Conformità all'EU AI Act se utilizzi le API di OpenAI
# Conformità all'EU AI Act se utilizzi le API di OpenAI
Chiami le API di OpenAI. GPT genera testo nel tuo prodotto. I tuoi utenti vedono l'output. Non hai addestrato un modello. Non hai costruito un sistema di IA da zero. Effettui semplicemente chiamate API.
Hai comunque obblighi ai sensi dell'EU AI Act. Ecco quali sono e come gestirli.
Il tuo ruolo ai sensi del Regolamento
Sei un deployer (responsabile del deployment). OpenAI è il fornitore del modello di IA per uso generale. Lo distribuisci all'interno del tuo prodotto sotto il tuo marchio e la tua autorità. L'EU AI Act assegna obblighi sia ai fornitori che ai deployer, e i tuoi non vengono meno per il fatto che il modello appartiene a qualcun altro.
Ciò si applica ugualmente se utilizzi Claude di Anthropic, Gemini di Google, Mistral, Cohere o qualsiasi altro modello di IA di terze parti tramite API.
Cosa si applica a te
Trasparenza ai sensi dell'Articolo 50 (obbligatoria per quasi ogni SaaS che utilizza l'IA)
Se il tuo prodotto esegue una qualsiasi di queste funzioni, devi comunicarlo agli utenti:
Chatbot o IA conversazionale (Articolo 50, paragrafo 1): Gli utenti devono sapere che stanno interagendo con un'IA prima che la conversazione inizi. Un avviso visibile all'interno o sopra l'interfaccia della chat. Non nei tuoi Termini di Servizio. Non in un articolo di supporto. Nell'interfaccia utente, nel punto di interazione.
Testo, immagini, audio o video generati dall'IA (Articolo 50, paragrafo 2): L'output deve essere contrassegnato come generato dall'IA in un formato leggibile da dispositivo automatizzato. Aggiungi data-ai-generated="true" all'elemento contenitore. Se il tuo prodotto genera immagini o video, i metadati C2PA sono lo standard emergente.
Deepfake (Articolo 50, paragrafo 4): Se il tuo prodotto crea o modifica immagini o video raffiguranti persone reali, il contenuto deve recare un'informativa visibile e leggibile da dispositivo automatizzato.
Riconoscimento delle emozioni o categorizzazione biometrica (Articolo 50, paragrafo 3): Se il tuo prodotto analizza espressioni facciali, tono della voce o categorizza gli utenti in base a dati biometrici, devi informare gli utenti prima che il trattamento abbia inizio e ottenere il loro riconoscimento.
La maggior parte dei prodotti SaaS che utilizzano le API di OpenAI rientra nella categoria 1 (chatbot) o nella categoria 2 (contenuto generato) o in entrambe. L'implementazione di queste informative richiede ore, non settimane.
Verifica dell'alto rischio ai sensi dell'Allegato III (dipende dal tuo caso d'uso)
La chiamata API in sé non è ad alto rischio. Ciò che conta è ciò che il tuo prodotto fa con l'output. Se il tuo SaaS utilizza GPT per:
- Selezionare candidati a un impiego o classificare curriculum (Allegato III, punto 4, lettera a)): alto rischio
- Valutare il merito creditizio o stabilire premi assicurativi (Allegato III, punto 5, lettera b)): alto rischio
- Effettuare il triage di pazienti o assistere nella diagnosi medica (Allegato III, punto 1, lettera a)): alto rischio
- Adottare decisioni sull'accesso all'istruzione (Allegato III, punto 3, lettera a)): alto rischio
- Assistere le autorità di contrasto nella profilazione (Allegato III, punto 6): alto rischio
Se il tuo caso d'uso figura in questo elenco, hai obblighi da deployer per un sistema di IA ad alto rischio. Ciò implica supervisione umana, registrazione, monitoraggio, segnalazione degli incidenti ed eventualmente una valutazione dell'impatto sui diritti fondamentali.
Se il tuo prodotto utilizza GPT per la generazione di contenuti, la sintesi, la traduzione o il supporto clienti, laddove l'output non determina decisioni autonome sui diritti delle persone, probabilmente non rientri nella categoria ad alto rischio. La trasparenza ai sensi dell'Articolo 50 è il tuo obbligo principale.
Conservazione dei registri
L'Articolo 26, paragrafo 6, impone ai deployer di sistemi di IA ad alto rischio di conservare i log generati dal sistema per almeno 6 mesi. Anche se non sei ad alto rischio, conservare i registri delle tue interazioni con l'IA è buona prassi. Quando un'autorità di vigilanza o un cliente aziendale chiede come funzionano le tue funzionalità di IA, devi avere la documentazione pronta.
Cosa gestisce OpenAI e cosa gestisci tu
OpenAI, in qualità di fornitore del modello, gestisce:
- Gli obblighi relativi ai modelli di IA per uso generale (Articoli da 51 a 56)
- La valutazione del rischio sistemico, se il modello vi è soggetto (Articolo 55)
- La documentazione tecnica del modello stesso
- La segnalazione degli incidenti gravi correlati al modello
Tu, in qualità di deployer, gestisci:
- Le informative sulla trasparenza nell'interfaccia utente del tuo prodotto
- La classificazione ai sensi dell'Allegato III del tuo specifico caso d'uso
- La supervisione umana e il monitoraggio
- La registrazione e la conservazione dei dati
- La segnalazione degli incidenti relativi al tuo deployment
- La valutazione dell'impatto sui diritti fondamentali, se applicabile
- Le risposte alle richieste di clienti e autorità di vigilanza in merito alla tua conformità
La pubblicazione da parte di OpenAI delle proprie schede del modello e della documentazione di sistema non soddisfa i tuoi obblighi da deployer. Hai bisogno di una documentazione di conformità propria, specifica per come utilizzi il modello nel tuo prodotto.
Lista di controllo per l'implementazione
- Verifica le tue funzionalità di IA. Elenca ogni punto in cui il tuo prodotto chiama le API di OpenAI. Annota qual è l'input, qual è l'output e come lo vedono gli utenti.
- Aggiungi le informative ai sensi dell'Articolo 50. Per ciascuna funzionalità di IA, aggiungi l'appropriata informativa sulla trasparenza alla tua interfaccia utente. Avviso di chatbot per le funzionalità conversazionali. Etichette "generato dall'IA" per l'output di contenuti. Si tratta di un lavoro di copia e incolla.
- Esegui la verifica dell'Allegato III. Per ciascuna funzionalità di IA, verifica se il caso d'uso figura nell'Allegato III. In caso affermativo, hai ulteriori obblighi da deployer. In caso contrario, hai concluso dopo la trasparenza.
- Documenta tutto. Redigi un riepilogo di una pagina delle tue funzionalità di IA, del tuo criterio di classificazione e delle informative che hai implementato. Questo è ciò che presenti ai clienti aziendali e alle autorità di vigilanza.
- Configura il monitoraggio. Decidi come rileverai e gestirai gli incidenti relativi all'IA. Per la maggior parte dei SaaS, ciò significa registrare le interazioni con l'IA e disporre di un processo per segnalare i problemi gravi.
La scadenza
2 agosto 2026. Gli obblighi di trasparenza ai sensi dell'Articolo 50 e gli obblighi da deployer per i sistemi ad alto rischio diventano applicabili in questa data. Hai 60 giorni.
Il lavoro di implementazione per un tipico SaaS che utilizza le API di OpenAI è contenuto. Le informative sulla trasparenza richiedono un giorno. La classificazione richiede un'ora. La documentazione richiede un pomeriggio. Farlo ora ha un costo quasi nullo. Farlo dopo l'inizio dell'applicazione del Regolamento costerà alla tua pipeline commerciale ogni settimana di ritardo.
Risorse
Checklist di conformità open source con codice per le informative ai sensi dell'Articolo 50 e classificatore per l'Allegato III: github.com/GatisOzols/eu-ai-act-checklist
Audit EU AI Act a perimetro fisso per SaaS, 997 EUR, 5 giorni lavorativi: disclos.eu/audit
Last updated: 2026-06-04