Usare un sistema di intelligenza artificiale ti rende soggetto all’AI Act, anche se non l’hai costruito tu. Molti imprenditori pensano che la normativa europea riguardi solo chi sviluppa modelli o algoritmi. Non è così.
Se nella tua azienda usi un software che integra IA per selezionare candidati, valutare clienti, monitorare la produzione o gestire il customer service, sei un deployer. E con questo ruolo arrivano responsabilità precise.
La distinzione tra provider e deployer è il primo concetto da chiarire. Perché definisce chi fa cosa, e soprattutto chi risponde di cosa davanti alle autorità di controllo.
Cosa significa essere un deployer secondo l’AI Act
Il regolamento europeo definisce deployer qualsiasi soggetto che utilizza un sistema di IA sotto la propria autorità nel contesto di un’attività professionale. Non serve aver scritto una riga di codice. Basta aver scelto, configurato e messo in produzione uno strumento di intelligenza artificiale all’interno dei tuoi processi.
Questo include realtà che usano CRM con funzioni predittive, software HR con screening automatico dei CV, sistemi di videosorveglianza intelligente o chatbot evoluti. Se decidi tu come, dove e perché usarlo, sei tu il deployer. E il fornitore non risponde al posto tuo.
Quali obblighi ti riguardano davvero
Gli obblighi del deployer variano in base al livello di rischio del sistema utilizzato. Per i sistemi ad alto rischio, l’AI Act impone una serie di adempimenti operativi che non puoi delegare al fornitore. Si tratta di attività che richiedono governance interna, documentazione e una chiara assegnazione delle responsabilità.
I principali obblighi che ti competono come deployer:
- Garantire la human oversight, cioè una supervisione umana effettiva sul funzionamento del sistema
- Monitorare il funzionamento del sistema e segnalare incidenti o malfunzionamenti rilevanti
- Conservare i log generati dal sistema per il periodo previsto dalla normativa
- Informare lavoratori e rappresentanze sindacali quando il sistema viene usato in ambito HR
- Effettuare una valutazione d’impatto sui diritti fondamentali nei casi previsti
Questi adempimenti non sono formalità. Sono il modo in cui dimostri, in caso di controllo, di aver gestito l’IA con consapevolezza e non come una scatola nera che fa cose al posto tuo.
Perché molte aziende sono scoperte senza saperlo
Ho visto aziende usare strumenti di IA da mesi senza aver mappato cosa fanno, dove operano, quali dati trattano. Spesso il sistema è stato introdotto da un singolo reparto, magari con un trial gratuito, e poi è diventato parte del processo senza una valutazione strutturata.
Il problema è che l’AI Act non chiede di rallentare. Chiede di sapere cosa stai usando e come. Senza una mappatura iniziale, non puoi nemmeno capire se hai obblighi attivi o no. E quando arriva una contestazione, non c’è tempo per costruire la documentazione a posteriori.
Da dove iniziare per metterti in regola
Il primo passo è un censimento dei sistemi di IA presenti in azienda. Spesso emergono strumenti che nessuno aveva classificato come tali: funzioni di Microsoft 365, moduli di Salesforce, integrazioni nei gestionali. Dopo il censimento, serve classificare ogni sistema per livello di rischio secondo i criteri dell’AI Act.
Da lì si costruisce la governance: chi supervisiona, chi documenta, chi risponde in caso di problema. È un lavoro che combina competenze legali, tecniche e organizzative. Per questo nei progetti di AI Assessment lavoro insieme a referenti interni e, dove serve, con il supporto legale dell’azienda.
Domande frequenti
Sono un deployer anche se uso solo ChatGPT in azienda?
Dipende dall’uso. Se ChatGPT è impiegato per attività professionali strutturate, ad esempio nella generazione di contenuti destinati a clienti o nell’analisi di dati aziendali, rientri nella definizione di deployer. Gli obblighi però variano in base alla criticità dell’applicazione. Un uso sporadico per brainstorming interno è diverso dall’integrazione in un processo decisionale che impatta su clienti o dipendenti.
Quali sistemi di IA sono considerati ad alto rischio?
L’AI Act elenca categorie specifiche: sistemi usati per selezione del personale, valutazione creditizia, accesso a servizi essenziali, gestione di infrastrutture critiche, applicazioni in ambito giudiziario o di sicurezza. Anche alcuni dispositivi medici e sistemi educativi rientrano. La classificazione richiede un’analisi puntuale del caso d’uso, non solo della tecnologia.
Quanto tempo serve per mettere in regola un’azienda media?
Per una PMI con un numero contenuto di sistemi IA in uso, un percorso di adeguamento ragionevole va dalle 6 alle 12 settimane. Il tempo dipende dal numero di applicazioni, dalla qualità della documentazione esistente e dalla disponibilità dei referenti interni. La parte più lunga è quasi sempre il censimento iniziale e la classificazione.
Cosa rischio se non mi adeguo?
Le sanzioni previste dall’AI Act sono pesanti, con tetti che arrivano a percentuali significative del fatturato globale per le violazioni più gravi. Oltre alle sanzioni dirette, c’è il rischio reputazionale e quello contrattuale: clienti enterprise stanno già chiedendo evidenze di compliance ai fornitori che usano IA nei processi.
Il fornitore del software non si occupa già di tutto?
No. Il provider ha obblighi sul prodotto, tu hai obblighi sull’uso. Il fornitore deve garantire che il sistema sia conforme nelle sue caratteristiche tecniche, ma come lo configuri, su quali dati lo applichi e con quale supervisione lo gestisci è responsabilità tua. Le due figure rispondono di cose diverse, e una non assorbe l’altra.
Parliamo della tua situazione specifica
Se in azienda usi sistemi di IA e non hai ancora chiaro quali obblighi ti riguardano, il primo passo è capire dove sei davvero. Non serve allarmarsi, serve fare ordine.
Conosco bene il contesto delle PMI italiane e so che ogni realtà ha vincoli operativi diversi. Per questo il primo confronto serve a valutare insieme se e come intervenire, senza partire da soluzioni preconfezionate.
Se vuoi un’analisi sul tuo caso, scrivimi dalla pagina contatti e fissiamo una call.