AI Act sistemi ad alto rischio obblighi per provider e deployer

Pubblicato il 27 aprile 2026 | Redazione Desk — Bollettino Ufficiale

L’AI Act (Reg. UE 2024/1689) attribuisce obblighi distinti a provider e deployer di sistemi di IA ad alto rischio: i provider rispondono della conformità tecnica e della registrazione nella banca dati europea, i deployer eseguono la valutazione d’impatto sui diritti fondamentali (FRIA) prima della messa in servizio. Uno studio legale che assiste aziende che sviluppano o utilizzano questi sistemi deve oggi mappare il ruolo del proprio cliente nella catena di responsabilità e verificare quali adempimenti siano già esigibili. Le scadenze del Regolamento sono scaglionate, ma alcune disposizioni sui sistemi ad alto rischio si applicano dal 2 agosto 2026.

Chi assiste imprese che sviluppano o adottano sistemi di intelligenza artificiale deve oggi rispondere a una domanda precisa: il cliente è provider o deployer? La risposta non è solo tassonomica — determina quali adempimenti spettano a lui, con quale scadenza e con quale esposizione sanzionatoria. Il Regolamento UE 2024/1689 (AI Act) costruisce una filiera di responsabilità in cui ogni anello ha compiti propri, e la confusione tra i ruoli è il primo errore da evitare in sede di consulenza.

L’architettura di controllo per i sistemi ad alto rischio — dettagliata in un’analisi pubblicata da Agenda Digitale — si fonda su trasparenza, tracciabilità e valutazione preventiva. Provider e deployer condividono responsabilità coordinate ma asimmetriche, mentre la banca dati europea e la FRIA rendono la conformità verificabile dalle autorità nazionali di vigilanza.

Il contesto normativo

Il Reg. UE 2024/1689 è entrato in vigore il 1° agosto 2024 con applicazione scaglionata. Le disposizioni sui sistemi di IA ad alto rischio di cui all’Allegato III — tra cui sistemi usati in ambito occupazionale, creditizio, scolastico e di accesso a servizi pubblici — diventeranno pienamente applicabili dal 2 agosto 2026 (art. 113, par. 2, lett. b). Gli obblighi di trasparenza per sistemi a rischio limitato scattano prima, dal 2 agosto 2025. Le sanzioni, disciplinate dall’art. 99, arrivano fino a 30 milioni di euro o al 6% del fatturato mondiale annuo per le violazioni più gravi commesse dai provider. Per i deployer le sanzioni raggiungono 15 milioni di euro o il 3% del fatturato. Sul piano nazionale, il d.lgs. di recepimento non è ancora adottato, ma l’autorità competente designata è l’ACN (Agenzia per la Cybersicurezza Nazionale), ai sensi del d.l. 138/2024 conv. in l. 166/2024.

Cosa cambia per lo studio

1. Qualificazione del ruolo del cliente. Prima di qualsiasi altro adempimento, occorre stabilire se il cliente è provider (sviluppa o immette sul mercato il sistema), deployer (lo usa in un contesto professionale) o entrambi. L’art. 3 del Regolamento definisce i termini in modo tassativo: sbagliare questa classificazione rende inutile tutta la consulenza successiva.
2. Obblighi documentali del provider. Il provider di un sistema ad alto rischio deve redigere la documentazione tecnica (Allegato IV), implementare il sistema di gestione della qualità (art. 17), registrare il sistema nella banca dati EU AI Office prima dell’immissione sul mercato e rilasciare la dichiarazione di conformità UE con marcatura CE (art. 48).
3. FRIA per i deployer. I deployer rientranti nelle categorie dell’art. 27 — enti pubblici e privati che usano sistemi ad alto rischio in settori sensibili — devono condurre una Fundamental Rights Impact Assessment prima della messa in servizio. La FRIA non è una formalità: richiede analisi specifica del contesto d’uso, delle categorie di soggetti interessati e delle misure di mitigazione adottate.
4. Obblighi di sorveglianza post-mercato. Il provider mantiene un sistema di monitoraggio continuo (art. 72) e deve notificare gli incidenti gravi all’autorità di vigilanza entro 15 giorni dalla conoscenza (art. 73). Lo studio che assiste il provider deve impostare subito un protocollo interno di incident reporting.
5. Clausole contrattuali tra provider e deployer. L’art. 25 prevede che i deployer possano assumere in tutto o in parte gli obblighi del provider tramite accordo scritto. Nei contratti di licenza o SaaS relativi a sistemi di IA, questa clausola va negoziata esplicitamente per evitare che il cliente si trovi esposto a obblighi che non si aspettava di dover gestire.

Attenzione a

Non confondere la FRIA con il DPIA del GDPR. Le due valutazioni possono coesistere e in parte sovrapporsi, ma hanno oggetto, metodologia e base giuridica diverse. La DPIA risponde all’art. 35 del Reg. UE 2016/679 e riguarda il trattamento dei dati personali; la FRIA risponde all’art. 27 dell’AI Act e valuta l’impatto del sistema di IA sui diritti fondamentali in senso ampio, inclusi diritti non collegati alla privacy. Proporre al cliente una sola delle due come sostituta dell’altra è un errore che crea lacune di conformità rilevanti in sede di ispezione.

Attenzione ai sistemi sviluppati internamente. Un’azienda che sviluppa un sistema di IA ad alto rischio per uso esclusivamente interno non è esente dagli obblighi del provider: l’art. 2, par. 1, lett. c) include espressamente i deployer che mettono in servizio sistemi per proprio uso quando ricadono nelle categorie dell’Allegato III. Questo scenario — frequente nelle banche, nelle assicurazioni e nelle PA — richiede un’analisi separata rispetto all’acquisto di soluzioni di terzi.

Domande frequenti

Fonte di riferimento: AgendaDigitale