Diritto digitale

AI Act: Provider, Deployer o altro? Guida ai soggetti AI Act

foto di Daniele Sorgente
AUTORE: Daniele Sorgente
d.sorgente@studiolegally.com
icona di linkedin

AI Act: sei un Provider, un Deployer o qualcos’altro?

La guida per capire il tuo ruolo (e i tuoi obblighi)

Schema organizzativo dei soggetti dell'AI Act: provider, deployer, distributore, importatore

Il Regolamento UE 2024/1689 non si rivolge solo a chi costruisce intelligenza artificiale. Capire in quale categoria rientri è il primo passo, obbligatorio, per sapere cosa devi fare e entro quando.

TL;DR:
  • Quasi tutte le imprese che usano AI in contesto professionale rientrano nel perimetro dell’AI Act, anche quando il software appartiene a terzi: ChatGPT, Copilot, CRM predittivi, software HR.
  • Il ruolo che ricopri determina gli obblighi che hai: provider e deployer vivono in mondi di compliance molto diversi.
  • La maggior parte delle PMI italiane è deployer, ma questo non significa essere al sicuro: literacy obbligatoria, supervisione umana e conservazione dei log sono già in vigore o in arrivo.
  • Personalizzare o marchiare un sistema AI di terzi può trasformarti in provider, con tutto ciò che ne consegue in termini di oneri.
  • Le scadenze sono cambiate con il Digital Omnibus: gli obblighi sui sistemi ad alto rischio slittano al 2027 e al 2028, ma il 2 agosto 2026 resta comunque una data chiave per trasparenza e sanzioni.

Non c’è via di uscita per il semplice fatto di non aver sviluppato nulla: la classificazione riguarda l’uso, non solo lo sviluppo.

1. Perché la prima domanda da farsi è “chi sono io per l’AI Act?”

L’AI Act non funziona come molte normative a cui le imprese italiane sono abituate. Non impone gli stessi obblighi a tutti: modula le responsabilità in base al ruolo che ciascun soggetto ricopre nella filiera dell’intelligenza artificiale. Questo significa che la domanda “cosa devo fare?” non ha risposta prima di aver risposto a “chi sono?”.

Il Regolamento identifica sei categorie di operatori: provider, deployer, distributore, importatore, rappresentante autorizzato e fabbricante di prodotto. Ogni categoria porta con sé un insieme diverso di obblighi, scadenze e sanzioni. Ignorare in quale categoria si rientra, o peggio presumere di non rientrare in nessuna, è l’errore più comune che vediamo tra le imprese italiane in questa fase.

Da ricordare:

  • Non è necessario “fare AI” per essere soggetti al Regolamento: basta usarla in contesto professionale.
  • La classificazione del ruolo precede quella del rischio: prima capisci chi sei, poi scopri cosa ti viene chiesto.
  • Un’impresa può ricoprire più ruoli contemporaneamente. Una software house che usa OpenAI per costruire il proprio prodotto è deployer rispetto a OpenAI e provider rispetto ai propri clienti.

2. Il Provider (Fornitore): chi sviluppa e mette il nome

Il Provider è la figura con il carico regolatorio più pesante dell’intero AI Act. È provider chiunque sviluppi un sistema di IA, oppure lo faccia sviluppare per proprio conto, e lo immetta sul mercato o lo metta in servizio con il proprio nome o marchio, a titolo oneroso o gratuito.

La chiave interpretativa è duplice. Da un lato, non serve scrivere una riga di codice: commissionare lo sviluppo a terzi è sufficiente. Dall’altro, il marchio è determinante. Un’azienda che acquista un modello AI già esistente e lo distribuisce come prodotto proprio, anche aggiungendo soltanto un’interfaccia grafica, è a tutti gli effetti un provider.

Gli obblighi sono i più articolati del Regolamento: sistema di gestione del rischio per l’intero ciclo di vita del prodotto, documentazione tecnica dettagliata, log automatici, trasparenza verso i deployer, supervisione umana integrata nel sistema, dichiarazione di conformità UE, marcatura CE per i sistemi ad alto rischio e registrazione nel database europeo. Per i sistemi ad alto rischio la scadenza operativa, dopo lo slittamento del Digital Omnibus, è il 2 dicembre 2027 per i sistemi stand-alone e il 2 agosto 2028 per quelli integrati in prodotti.

Da ricordare:

  • Il semplice fatto di apporre il proprio marchio su un sistema di terzi fa scattare gli obblighi da provider.

3. Il Deployer (Utilizzatore): la categoria che riguarda la maggior parte delle imprese

Il Deployer è il soggetto più numeroso nel perimetro dell’AI Act e anche quello più frequentemente sorpreso di esserci. Il Regolamento lo definisce come qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o organismo che utilizza un sistema di IA nell’ambito della propria attività professionale. L’unica eccezione riguarda l’uso strettamente personale e non professionale.

In termini pratici: se la tua azienda usa ChatGPT per produrre contenuti, un CRM con funzioni predittive, un software HR che valuta candidati in modo automatico o qualsiasi strumento SaaS con funzionalità AI integrate, sei un deployer. Il fatto che il sistema sia stato sviluppato da qualcun altro è del tutto irrilevante ai fini della classificazione.

La stragrande maggioranza delle imprese italiane che adottano strumenti AI è deployer e non lo sa ancora.

Gli obblighi variano in base al livello di rischio del sistema utilizzato. Per i sistemi ad alto rischio, come quelli impiegati in ambito HR, nella valutazione del credito o nella pubblica amministrazione, il deployer deve utilizzare il sistema secondo le istruzioni del provider, garantire la supervisione umana, conservare i log per almeno sei mesi e informare le persone coinvolte. In certi casi è richiesta anche una valutazione preventiva sull’impatto sui diritti fondamentali, la cosiddetta FRIA. Questi obblighi, con il Digital Omnibus, si applicano dal 2 dicembre 2027 e dal 2 agosto 2028: un rinvio che non è un liberi tutti, ma un allungamento della finestra di preparazione.

C’è però una scadenza più vicina che riguarda proprio i deployer che usano AI generativa: dal 2 dicembre 2026 scattano gli obblighi di trasparenza sui contenuti generati artificialmente e il nuovo divieto dei sistemi che generano contenuti intimi non consensuali o materiale pedopornografico. Chi espone un chatbot a clienti o dipendenti deve inoltre informare l’utente che sta interagendo con una macchina.

L’obbligo di AI literacy, cioè di garantire che il personale abbia competenze adeguate nell’uso degli strumenti AI, è già in vigore dal 2 febbraio 2025. Il Digital Omnibus ha chiarito che va attuato secondo un criterio di proporzionalità, tenendo conto dei rischi dei sistemi utilizzati e delle caratteristiche dell’organizzazione: per una PMI che usa un paio di strumenti significa una formazione interna proporzionata, qualche regola d’uso scritta e consapevolezza di base, non l’assunzione di un esperto.

Da ricordare:

  • Usare un tool SaaS con AI integrata è sufficiente per essere deployer. Non serve adottare una piattaforma AI dedicata.
  • L’obbligo di AI literacy è già scattato: i dipendenti che usano strumenti AI devono poter dimostrare competenze adeguate.
  • La prima scadenza davvero vicina per chi usa AI generativa non è l’alto rischio, ma la trasparenza sui contenuti generati, fissata al 2 dicembre 2026.

4. Distributore e Importatore: ruoli spesso trascurati ma non esenti

Distributore e Importatore sono figure meno discusse nel dibattito pubblico sull’AI Act, ma tutt’altro che marginali. Lo sono in particolare per le imprese che operano nella catena di fornitura IT o che commercializzano software di origine internazionale.

Il Distributore è qualsiasi soggetto nella catena di approvvigionamento, diverso dal provider e dall’importatore, che rende disponibile un sistema AI sul mercato europeo. In sostanza, chi acquista e rivende sistemi AI senza averli sviluppati né importati direttamente. I suoi obblighi includono la verifica che il sistema disponga della necessaria documentazione di conformità, l’obbligo di non distribuire sistemi che presentino rischi noti e il dovere di informare provider e autorità competenti in caso di anomalie.

L’Importatore è il soggetto stabilito nell’UE che immette sul mercato un sistema AI proveniente da un paese terzo. Deve verificare che il provider extraeuropeo abbia completato la valutazione di conformità e che il sistema sia correttamente documentato. Non può immettere in commercio un sistema ad alto rischio se ha motivi fondati per ritenere che non sia conforme.

L’importatore risponde direttamente in caso di immissione sul mercato di un sistema non conforme, anche quando il problema è imputabile al provider estero. Sia il distributore che l’importatore possono essere riqualificati come provider se apportano modifiche sostanziali al sistema o vi appongono il proprio marchio.

5. Il Rappresentante Autorizzato: quando serve e perché

Il Rappresentante Autorizzato è una figura che le imprese italiane tendono a ignorare, ma che diventa rilevante ogni volta che si adotta un sistema AI sviluppato fuori dall’Unione Europea. Il Regolamento prevede che i provider stabiliti in paesi terzi debbano nominare un rappresentante autorizzato all’interno dell’UE, con il compito di agire in loro nome per tutto ciò che riguarda gli obblighi di conformità.

In termini operativi: se acquistate un sistema AI da un fornitore americano o di qualsiasi altro paese extraeuropeo, è opportuno verificare che abbiano effettuato questa nomina. In assenza del rappresentante autorizzato, la responsabilità può ricadere sull’importatore e, in certi scenari, anche sul deployer.

Prima di adottare un sistema AI da provider extraeuropei, verificare l’esistenza del rappresentante autorizzato nell’UE è un passaggio concreto di due diligence. Il rappresentante autorizzato non si sostituisce al provider nelle responsabilità, ma è il punto di contatto ufficiale con le autorità di vigilanza.

6. La zona grigia: quando il tuo ruolo può cambiare

Uno degli aspetti più insidiosi dell’AI Act è che il ruolo di un operatore può cambiare nel tempo, spesso senza che se ne accorga. Il Regolamento prevede che un distributore, un importatore o un deployer possano essere riqualificati come provider in due circostanze precise.

La prima è il rebranding: chi appone il proprio nome o marchio su un sistema ad alto rischio già presente sul mercato diventa, a tutti gli effetti, il nuovo provider, con tutti gli obblighi che ne derivano. La seconda è la modifica sostanziale: chi altera in modo significativo le prestazioni, il comportamento o il contesto d’uso di un sistema ad alto rischio assume la qualifica di provider.

La cosiddetta trappola del fine-tuning merita un’attenzione particolare. Se una PMI personalizza un modello AI con i propri dati aziendali in misura ritenuta sostanziale dall’autorità di vigilanza, rischia di essere riclassificata come provider, con obblighi documentali enormemente più pesanti rispetto a quelli del semplice deployer.

Da ricordare:

  • Aggiungere il proprio logo a un sistema AI di terzi non è un’operazione neutra: può configurare il rebranding.
  • Il fine-tuning con dati proprietari su sistemi ad alto rischio richiede una valutazione legale prima di procedere.
  • Gli obblighi tra operatori possono essere distribuiti contrattualmente, ma non eliminati.

7. Le scadenze aggiornate dopo il Digital Omnibus

Il quadro delle date è cambiato di recente e vale la pena fissarlo con chiarezza, perché è il punto su cui circolano più informazioni ormai superate. Il 29 giugno 2026 il Consiglio dell’Unione europea ha adottato in via definitiva il Digital Omnibus sull’IA, il pacchetto che modifica l’AI Act rinviando gli obblighi più stringenti sui sistemi ad alto rischio.

Una precisazione tecnica che, per uno studio legale, non è un dettaglio: al momento in cui scriviamo il regolamento modificativo non è ancora stato pubblicato in Gazzetta ufficiale dell’UE. Entrerà in vigore il terzo giorno successivo alla pubblicazione. Fino a quel momento, sul piano strettamente giuridico, continuano ad applicarsi il testo dell’AI Act del 2024 e il suo calendario originario. In pratica: le nuove date sono ormai un orizzonte di pianificazione affidabile, ma diventano vincolanti solo con la pubblicazione. Pianificare esclusivamente sulle nuove scadenze prima di quel passaggio è una scommessa, non una certezza.

Questo il calendario, confrontando le date originarie con quelle definitive:

Scadenza Cosa riguarda Stato
2 febbraio 2025 Divieti pratiche inaccettabili e AI literacy Già in vigore
2 agosto 2025 Obblighi modelli GPAI e governance europea Già in vigore
2 agosto 2026 Applicazione generale: trasparenza, enforcement, impianto sanzionatorio In vigore
2 dicembre 2026 Trasparenza sui contenuti generati (watermarking) e divieto nudifier/CSAM Nuova
2 dicembre 2027 Sistemi ad alto rischio stand-alone (era 2 agosto 2026) Rinviata
2 agosto 2028 Sistemi ad alto rischio integrati in prodotti (era 2 agosto 2027) Rinviata

Il messaggio di fondo è che il rinvio dell’alto rischio non equivale a una sospensione. La mappatura e la classificazione dei sistemi in uso non dipendono dalla disponibilità degli standard tecnici e vanno avviate ora: sono la parte di lavoro che, comunque vadano le date, un’impresa deve avere già fatto.

8. Come capire il tuo ruolo: schema operativo

Determinare il proprio ruolo non è sempre immediato, ma il percorso logico è riproducibile. La domanda di partenza non è “usiamo AI?” ma “cosa facciamo con quel sistema?”.

Domanda No
Hai sviluppato o commissionato il sistema AI? Sei Provider Vai alla prossima
Hai apposto il tuo marchio su un sistema di terzi? Sei Provider Vai alla prossima
Hai modificato sostanzialmente un sistema di terzi? Sei Provider Vai alla prossima
Usi il sistema in contesto professionale? Sei Deployer Non sei nel perimetro
Rivendi sistemi AI senza svilupparli né importarli? Sei Distributore
Sei stabilito nell’UE e immetti sistemi di provider extraUE? Sei Importatore

Un’impresa può trovarsi in più caselle contemporaneamente. Una software house italiana che usa OpenAI per costruire il proprio prodotto è deployer rispetto a OpenAI e provider rispetto ai propri clienti. Gli obblighi si sommano.

FAQ

La mia azienda usa solo ChatGPT e altri LLM: siamo soggetti all’AI Act?
Sì. Chiunque utilizzi sistemi AI in contesto professionale rientra nella categoria dei deployer. L’obbligo di AI literacy per il personale è già in vigore. Per i sistemi a rischio limitato, l’obbligo principale riguarda la trasparenza verso gli utenti finali, e per i contenuti generati artificialmente scatta dal 2 dicembre 2026.
Abbiamo integrato un modello AI open source nel nostro gestionale: siamo provider o deployer?
Dipende dall’entità della personalizzazione. Se l’integrazione è limitata e non ha alterato il comportamento del modello, è probabile che siate deployer. Se avete eseguito fine-tuning con dati propri o modificato l’architettura, potreste essere riqualificati come provider. La risposta richiede una valutazione caso per caso.
Un cliente ci chiede di certificare che i nostri strumenti AI sono conformi all’AI Act: cosa dobbiamo fornire?
Dipende dal vostro ruolo. Come deployer, dovete dimostrare di aver utilizzato il sistema secondo le istruzioni del provider, garantito la supervisione umana e conservato i log. Come provider di sistemi ad alto rischio, serve la documentazione tecnica completa, la dichiarazione di conformità UE e, dove applicabile, la registrazione nel database europeo.
Il rinvio delle scadenze sull’alto rischio significa che possiamo aspettare?
No. Il rinvio riguarda gli obblighi documentali e di conformità dei sistemi ad alto rischio, e diventa peraltro vincolante solo con la pubblicazione in Gazzetta ufficiale. La mappatura dei sistemi in uso, la loro classificazione, l’AI literacy e gli obblighi di trasparenza restano attività da avviare subito.

Non sai ancora in quale categoria rientri?

Il momento di capirlo è adesso. Con il Digital Omnibus il calendario è cambiato, ma la mappatura dei tuoi strumenti AI resta un’urgenza indipendente dalle nuove scadenze.

✓ Mappatura degli strumenti AI in uso e classificazione del ruolo

✓ Analisi del livello di rischio dei sistemi adottati

✓ Supporto alla predisposizione della documentazione e policy di AI literacy

Richiedi una consulenza

Leggi gli altri articoli
Regole di recesso e pulsante obbligatorio per gli e-commerce
Trasparenza Retributiva in Italia | Direttiva UE
ATS con Intelligenza Artificiale per screening dei CV
AI Literacy: l’obbligo di formazione AI per le imprese
Le prossime scadenze NIS2

Ti serve qualche informazione in più sull'articolo? Scrivici a info@studiolegally.com