Conformità all'EU AI Act se utilizzi le API di OpenAI

# Conformità all'EU AI Act se utilizzi le API di OpenAI

Chiami le API di OpenAI. GPT genera testo nel tuo prodotto. I tuoi utenti vedono l'output. Non hai addestrato un modello. Non hai costruito un sistema di IA da zero. Effettui semplicemente chiamate API.

Hai comunque obblighi ai sensi dell'EU AI Act. Ecco quali sono e come gestirli.

Il tuo ruolo ai sensi del Regolamento

Sei un deployer (responsabile del deployment). OpenAI è il fornitore del modello di IA per uso generale. Lo distribuisci all'interno del tuo prodotto sotto il tuo marchio e la tua autorità. L'EU AI Act assegna obblighi sia ai fornitori che ai deployer, e i tuoi non vengono meno per il fatto che il modello appartiene a qualcun altro.

Ciò si applica ugualmente se utilizzi Claude di Anthropic, Gemini di Google, Mistral, Cohere o qualsiasi altro modello di IA di terze parti tramite API.

Cosa si applica a te

Trasparenza ai sensi dell'Articolo 50 (obbligatoria per quasi ogni SaaS che utilizza l'IA)

Se il tuo prodotto esegue una qualsiasi di queste funzioni, devi comunicarlo agli utenti:

Chatbot o IA conversazionale (Articolo 50, paragrafo 1): Gli utenti devono sapere che stanno interagendo con un'IA prima che la conversazione inizi. Un avviso visibile all'interno o sopra l'interfaccia della chat. Non nei tuoi Termini di Servizio. Non in un articolo di supporto. Nell'interfaccia utente, nel punto di interazione.

Testo, immagini, audio o video generati dall'IA (Articolo 50, paragrafo 2): L'output deve essere contrassegnato come generato dall'IA in un formato leggibile da dispositivo automatizzato. Aggiungi data-ai-generated="true" all'elemento contenitore. Se il tuo prodotto genera immagini o video, i metadati C2PA sono lo standard emergente.

Deepfake (Articolo 50, paragrafo 4): Se il tuo prodotto crea o modifica immagini o video raffiguranti persone reali, il contenuto deve recare un'informativa visibile e leggibile da dispositivo automatizzato.

Riconoscimento delle emozioni o categorizzazione biometrica (Articolo 50, paragrafo 3): Se il tuo prodotto analizza espressioni facciali, tono della voce o categorizza gli utenti in base a dati biometrici, devi informare gli utenti prima che il trattamento abbia inizio e ottenere il loro riconoscimento.

La maggior parte dei prodotti SaaS che utilizzano le API di OpenAI rientra nella categoria 1 (chatbot) o nella categoria 2 (contenuto generato) o in entrambe. L'implementazione di queste informative richiede ore, non settimane.

Verifica dell'alto rischio ai sensi dell'Allegato III (dipende dal tuo caso d'uso)

La chiamata API in sé non è ad alto rischio. Ciò che conta è ciò che il tuo prodotto fa con l'output. Se il tuo SaaS utilizza GPT per:

Se il tuo caso d'uso figura in questo elenco, hai obblighi da deployer per un sistema di IA ad alto rischio. Ciò implica supervisione umana, registrazione, monitoraggio, segnalazione degli incidenti ed eventualmente una valutazione dell'impatto sui diritti fondamentali.

Se il tuo prodotto utilizza GPT per la generazione di contenuti, la sintesi, la traduzione o il supporto clienti, laddove l'output non determina decisioni autonome sui diritti delle persone, probabilmente non rientri nella categoria ad alto rischio. La trasparenza ai sensi dell'Articolo 50 è il tuo obbligo principale.

Conservazione dei registri

L'Articolo 26, paragrafo 6, impone ai deployer di sistemi di IA ad alto rischio di conservare i log generati dal sistema per almeno 6 mesi. Anche se non sei ad alto rischio, conservare i registri delle tue interazioni con l'IA è buona prassi. Quando un'autorità di vigilanza o un cliente aziendale chiede come funzionano le tue funzionalità di IA, devi avere la documentazione pronta.

Cosa gestisce OpenAI e cosa gestisci tu

OpenAI, in qualità di fornitore del modello, gestisce:

Tu, in qualità di deployer, gestisci:

La pubblicazione da parte di OpenAI delle proprie schede del modello e della documentazione di sistema non soddisfa i tuoi obblighi da deployer. Hai bisogno di una documentazione di conformità propria, specifica per come utilizzi il modello nel tuo prodotto.

Lista di controllo per l'implementazione

  1. Verifica le tue funzionalità di IA. Elenca ogni punto in cui il tuo prodotto chiama le API di OpenAI. Annota qual è l'input, qual è l'output e come lo vedono gli utenti.
  2. Aggiungi le informative ai sensi dell'Articolo 50. Per ciascuna funzionalità di IA, aggiungi l'appropriata informativa sulla trasparenza alla tua interfaccia utente. Avviso di chatbot per le funzionalità conversazionali. Etichette "generato dall'IA" per l'output di contenuti. Si tratta di un lavoro di copia e incolla.
  3. Esegui la verifica dell'Allegato III. Per ciascuna funzionalità di IA, verifica se il caso d'uso figura nell'Allegato III. In caso affermativo, hai ulteriori obblighi da deployer. In caso contrario, hai concluso dopo la trasparenza.
  4. Documenta tutto. Redigi un riepilogo di una pagina delle tue funzionalità di IA, del tuo criterio di classificazione e delle informative che hai implementato. Questo è ciò che presenti ai clienti aziendali e alle autorità di vigilanza.
  5. Configura il monitoraggio. Decidi come rileverai e gestirai gli incidenti relativi all'IA. Per la maggior parte dei SaaS, ciò significa registrare le interazioni con l'IA e disporre di un processo per segnalare i problemi gravi.

La scadenza

2 agosto 2026. Gli obblighi di trasparenza ai sensi dell'Articolo 50 e gli obblighi da deployer per i sistemi ad alto rischio diventano applicabili in questa data. Hai 60 giorni.

Il lavoro di implementazione per un tipico SaaS che utilizza le API di OpenAI è contenuto. Le informative sulla trasparenza richiedono un giorno. La classificazione richiede un'ora. La documentazione richiede un pomeriggio. Farlo ora ha un costo quasi nullo. Farlo dopo l'inizio dell'applicazione del Regolamento costerà alla tua pipeline commerciale ogni settimana di ritardo.

Risorse

Checklist di conformità open source con codice per le informative ai sensi dell'Articolo 50 e classificatore per l'Allegato III: github.com/GatisOzols/eu-ai-act-checklist

Audit EU AI Act a perimetro fisso per SaaS, 997 EUR, 5 giorni lavorativi: disclos.eu/audit

Last updated: 2026-06-04