Fornitore vs deployer ai sensi dell'AI Act UE: qual è il ruolo del tuo SaaS

# Fornitore vs deployer ai sensi dell'AI Act UE: qual è il ruolo del tuo SaaS

L'AI Act UE assegna obblighi diversi a seconda che si sia fornitore o deployer di un sistema di IA. La maggior parte delle aziende SaaS rientra in una delle due categorie. Alcune in entrambe. Classificarsi in modo errato significa svolgere troppo lavoro di conformità o, peggio, troppo poco.

Le definizioni

Fornitore (articolo 3, paragrafo 3): Una persona fisica o giuridica che sviluppa un sistema di IA o un modello di IA per uso generale e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio commerciale.

Deployer (articolo 3, paragrafo 4): Una persona fisica o giuridica che utilizza un sistema di IA sotto la propria autorità, tranne quando il sistema di IA è utilizzato nel corso di un'attività personale a carattere non professionale.

In parole semplici: se hai sviluppato il sistema di IA, sei probabilmente un fornitore. Se utilizzi il sistema di IA di un terzo all'interno del tuo prodotto, sei probabilmente un deployer.

Come si classificano tipicamente le aziende SaaS

Sei un fornitore se:

Sei un deployer se:

Potresti essere entrambi se:

Perché è importante

I fornitori hanno obblighi più gravosi rispetto ai deployer. Per i sistemi di IA ad alto rischio (Allegato III), i fornitori devono:

I deployer di sistemi ad alto rischio hanno un insieme di obblighi più leggero, ma comunque reale:

Per gli obblighi di trasparenza ai sensi dell'articolo 50, sia i fornitori che i deployer hanno doveri specifici. Se il tuo prodotto include un chatbot, genera contenuti, crea deepfake o effettua il riconoscimento delle emozioni, devi comunicarlo agli utenti indipendentemente dal fatto che tu sia fornitore o deployer.

L'errore più comune

La maggior parte delle aziende SaaS che utilizzano le API di OpenAI ritiene di non avere alcun obbligo perché non ha sviluppato il modello. Questo è sbagliato.

Se il tuo SaaS utilizza un modello di IA di terze parti e lo distribuisce in un modo che rientra nell'Allegato III (ad esempio, utilizzando l'IA per selezionare candidati a posizioni lavorative, valutare il merito creditizio o smistare richieste assicurative), sei un deployer di un sistema di IA ad alto rischio. Gli obblighi del deployer si applicano a te.

E se il tuo prodotto incorpora la chiamata API in un sistema che prende decisioni in modo autonomo, potresti essere passato dalla categoria di deployer a quella di fornitore per il sistema nel suo complesso, anche se non hai addestrato il modello sottostante.

Come determinare la tua classificazione

Passo 1: Elenca ogni funzionalità di IA presente nel tuo prodotto. Includi ogni chiamata API a un servizio di IA, ogni modello che esegui, ogni decisione automatizzata che utilizza l'IA.

Passo 2: Per ciascuna funzionalità, chiediti: hai sviluppato tu questo sistema di IA oppure stai utilizzando un sistema sviluppato da qualcun altro?

Passo 3: Verifica se hai modificato un sistema di terze parti in misura sufficiente da diventare fornitore di un nuovo sistema. Il fine tuning, l'aggiunta della generazione aumentata dal recupero (retrieval augmented generation) o la costruzione di un agente autonomo attorno a una chiamata API possono superare questa soglia.

Passo 4: Per ciascuna funzionalità, verifica se rientra in una delle categorie dell'Allegato III. In caso affermativo, la distinzione fornitore/deployer determina i tuoi specifici obblighi di conformità.

Passo 5: Documenta la motivazione della tua classificazione. È ciò che mostrerai a un'autorità di vigilanza o a un cliente enterprise che lo richiede.

Esempi

Esempio 1: SaaS con chat di assistenza clienti basata su IA

Usi le API Claude di Anthropic per alimentare un chatbot di supporto nel tuo prodotto. Non hai addestrato né eseguito il fine tuning del modello.

Classificazione: Deployer. Anthropic è il fornitore del modello di IA per uso generale. Tu lo distribuisci come chatbot.

Obblighi: Obbligo di trasparenza ai sensi dell'articolo 50, paragrafo 1 (informare gli utenti che stanno interagendo con un'IA). Se il chatbot prende decisioni che incidono sui diritti degli utenti o sull'accesso ai servizi, verifica l'Allegato III per accertare un'eventuale classificazione ad alto rischio.

Esempio 2: SaaS con screening dei curricula basato su IA

Hai sviluppato un algoritmo di valutazione che utilizza l'IA per classificare i candidati a posizioni lavorative. Hai addestrato il modello su dati storici di assunzione.

Classificazione: Fornitore di un sistema di IA ad alto rischio. Lo screening dei curricula rientra nell'Allegato III, punto 4, lettera a) (sistemi di IA utilizzati per filtrare le candidature o valutare i candidati nel processo di selezione del personale).

Obblighi: Tutti gli obblighi del fornitore per i sistemi ad alto rischio. Gestione dei rischi, governance dei dati, documentazione tecnica, valutazione della conformità.

Esempio 3: SaaS che usa OpenAI per generare testi di marketing

Chiami GPT per generare testi pubblicitari e post per i social media per i tuoi utenti.

Classificazione: Deployer. OpenAI è il fornitore del modello. Tu lo distribuisci per la generazione di contenuti.

Obblighi: Trasparenza ai sensi dell'articolo 50, paragrafo 2. Contrassegna i contenuti generati dall'IA con metadati leggibili automaticamente che indichino che sono stati generati da un sistema di IA.

Cosa fare adesso

Classifica ogni funzionalità di IA nel tuo prodotto. Annota se sei il fornitore o il deployer per ciascuna. Verifica l'Allegato III. Poi implementa gli obblighi corrispondenti al tuo ruolo.

Se desideri una guida strutturata, la nostra checklist open source copre tutti i 47 elementi di conformità: github.com/GatisOzols/eu-ai-act-checklist

Se vuoi che qualcuno effettui la classificazione per te e ti consegni un rapporto di conformità entro 5 giorni lavorativi: disclos.eu/audit

Last updated: 2026-06-04