AI ACT e Fornitori di Soluzioni AI: Cosa c’è da sapere

L’entrata in vigore dell’AI Act (Regolamento UE 2024/1689) sta cambiando profondamente il rapporto tra aziende e fornitori di soluzioni basate su Intelligenza Artificiale.

Non si tratta più soltanto di acquistare un software o attivare un servizio online: l’utilizzo di sistemi AI introduce nuovi obblighi di trasparenza, controllo, sicurezza e responsabilità condivisa lungo tutta la filiera tecnologica.

Uno degli aspetti più importanti introdotti dal regolamento europeo riguarda infatti la distinzione tra:

• Provider (Fornitore): chi sviluppa o immette sul mercato sistemi di Intelligenza Artificiale;
• Deployer (Utilizzatore): chi utilizza concretamente tali sistemi all’interno della propria organizzazione.

Questa distinzione è fondamentale perché gli obblighi previsti dall’AI Act cambiano a seconda del ruolo ricoperto.

IL RUOLO DEL FORNITORE (PROVIDER)

Il Provider è il soggetto che sviluppa, commercializza o distribuisce un sistema AI con il proprio marchio. Nel caso dei sistemi ad alto rischio o dei modelli AI generativi (come gli LLM), il regolamento europeo impone obblighi molto rigorosi.

Tra i principali obblighi del fornitore troviamo:

• gestione e valutazione continua dei rischi;
• conformità tecnica e normativa del sistema;
• mantenimento di documentazione tecnica e log di funzionamento;
• trasparenza verso clienti e utilizzatori;
• monitoraggio del sistema anche dopo la vendita;
• registrazione dei sistemi ad alto rischio nelle banche dati europee.

Il fornitore deve inoltre spiegare chiaramente:

• capacità del sistema;
• limiti operativi;
• possibili errori;
• livelli di affidabilità;
• necessità di supervisione umana.

Questo significa che le aziende non possono più acquistare strumenti AI “alla cieca”, senza comprendere realmente come funzionino e quali rischi comportino.

IL RAPPORTO TRA FORNITORE E AZIENDA UTILIZZATRICE

L’AI Act introduce un principio molto importante: la conformità non termina con la semplice vendita del software.

Provider e Deployer devono collaborare in modo continuo.

Per questo motivo i contratti con i fornitori AI dovranno sempre più prevedere:

• responsabilità chiare;
• supporto tecnico;
• obblighi di aggiornamento;
• gestione degli incidenti;
• misure di sicurezza;
• trasparenza sugli algoritmi;
• modalità di utilizzo corretto del sistema.

Dal punto di vista dei Data Controller (Titolari del trattamento), questo aspetto è particolarmente delicato perché l’utilizzo di strumenti AI può avere impatti diretti anche sul GDPR, sulla protezione dei dati personali e sulla sicurezza informatica.

In molti casi sarà necessario verificare:

• dove vengono trattati i dati;
• se i dati vengono utilizzati per addestrare modelli;
• quali misure di sicurezza siano adottate;
• se esistano trasferimenti extra UE;
• quali log e tracciamenti siano conservati.

ATTENZIONE: L’UTILIZZATORE PUÒ DIVENTARE “FORNITORE”

Uno degli aspetti meno conosciuti dell’AI Act riguarda la possibilità che un semplice utilizzatore diventi, dal punto di vista giuridico, un vero e proprio Provider.

Questo può accadere quando un’azienda:

• modifica in modo sostanziale un sistema AI acquistato;
• applica il proprio marchio a una soluzione di terzi;
• cambia la finalità d’uso del sistema;
• integra o personalizza l’AI creando nuove funzionalità.

In questi casi l’azienda potrebbe assumere direttamente gli obblighi del fornitore, con conseguenze molto rilevanti in termini di conformità, documentazione tecnica, valutazione dei rischi e responsabilità.

AI GENERATIVA E RISCHI OPERATIVI

Particolare attenzione viene dedicata ai modelli AI generativi e ai sistemi GPAI (General Purpose AI), come chatbot, assistenti virtuali e modelli linguistici avanzati.

I fornitori di questi sistemi dovranno:

• rispettare le norme sul diritto d’autore;
• fornire documentazione tecnica;
• gestire e mitigare i rischi sistemici;
• garantire livelli adeguati di trasparenza.

Per aziende e collaboratori questo significa che l’uso dell’AI non può più essere improvvisato.

I Data Processor, ovvero dipendenti e collaboratori autorizzati, dovranno essere formati su:

• uso corretto degli strumenti AI;
• gestione dei dati inseriti nei prompt;
• verifica critica degli output generati;
• rischi legati a bias, errori e informazioni inesatte.

SCADENZE E SANZIONI

L’AI Act entra progressivamente in applicazione con questi termini:

• dal 2 febbraio 2025 per i sistemi vietati;
• dal 2 agosto 2025 per molte regole sui modelli GPAI (General Purpose AI);
• dal 2 agosto 2026 per l’applicazione completa del regolamento.

Le sanzioni previste sono molto elevate:
fino a 35 milioni di euro o al 7% del fatturato annuo mondiale per le violazioni più gravi.

CONCLUSIONI

L’AI Act sta trasformando il modo in cui le aziende dovranno scegliere, acquistare e utilizzare soluzioni di Intelligenza Artificiale. Non sarà più sufficiente affidarsi al fornitore o considerare l’AI come un semplice strumento tecnologico.

Serviranno:

• governance;
• controllo contrattuale;
• formazione interna;
• valutazione dei rischi;
• supervisione umana;
• integrazione tra compliance AI, GDPR e cybersecurity.

Per questo motivo è di primaria importanza che Data Controller, management e collaboratori comprendano che l’Intelligenza Artificiale non rappresenta soltanto un’opportunità operativa, ma anche una nuova area di responsabilità normativa e organizzativa.

È fondamentale quindi per le aziende verificare che i contratti con i fornitori siano allineati ai requisiti di trasparenza, accountability e monitoraggio definiti dall’AI Act.