Quando si parla di AI Act, molte aziende commettono un errore tattico fondamentale: pensano che le responsabilità ricadano soltanto su chi sviluppa software di Intelligenza Artificiale.
In realtà il regolamento europeo introduce due figure centrali:
Capire questa distinzione è essenziale per evitare problemi di compliance, responsabilità operative e rischi sanzionatori.
Il provider è il soggetto che:
Può trattarsi, generalmente, di aziende quali:
Il provider ha obblighi molto ampi perché controlla la progettazione del sistema.
Secondo l’AI Act, deve garantire:
Il deployer invece è chi utilizza il sistema AI nella propria organizzazione. Quindi:
Anche una PMI che utilizza ChatGPT nei processi interni può essere considerata deployer. Ed è qui che molte aziende stanno giocando la partita in fuorigioco senza rendersene conto.
L’AI Act prevede una situazione molto delicata:
un deployer può trasformarsi in provider.
Succede quando:
È un po’ come acquistare un calciatore e trasformarlo completamente tatticamente: a quel punto non sei più solo l’allenatore che lo utilizza, ma anche chi ne ridefinisce ruolo e responsabilità.
Tra gli obblighi più importanti troviamo:
Per i sistemi ad alto rischio questi obblighi diventano particolarmente stringenti.
In sostanza: chi mette l’AI in campo deve continuare a leggere il contesto, gestire la strategia e mantenere il controllo di ogni decisione critica.
L’articolo 4 dell’AI Act introduce un principio chiave: l’obbligo di AI Literacy sia per provider sia per deployer. Andando nel concreto, non è più sufficiente “avere l’AI in azienda”: le persone devono saperla utilizzare in modo consapevole e conforme. Questo significa che dipendenti, manager, tecnici e operatori in generale devono essere formati sull'utilizzo corretto dell'AI.
Molte organizzazioni stanno già vivendo un fenomeno molto rischioso: la Shadow AI. Si tratta di tutti quei casi in cui persone all’interno dell’azienda utilizzano in autonomia strumenti di Intelligenza Artificiale, senza una strategia, senza policy chiare e senza alcun presidio di governance.
Parliamo di dipendenti che usano, ogni giorno, in modo spontaneo strumenti come ChatGPT, Gemini, Claude o altri strumenti AI personali o versioni free disponibili online, per scrivere email, preparare offerte, creare presentazioni, tradurre documenti, analizzare dati, interagire con clienti e fornitori.
Tutto questo avviene:
- senza controllo aziendale;
- senza linee guida su cosa si può inserire nei prompt;
- senza valutazione dei rischi per i dati;
- senza tracciabilità di chi fa cosa, quando e con quali strumenti.
È come avere persone in squadra che decidono da sole schemi, ruoli e tempi di gioco, senza coordinarsi con chi gestisce la strategia e gli obiettivi complessivi dell’organizzazione. L’AI entra nei processi, ma lo fa in modo frammentato, individuale, non governato. Il risultato? Una serie di rischi non indifferente:
- Rischio fuga di dati, perché informazioni riservate, dati personali o asset strategici vengono copiati e incollati in strumenti esterni non sotto il controllo dell’azienda;
- Rischio violazioni GDPR e di altre normative, perché mancano basi giuridiche chiare, informative adeguate, registri dei trattamenti e misure di sicurezza proporzionate;
- Rischio di perdita di controllo sui processi decisionali, con attività svolte da sistemi esterni senza che ci sia una chiara responsabilità interna, un audit trail o un meccanismo di revisione;
- Rischio di assenza di una vera governance dell’AI, che impedisce di costruire decisioni basate sui dati, misurare i benefici, intervenire rapidamente in caso di incidenti o errori.
In questo scenario diventa ancora più evidente che provider e deployer hanno ruoli diversi ma complementari:
- Il provider costruisce il sistema: progetta, sviluppa, documenta e mette sul mercato soluzioni AI che rispettano i requisiti tecnici e normativi previsti dall’AI Act.
- Il deployer lo utilizza responsabilmente all’interno dei propri processi: definisce policy, ambiti di utilizzo, limiti, ruoli, formazione, controlli e meccanismi di supervisione umana.
L’errore più grave sarebbe pensare che la compliance AI riguardi soltanto chi sviluppa tecnologia. Nel nuovo scenario europeo, ogni azienda che utilizza anche un solo strumento di Intelligenza Artificiale – partendo da un modello generativo pubblico fino a una piattaforma integrata nei propri sistemi – entra automaticamente in partita.
Questo significa:
- rivedere i processi interni in cui l’AI è già presente, anche quando è nata come iniziativa spontanea di singole persone;
- mappare strumenti, casi d’uso e dati coinvolti;
- definire policy chiare su cosa è consentito, cosa è vietato e cosa richiede autorizzazione;
- costruire percorsi di formazione per rendere le persone consapevoli dei rischi e delle opportunità;
- integrare l’AI nella governance complessiva di compliance, sicurezza e gestione dei dati.
Senza una strategia chiara, il rischio non è soltanto “prendere un cartellino giallo” normativo con sanzioni o richiami da parte delle autorità. Il rischio concreto è perdere l’intero campionato della compliance digitale: non riuscire a utilizzare l’AI come leva di crescita, dover bloccare progetti già avviati, compromettere la fiducia di clienti e partner, rallentare la trasformazione digitale proprio mentre il mercato accelera.