Fondamenti

Obblighi AI Act: cosa devono fare provider, deployer e operatori della filiera AI

Redazione GAPOFF · Aggiornato il 2026-05-20 · Revisione: 2026-05-20

Risposta rapida

Gli obblighi AI Act non sono uguali per tutti. Il provider sviluppa o mette sul mercato un sistema AI sotto il proprio nome; il deployer lo usa sotto la propria autorità in un contesto professionale; importatori e distributori partecipano alla catena di messa a disposizione. Una società può cambiare ruolo se modifica sostanzialmente un sistema, lo rebrandizza o lo integra in un servizio con responsabilità propria. Per questo la prima evidenza da produrre è la matrice ruolo-sistema-obbligo.

Verifica gli obblighi AI Act della tua organizzazione

Inventory sistemi AI, classificazione del rischio, governance e audit-ready.

Verifica gratis →

Perché questo tema è importante

Molte aziende leggono l’AI Act come se esistesse un unico obbligo generale di “essere compliant”. In realtà il regolamento distribuisce responsabilità lungo la filiera: chi sviluppa, chi commercializza, chi integra, chi importa, chi distribuisce e chi usa. La stessa impresa può essere deployer per un chatbot acquistato da terzi, provider per un proprio tool AI venduto ai clienti e soggetto che assume responsabilità da provider se modifica sostanzialmente un sistema originariamente sviluppato da altri.

Per GAPOFF il punto editoriale è sempre lo stesso: normativa → problema aziendale → rischio concreto → azione operativa → evidenza richiesta → modulo utile → CTA. L’AI Act non deve essere presentato come una raccolta astratta di articoli, ma come un sistema di controlli che l’organizzazione può applicare, dimostrare e aggiornare.

Quadro normativo e fonti ufficiali

Il riferimento principale è il Regolamento (UE) 2024/1689, cioè l’AI Act. Le fonti istituzionali da monitorare sono la pagina della Commissione Europea sull’AI Act, l’AI Act Service Desk, le pagine dedicate all’AI literacy, all’Articolo 6 sui sistemi ad alto rischio, all’Annex III, agli obblighi di provider, deployer, trasparenza e sanzioni.

Alla data di revisione di questo articolo va considerato anche l’accordo provvisorio del 7 maggio 2026 tra Consiglio e Parlamento sul pacchetto di semplificazione AI. Prima della pubblicazione definitiva, il coding agent o il revisore editoriale dovrà verificare lo stato dell’adozione formale e aggiornare date e note di manutenzione se necessario.

Cosa significa per l’azienda

Per un’organizzazione l’AI Act significa passare da uso spontaneo dell’intelligenza artificiale a governance documentata. Questo richiede almeno quattro livelli di controllo: inventario dei sistemi, classificazione del rischio, definizione dei ruoli e raccolta delle evidenze. Nei casi più delicati entrano in gioco valutazioni su dati personali, contratti con fornitori, human oversight, log, incidenti, formazione e reporting verso direzione o clienti.

La valutazione dipende dal caso concreto e deve essere verificata con professionisti qualificati e fonti ufficiali aggiornate. In particolare, non basta sapere che uno strumento “usa AI”: bisogna descrivere come viene usato, chi subisce gli effetti, se l’output influenza decisioni e se il sistema rientra in un’area sensibile.

Come costruire la matrice degli obblighi

Per ogni sistema AI indicare se l’azienda sviluppa, acquista, integra, rivende, rebrandizza o usa internamente.
Associare il ruolo: provider, deployer, importatore, distributore, rappresentante autorizzato o altro operatore.
Verificare se il sistema è vietato, ad alto rischio, soggetto a trasparenza o a rischio minimo.
Per i provider di sistemi ad alto rischio, verificare qualità, documentazione tecnica, log, conformità, CE marking e registrazioni.
Per i deployer di sistemi ad alto rischio, verificare istruzioni d’uso, controllo umano, monitoraggio, input data, conservazione log e informazione agli interessati ove applicabile.
Per fornitori terzi, raccogliere attestazioni, istruzioni, documentazione contrattuale e dichiarazioni sul rischio.
Stabilire quando una modifica interna rende l’azienda responsabile come provider.

Queste attività dovrebbero essere assegnate a owner interni, con data, stato, evidenza collegata e riesame periodico. La logica corretta non è completare un documento una tantum, ma mantenere un sistema aggiornato quando cambia il fornitore, il modello, il contesto d’uso o il processo aziendale.

Esempio pratico

Una software house italiana usa API di un modello generale per creare un applicativo HR venduto alle imprese. Il fornitore del modello resta responsabile degli obblighi sul modello GPAI; la software house può diventare provider del sistema AI applicativo immesso sul mercato; il cliente che lo usa per filtrare candidature sarà deployer. Se il cliente modifica le logiche decisionali o usa il sistema per uno scopo diverso dalle istruzioni, può assumere obblighi ulteriori.

Errori comuni da evitare

Dire “la responsabilità è tutta del fornitore” senza leggere il proprio ruolo di deployer.
Rivendere o integrare sistemi AI senza contratti e istruzioni d’uso chiare.
Non documentare le modifiche sostanziali.
Non distinguere modello GPAI, sistema AI e servizio finale.
Usare la stessa checklist per provider e deployer.

Come GAPOFF aiuta

Nel modulo AI Act Governance di GAPOFF ogni sistema può essere collegato al ruolo dell’organizzazione e al modulo Vendor Risk quando entra in gioco un fornitore. Questo consente di generare una matrice ruoli-obblighi, utile sia per il controllo interno sia per dimostrare ai clienti che il sistema AI è governato lungo la catena di fornitura.

L'AI Act non si gestisce con Excel.

Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo AI Act →

Checklist operativa

Ruolo dell’organizzazione definito per sistema.
Fornitore e contratti collegati.
Istruzioni d’uso raccolte.
Modifiche sostanziali tracciate.
Obblighi provider/deployer separati.
Evidenze di conformità associate.
Responsabile interno nominato.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →

FAQ

Un’azienda che usa AI è sempre provider?

No. Normalmente chi usa un sistema AI in ambito professionale è deployer, salvo casi di sviluppo, commercializzazione, rebranding o modifiche sostanziali.

Il cliente finale ha obblighi se il fornitore è compliant?

Sì. Il deployer deve usare correttamente il sistema, monitorarlo e rispettare gli obblighi applicabili al proprio contesto.

Cosa succede se modifico il sistema AI?

Una modifica sostanziale può spostare responsabilità e obblighi. La valutazione va documentata caso per caso.

Come si gestiscono API e modelli di terzi?

Serve distinguere gli obblighi sul modello, sul sistema applicativo e sull’uso finale, con contratti e documentazione coerenti.

Modulo GAPOFF AI Act

Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.

Vai al modulo AI Act →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

Libro: AI Act per il Business

Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.

Scarica il libro (PDF)

FAQ