Fornitore vs deployer ai sensi dell'AI Act UE: qual è il ruolo del tuo SaaS
# Fornitore vs deployer ai sensi dell'AI Act UE: qual è il ruolo del tuo SaaS
L'AI Act UE assegna obblighi diversi a seconda che si sia fornitore o deployer di un sistema di IA. La maggior parte delle aziende SaaS rientra in una delle due categorie. Alcune in entrambe. Classificarsi in modo errato significa svolgere troppo lavoro di conformità o, peggio, troppo poco.
Le definizioni
Fornitore (articolo 3, paragrafo 3): Una persona fisica o giuridica che sviluppa un sistema di IA o un modello di IA per uso generale e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio commerciale.
Deployer (articolo 3, paragrafo 4): Una persona fisica o giuridica che utilizza un sistema di IA sotto la propria autorità, tranne quando il sistema di IA è utilizzato nel corso di un'attività personale a carattere non professionale.
In parole semplici: se hai sviluppato il sistema di IA, sei probabilmente un fornitore. Se utilizzi il sistema di IA di un terzo all'interno del tuo prodotto, sei probabilmente un deployer.
Come si classificano tipicamente le aziende SaaS
Sei un fornitore se:
- Hai addestrato un tuo modello di IA e lo distribuisci come parte del tuo prodotto
- Hai eseguito il fine tuning di un modello fondazionale e fornisci predizioni tramite il tuo prodotto
- Hai sviluppato un sistema di IA e ne vendi l'accesso con il tuo marchio
- Prendi un modello open source, lo modifichi e lo distribuisci commercialmente
Sei un deployer se:
- Chiami le API di OpenAI e visualizzi l'output nel tuo prodotto
- Utilizzi Claude di Anthropic per alimentare una funzionalità del tuo SaaS
- Integri le API di Google Gemini per la generazione di contenuti
- Incorpori un servizio di IA di terze parti senza modificare il modello stesso
Potresti essere entrambi se:
- Utilizzi un modello di terze parti ma lo incorpori in un sistema che prende decisioni autonome (sei il fornitore del sistema, deployer del modello)
- Esegui un fine tuning di un modello di terze parti in misura sufficientemente rilevante da renderlo un nuovo sistema di IA ai sensi delle definizioni del Regolamento
Perché è importante
I fornitori hanno obblighi più gravosi rispetto ai deployer. Per i sistemi di IA ad alto rischio (Allegato III), i fornitori devono:
- Implementare un sistema di gestione dei rischi (articolo 9)
- Soddisfare i requisiti di governance dei dati (articolo 10)
- Mantenere la documentazione tecnica (articolo 11)
- Progettare per la tenuta dei registri e il logging (articolo 12)
- Garantire la trasparenza e fornire istruzioni ai deployer (articolo 13)
- Abilitare la supervisione umana (articolo 14)
- Soddisfare gli standard di accuratezza, robustezza e sicurezza informatica (articolo 15)
- Effettuare valutazioni della conformità prima di immettere il sistema sul mercato (articolo 43)
I deployer di sistemi ad alto rischio hanno un insieme di obblighi più leggero, ma comunque reale:
- Utilizzare il sistema conformemente alle istruzioni fornite dal fornitore (articolo 26, paragrafo 1)
- Garantire la supervisione umana da parte di persone con competenze adeguate (articolo 26, paragrafo 2)
- Monitorare il sistema e segnalare gli incidenti gravi (articolo 26, paragrafo 5)
- Effettuare una valutazione dell'impatto sui diritti fondamentali per determinati casi d'uso (articolo 27)
- Conservare i log generati dal sistema per almeno 6 mesi (articolo 26, paragrafo 6)
Per gli obblighi di trasparenza ai sensi dell'articolo 50, sia i fornitori che i deployer hanno doveri specifici. Se il tuo prodotto include un chatbot, genera contenuti, crea deepfake o effettua il riconoscimento delle emozioni, devi comunicarlo agli utenti indipendentemente dal fatto che tu sia fornitore o deployer.
L'errore più comune
La maggior parte delle aziende SaaS che utilizzano le API di OpenAI ritiene di non avere alcun obbligo perché non ha sviluppato il modello. Questo è sbagliato.
Se il tuo SaaS utilizza un modello di IA di terze parti e lo distribuisce in un modo che rientra nell'Allegato III (ad esempio, utilizzando l'IA per selezionare candidati a posizioni lavorative, valutare il merito creditizio o smistare richieste assicurative), sei un deployer di un sistema di IA ad alto rischio. Gli obblighi del deployer si applicano a te.
E se il tuo prodotto incorpora la chiamata API in un sistema che prende decisioni in modo autonomo, potresti essere passato dalla categoria di deployer a quella di fornitore per il sistema nel suo complesso, anche se non hai addestrato il modello sottostante.
Come determinare la tua classificazione
Passo 1: Elenca ogni funzionalità di IA presente nel tuo prodotto. Includi ogni chiamata API a un servizio di IA, ogni modello che esegui, ogni decisione automatizzata che utilizza l'IA.
Passo 2: Per ciascuna funzionalità, chiediti: hai sviluppato tu questo sistema di IA oppure stai utilizzando un sistema sviluppato da qualcun altro?
Passo 3: Verifica se hai modificato un sistema di terze parti in misura sufficiente da diventare fornitore di un nuovo sistema. Il fine tuning, l'aggiunta della generazione aumentata dal recupero (retrieval augmented generation) o la costruzione di un agente autonomo attorno a una chiamata API possono superare questa soglia.
Passo 4: Per ciascuna funzionalità, verifica se rientra in una delle categorie dell'Allegato III. In caso affermativo, la distinzione fornitore/deployer determina i tuoi specifici obblighi di conformità.
Passo 5: Documenta la motivazione della tua classificazione. È ciò che mostrerai a un'autorità di vigilanza o a un cliente enterprise che lo richiede.
Esempi
Esempio 1: SaaS con chat di assistenza clienti basata su IA
Usi le API Claude di Anthropic per alimentare un chatbot di supporto nel tuo prodotto. Non hai addestrato né eseguito il fine tuning del modello.
Classificazione: Deployer. Anthropic è il fornitore del modello di IA per uso generale. Tu lo distribuisci come chatbot.
Obblighi: Obbligo di trasparenza ai sensi dell'articolo 50, paragrafo 1 (informare gli utenti che stanno interagendo con un'IA). Se il chatbot prende decisioni che incidono sui diritti degli utenti o sull'accesso ai servizi, verifica l'Allegato III per accertare un'eventuale classificazione ad alto rischio.
Esempio 2: SaaS con screening dei curricula basato su IA
Hai sviluppato un algoritmo di valutazione che utilizza l'IA per classificare i candidati a posizioni lavorative. Hai addestrato il modello su dati storici di assunzione.
Classificazione: Fornitore di un sistema di IA ad alto rischio. Lo screening dei curricula rientra nell'Allegato III, punto 4, lettera a) (sistemi di IA utilizzati per filtrare le candidature o valutare i candidati nel processo di selezione del personale).
Obblighi: Tutti gli obblighi del fornitore per i sistemi ad alto rischio. Gestione dei rischi, governance dei dati, documentazione tecnica, valutazione della conformità.
Esempio 3: SaaS che usa OpenAI per generare testi di marketing
Chiami GPT per generare testi pubblicitari e post per i social media per i tuoi utenti.
Classificazione: Deployer. OpenAI è il fornitore del modello. Tu lo distribuisci per la generazione di contenuti.
Obblighi: Trasparenza ai sensi dell'articolo 50, paragrafo 2. Contrassegna i contenuti generati dall'IA con metadati leggibili automaticamente che indichino che sono stati generati da un sistema di IA.
Cosa fare adesso
Classifica ogni funzionalità di IA nel tuo prodotto. Annota se sei il fornitore o il deployer per ciascuna. Verifica l'Allegato III. Poi implementa gli obblighi corrispondenti al tuo ruolo.
Se desideri una guida strutturata, la nostra checklist open source copre tutti i 47 elementi di conformità: github.com/GatisOzols/eu-ai-act-checklist
Se vuoi che qualcuno effettui la classificazione per te e ti consegni un rapporto di conformità entro 5 giorni lavorativi: disclos.eu/audit
Last updated: 2026-06-04