Con la progressiva applicazione dell’AI Act dell’UE, molte imprese stanno iniziando a porsi la domanda sbagliata. Il punto non è soltanto se una società sviluppi sistemi di intelligenza artificiale. La questione è se il ruolo assunto dalla società nella commissione, nel branding, nell’adattamento o nell’utilizzo di un sistema di IA possa renderla giuridicamente responsabile come “provider”.
Questa distinzione sta diventando sempre più importante. Le principali norme sui sistemi di IA ad alto rischio si applicheranno a partire da agosto 2026, mentre alcuni obblighi ad alto rischio collegati ai prodotti sono attualmente previsti per agosto 2027. Nel frattempo, le linee guida e le attività di implementazione a livello dell’UE stanno già influenzando il modo in cui le imprese dovrebbero valutare la propria esposizione.
Per imprenditori e management, il punto è pratico. Una società può ritenere di limitarsi ad acquistare o utilizzare uno strumento di IA. Tuttavia, ai sensi dell’AI Act, questa presunzione potrebbe non reggere quando la società appone il proprio nome sul sistema, ne modifica la finalità o lo utilizza in un contesto regolamentato ad alto rischio.
Quando un’impresa diventa qualcosa di più di un utilizzatore
L’AI Act dell’UE distingue tra “provider” e “deployer”. In termini semplici, un deployer utilizza un sistema di IA sotto la propria autorità. Un provider sviluppa un sistema di IA, ne fa sviluppare uno, oppure lo immette sul mercato o lo mette in servizio con il proprio nome o marchio.
Questa distinzione non è sempre evidente nella pratica. Una società che utilizza uno strumento di IA di terzi secondo le istruzioni ricevute può rimanere un deployer. Tuttavia, una società che commissiona lo strumento, lo presenta con il proprio brand o ne controlla la finalità prevista può avvicinarsi molto di più alla qualifica di provider. Questa esposizione può sorgere anche quando il sistema è utilizzato soltanto internamente e non viene venduto a clienti esterni.
Ciò è particolarmente rilevante per le imprese che commissionano strumenti di IA su misura per recruitment, valutazione del credito, pricing assicurativo, monitoraggio dei dipendenti o altri processi decisionali interni. Ad esempio, un datore di lavoro può chiedere a un vendor di sviluppare uno strumento di screening dei candidati per i propri uffici nell’UE. Il vendor scrive il codice, ma il datore di lavoro decide che cosa lo strumento debba misurare, come classificare i candidati e come utilizzare i risultati. Il datore di lavoro può considerarsi cliente di un fornitore tecnologico. Tuttavia, ai sensi dell’AI Act, potrebbe essere trattato come provider se il sistema è sviluppato per suo conto e messo in servizio con il suo nome o sotto la sua autorità.
In pratica, se una società commissiona uno strumento di IA costruito sulle proprie istruzioni, ne definisce la finalità e lo mette in servizio nel proprio contesto operativo, non dovrebbe presumere automaticamente di essere solo un deployer.
Branding, modifiche e riutilizzo della finalità come fattori di esposizione
La via più evidente verso la qualifica di provider è il rebranding. Una società può concedere in licenza uno strumento di IA da un vendor, integrarlo nella propria piattaforma e offrirlo ai clienti con il proprio nome. Dal punto di vista commerciale, ciò può apparire come un normale accordo white-label o di rivendita. Sul piano giuridico, può invece determinare uno spostamento di responsabilità.
L’articolo 25 prevede che un distributore, importatore, deployer o altro soggetto terzo sia considerato provider di un sistema di IA ad alto rischio quando appone il proprio nome o marchio su tale sistema dopo che questo è già stato immesso sul mercato o messo in servizio.
Questo è rilevante per società SaaS, fornitori di tecnologie HR, operatori fintech, piattaforme assicurative e altre imprese che costruiscono servizi attorno a sistemi di IA di terzi. Una società fintech, ad esempio, può concedere in licenza uno strumento di credit scoring da un vendor specializzato, integrarlo nella propria piattaforma di lending, ridisegnarne l’interfaccia e vendere il servizio a banche con il proprio nome. Anche se il modello sottostante è stato creato altrove, la società il cui brand compare sul prodotto può diventare responsabile degli obblighi del provider se il sistema è utilizzato in un contesto ad alto rischio.
L’esposizione come provider può sorgere anche attraverso modifiche. Una società può iniziare come deployer, ma diventare successivamente provider se modifica sostanzialmente un sistema di IA o ne cambia la finalità prevista. Questo aspetto è particolarmente importante quando le imprese adattano strumenti forniti da vendor attraverso configurazioni, fine-tuning, integrazioni API o riprogettazione dei workflow.
La domanda giuridica non è soltanto se la società abbia scritto il codice originario. È se abbia modificato la funzione, la finalità o il profilo di rischio del sistema. Ad esempio, un’impresa può inizialmente utilizzare un chatbot per rispondere a domande ordinarie dei clienti. Successivamente, lo collega a database interni e lo configura per raccomandare se reclami, rimborsi o richieste assicurative debbano essere approvati o respinti. Ciò che era iniziato come uno strumento di customer service può diventare un sistema regolamentato di supporto decisionale. A quel punto, la società deve rivalutare il proprio ruolo.
L’AI Act definisce una modifica sostanziale come una modifica successiva all’immissione sul mercato o alla messa in servizio, non prevista nella valutazione iniziale di conformità, che incide sulla conformità ai requisiti ad alto rischio o modifica la finalità prevista per cui il sistema era stato valutato.
In pratica, se una società di servizi HR prende un tool di valutazione del personale e lo riconfigura per raccomandare promozioni, licenziamenti o decisioni disciplinari, potrebbe diventare provider. Allo stesso modo, se una piattaforma fintech prende un sistema di credit scoring di terzi, lo integra nel proprio servizio e lo offre con il proprio marchio, deve valutare seriamente la propria esposizione come provider.
Produttori di prodotti e applicazioni basate su GPAI
I produttori di prodotti affrontano un’ulteriore via verso la qualifica di provider. Quando un sistema di IA ad alto rischio è un componente di sicurezza di un prodotto disciplinato dalla normativa di armonizzazione dell’Unione di cui all’Allegato I, il produttore può essere considerato provider se il sistema di IA è immesso sul mercato insieme al prodotto con il nome del produttore, oppure successivamente messo in servizio con tale nome.
Questo è rilevante per dispositivi medici, macchinari, veicoli, droni, robotica e apparecchiature industriali. Una società produttrice di dispositivi medici, ad esempio, può acquistare da un fornitore specializzato un componente diagnostico basato su IA e integrarlo nel proprio dispositivo di imaging. Il prodotto finale viene poi venduto agli ospedali con il nome del produttore. Anche se il produttore non ha sviluppato direttamente il modello di IA, può comunque essere trattato come provider una volta che il componente diventa parte del suo prodotto regolamentato.
La compliance AI dovrebbe quindi far parte della compliance di prodotto fin dall’inizio, includendo contratti con i fornitori, fascicoli tecnici, gestione della qualità, valutazione di conformità e monitoraggio post-market.
L’IA per finalità generali aggiunge un ulteriore livello. La Commissione ha dichiarato che gli obblighi per i provider di modelli di IA per finalità generali sono entrati in applicazione il 2 agosto 2025. Le sue linee guida spiegano inoltre che solo modifiche significative ai modelli di IA dovrebbero far sorgere obblighi da provider GPAI, non modifiche minori.
Ciò non significa che le società che costruiscono applicazioni basate su modelli GPAI siano al di fuori dell’AI Act. Una società può non essere il provider del modello sottostante, ma può comunque essere il provider del sistema di IA downstream che crea, presenta con il proprio marchio, vende o utilizza. Ad esempio, una società può costruire un assistente HR su un modello di IA per finalità generali. Se tale assistente è progettato per classificare dipendenti ai fini di una promozione, identificare lavoratori con basse performance o suggerire candidati per una procedura di riduzione del personale, l’attenzione giuridica si sposta sull’applicazione downstream. La società può non fornire il modello sottostante, ma può fornire il sistema di IA usato in un contesto occupazionale ad alto rischio.
In pratica, se sei un produttore di macchinari industriali che ha integrato un sistema di IA di un fornitore nel proprio prodotto e lo vende con il proprio marchio, potresti essere provider. Se costruisci un’applicazione HR su un modello GPAI e la usi per supportare decisioni su assunzioni, promozioni o licenziamenti, devi valutare il tuo ruolo rispetto al sistema downstream, non solo rispetto al modello sottostante.
Perché questo conta nel 2026
A maggio 2026, le imprese operano in un contesto normativo già attivo, ma ancora in evoluzione. Il 19 maggio 2026, la Commissione ha pubblicato una bozza di linee guida sulla classificazione dei sistemi di IA ad alto rischio. Queste linee guida mirano ad aiutare provider, deployer e autorità di vigilanza del mercato a valutare se un sistema di IA sia ad alto rischio e a sostenere l’effettiva applicazione dell’articolo 6.
L’approccio all’enforcement per l’IA ad alto rischio, quindi, non riguarda soltanto le sanzioni. Si sta formando attraverso linee guida sulla classificazione, standard armonizzati, strumenti di supporto e preparazione della vigilanza del mercato. Per le imprese, il punto pratico è che la mappatura dei ruoli non dovrebbe attendere che l’enforcement diventi più visibile.
In pratica, se una società utilizza già sistemi di IA in ambiti come lavoro, credito, assicurazioni, prodotti regolamentati o servizi essenziali, il 2026 non dovrebbe essere visto come un periodo di attesa, ma come il momento per mappare ruoli, casi d’uso e possibili obblighi.
Conclusioni
La qualifica di provider ai sensi dell’AI Act dell’UE non è riservata agli sviluppatori tradizionali di IA. Può sorgere quando una società commissiona un sistema di IA, vi appone il proprio brand, lo modifica in modo sostanziale, ne cambia la finalità prevista, lo incorpora in un prodotto regolamentato o costruisce un’applicazione downstream su un modello di IA per finalità generali.
Le società più esposte sono spesso imprese ordinarie che utilizzano l’IA per migliorare recruitment, credito, assicurazioni, produzione, customer service o decision-making interno. Potrebbero non definirsi provider di IA, ma l’AI Act potrebbe farlo.
Il punto di partenza pratico è mappare ogni sistema di IA in base al ruolo. Il management dovrebbe chiedersi chi lo ha sviluppato, chi lo ha commissionato, quale nome compare sul sistema, chi ne controlla la finalità, se è stato modificato e se il caso d’uso possa essere ad alto rischio.
Nel 2026, attendere è rischioso. Le società che individuano tempestivamente l’esposizione come provider saranno in una posizione migliore per allocare responsabilità, negoziare il supporto dei fornitori e integrare la compliance nella propria strategia AI prima che la pressione regolatoria aumenti.
