità di adempiere agli obblighi normativi
Il Mercato AI dei Fornitori: Cosa Osservare
Il mercato per gli strumenti e i servizi AI si sta evolvendo rapidamente e la postura di conformità al Regolamento UE sull'IA dei fornitori varia significativamente:
- I principali fornitori cloud e AI (Microsoft, Google, AWS, OpenAI, Anthropic) hanno investito molto nella governance AI e nella documentazione di conformità GPAI. Le loro condizioni di servizio e le schede del modello forniscono più informazioni della maggior parte degli altri fornitori.
- I fornitori AI verticali specializzati (tecnologia HR, tech legale, fintech, healthtech) sono in diverse fasi di prontezza al Regolamento UE sull'IA. Molti sono PMI che non hanno ancora mappato completamente i propri obblighi.
- IA integrata negli strumenti SaaS (funzionalità AI in CRM, ERP, strumenti di produttività) potrebbe non essere commercializzata come "prodotto AI" — ma se prende o influenza decisioni consequenziali sulle persone fisiche, si applicano gli obblighi del Regolamento UE sull'IA.
I team di approvvigionamento dovrebbero aggiungere lo screening della conformità al Regolamento sull'IA alla due diligence sui fornitori — chiedendo ai fornitori di attestare il loro status di conformità, fornire documentazione di conformità per i sistemi ad alto rischio e impegnarsi a condividere le informazioni in modo continuativo man mano che il panorama normativo si sviluppa.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sì, come deployer. Il fornitore dell'API (OpenAI, Anthropic) è il fornitore del modello GPAI e porta gli obblighi GPAI. Se costruite un'applicazione sulla loro API e la rendete disponibile agli utenti, diventate il fornitore di quell'applicazione (un sistema AI). Avete obblighi del deployer verso il modello GPAI sottostante e obblighi del fornitore per il vostro sistema AI.
Per i sistemi AI ad alto rischio: il fornitore (come provider) deve fornire le istruzioni per l'uso (Art. 13) e una sintesi della valutazione della conformità o la dichiarazione di conformità. Per i modelli GPAI: i fornitori devono fornire documentazione tecnica e informazioni necessarie per la conformità a valle. Richiedete contrattualmente: descrizione del sistema, limitazioni note, risultati del bias testing, metriche di prestazione e procedure di segnalazione degli incidenti.
Contrattualmente, potete allocare le responsabilità tra le parti — ma la responsabilità normativa non può essere delegata contrattualmente. Se dispieghete un sistema AI ad alto rischio, avete obblighi del deployer indipendentemente dal vostro accordo. Utilizzate i contratti per garantire che il fornitore vi fornisca ciò di cui avete bisogno per adempiere ai vostri obblighi, non per sottrarvi a essi.
Il Regolamento UE sull'IA si applica ai sistemi AI immessi sul mercato europeo indipendentemente da dove è stabilito il fornitore. I fornitori non UE devono designare un mandatario autorizzato nell'UE (Art. 22) che ha gli stessi obblighi legali di un fornitore stabilito nell'UE. Verificate che il fornitore abbia un mandatario autorizzato prima di dispiegare il suo sistema AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.