Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

Provider e Deployer: differenze e responsabilità secondo l’AI Act

10 lug , 2026 | 3 minuti

Quando si parla di AI Act, molte aziende commettono un errore tattico fondamentale: pensano che le responsabilità ricadano soltanto su chi sviluppa software di Intelligenza Artificiale.

In realtà il regolamento europeo introduce due figure centrali:

  • Provider;
  • Deployer.

Capire questa distinzione è essenziale per evitare problemi di compliance, responsabilità operative e rischi sanzionatori.

Chi è il Provider

Il provider è il soggetto che:

  • sviluppa;
  • commercializza;
  • distribuisce;
  • mette sul mercato un sistema AI.

Può trattarsi, generalmente, di aziende quali:

  • software house;
  • vendor tecnologici;
  • startup AI;
  • produttori di modelli linguistici;
  • piattaforme SaaS.

Il provider ha obblighi molto ampi perché controlla la progettazione del sistema.

Secondo l’AI Act, deve garantire:

  • conformità tecnica;
  • documentazione;
  • gestione del rischio;
  • monitoraggio post-commercializzazione;
  • trasparenza;
  • supervisione umana.

Chi è il Deployer

Il deployer invece è chi utilizza il sistema AI nella propria organizzazione. Quindi:

  • aziende;
  • studi professionali;
  • HR;
  • banche;
  • enti pubblici;
  • strutture sanitarie.

Anche una PMI che utilizza ChatGPT nei processi interni può essere considerata deployer. Ed è qui che molte aziende stanno giocando la partita in fuorigioco senza rendersene conto.

Quando un deployer diventa provider

L’AI Act prevede una situazione molto delicata:
un deployer può trasformarsi in provider.

Succede quando:

  • modifica sostanzialmente un sistema AI;
  • integra funzionalità personalizzate;
  • commercializza il sistema con il proprio brand.

È un po’ come acquistare un calciatore e trasformarlo completamente tatticamente: a quel punto non sei più solo l’allenatore che lo utilizza, ma anche chi ne ridefinisce ruolo e responsabilità.

Le responsabilità del provider

Tra gli obblighi più importanti troviamo:

  • sistema di gestione qualità;
  • documentazione tecnica;
  • dichiarazione di conformità UE;
  • valutazione di conformità;
  • monitoraggio incidenti;
  • tracciabilità dei fornitori.

Per i sistemi ad alto rischio questi obblighi diventano particolarmente stringenti.

Le responsabilità del deployer

 Il deployer non può limitarsi a cliccare “Accetto” e confidare che il sistema faccia tutto da solo. Deve:
  • utilizzare il sistema in modo conforme alle linee guida interne e al contesto operativo;
  • formare in modo strutturato il personale che lo utilizza;
  • valutare con attenzione rischi, impatti e casi d’uso;
  • garantire sempre una supervisione umana consapevole;
  • rispettare in modo rigoroso GDPR e presidi di cybersecurity. 

In sostanza: chi mette l’AI in campo deve continuare a leggere il contesto, gestire la strategia e mantenere il controllo di ogni decisione critica. 

La formazione diventa obbligatoria

L’articolo 4 dell’AI Act introduce un principio chiave: l’obbligo di AI Literacy sia per provider sia per deployer. Andando nel concreto, non è più sufficiente “avere l’AI in azienda”: le persone devono saperla utilizzare in modo consapevole e conforme. Questo significa che dipendenti, manager, tecnici e operatori in generale devono essere formati sull'utilizzo corretto dell'AI.

Il problema reale: la Shadow AI

Molte organizzazioni stanno già vivendo un fenomeno molto rischioso: la Shadow AI. Si tratta di tutti quei casi in cui persone all’interno dell’azienda utilizzano in autonomia strumenti di Intelligenza Artificiale, senza una strategia, senza policy chiare e senza alcun presidio di governance.

Parliamo di dipendenti che usano, ogni giorno, in modo spontaneo strumenti come ChatGPT, Gemini, Claude o altri strumenti AI personali o versioni free disponibili online, per scrivere email, preparare offerte, creare presentazioni, tradurre documenti, analizzare dati, interagire con clienti e fornitori.

Tutto questo avviene:

- senza controllo aziendale;

- senza linee guida su cosa si può inserire nei prompt;

- senza valutazione dei rischi per i dati;

- senza tracciabilità di chi fa cosa, quando e con quali strumenti.

È come avere persone in squadra che decidono da sole schemi, ruoli e tempi di gioco, senza coordinarsi con chi gestisce la strategia e gli obiettivi complessivi dell’organizzazione. L’AI entra nei processi, ma lo fa in modo frammentato, individuale, non governato. Il risultato? Una serie di rischi non indifferente: 

- Rischio fuga di dati, perché informazioni riservate, dati personali o asset strategici vengono copiati e incollati in strumenti esterni non sotto il controllo dell’azienda;

- Rischio violazioni GDPR e di altre normative, perché mancano basi giuridiche chiare, informative adeguate, registri dei trattamenti e misure di sicurezza proporzionate;

- Rischio di perdita di controllo sui processi decisionali, con attività svolte da sistemi esterni senza che ci sia una chiara responsabilità interna, un audit trail o un meccanismo di revisione;

- Rischio di assenza di una vera governance dell’AI, che impedisce di costruire decisioni basate sui dati, misurare i benefici, intervenire rapidamente in caso di incidenti o errori.

In questo scenario diventa ancora più evidente che provider e deployer hanno ruoli diversi ma complementari:

- Il provider costruisce il sistema: progetta, sviluppa, documenta e mette sul mercato soluzioni AI che rispettano i requisiti tecnici e normativi previsti dall’AI Act.

- Il deployer lo utilizza responsabilmente all’interno dei propri processi: definisce policy, ambiti di utilizzo, limiti, ruoli, formazione, controlli e meccanismi di supervisione umana.

L’errore più grave sarebbe pensare che la compliance AI riguardi soltanto chi sviluppa tecnologia. Nel nuovo scenario europeo, ogni azienda che utilizza anche un solo strumento di Intelligenza Artificiale – partendo  da un modello generativo pubblico fino a una piattaforma integrata nei propri sistemi – entra automaticamente in partita.

Questo significa:

- rivedere i processi interni in cui l’AI è già presente, anche quando è nata come iniziativa spontanea di singole persone;

- mappare strumenti, casi d’uso e dati coinvolti;

- definire policy chiare su cosa è consentito, cosa è vietato e cosa richiede autorizzazione;

- costruire percorsi di formazione per rendere le persone consapevoli dei rischi e delle opportunità;

- integrare l’AI nella governance complessiva di compliance, sicurezza e gestione dei dati.

Senza una strategia chiara, il rischio non è soltanto “prendere un cartellino giallo” normativo con sanzioni o richiami da parte delle autorità. Il rischio concreto è perdere l’intero campionato della compliance digitale: non riuscire a utilizzare l’AI come leva di crescita, dover bloccare progetti già avviati, compromettere la fiducia di clienti e partner, rallentare la trasformazione digitale proprio mentre il mercato accelera. 

Cristiano Pastorello

Lead auditor 27001 e 42001 - DPO & Amazon Web Service Specialist
Scroll