28 giorni alla data di entrata in vigore della legge europea sull'IA
Scopri di più →

Articolo 26 dell'Atto AI dell'UE: Obblighi del Deployer per l'AI ad Alto Rischio

L'articolo 26 stabilisce cosa debbano fare i deployer — le organizzazioni che utilizzano un sistema AI ad alto rischio sotto la propria autorità —. A differenza degli obblighi del fornitore, questi doveri si applicano all'operatore che esegue il sistema nel mondo reale: seguire le istruzioni, assegnare un controllo umano competente, monitorare l'operazione, conservare i log e agire quando si verifica un problema. Questa pagina analizza ogni dovere.

Articolo 26 Analisi Approfondita

Articolo 26 dell'Atto AI dell'UE: Obblighi del Deployer per l'AI ad Alto Rischio

L'articolo 26 stabilisce cosa debbano fare i deployer — le organizzazioni che utilizzano un sistema AI ad alto rischio sotto la propria autorità —. A differenza degli obblighi del fornitore, questi doveri si applicano all'operatore che esegue il sistema nel mondo reale: seguire le istruzioni, assegnare un controllo umano competente, monitorare l'operazione, conservare i log e agire quando si verifica un problema. Questa pagina analizza ogni dovere.

Ultimo aggiornamento: 4 luglio 2026

Chi è un Deployer?

Un deployer è qualsiasi persona fisica o giuridica che utilizza un sistema AI sotto la propria autorità nell'ambito di un'attività professionale (le persone che utilizzano l'AI per motivi personali, non professionali, sono escluse).

Gli obblighi del deployer si affiancano, e non sostituiscono, gli obblighi del fornitore. Il fornitore costruisce e documenta il sistema; il deployer è responsabile di come viene effettivamente utilizzato. Se un deployer modifica sostanzialmente un sistema ad alto rischio o ci mette il proprio nome, può anche assumere obblighi del fornitore ai sensi dell'articolo 25.

I Doveri Principali del Deployer

L'articolo 26 impone un set definito di obblighi operativi ai deployer di sistemi AI ad alto rischio:

  • Utilizzare secondo le istruzioni — adottare misure tecniche e organizzative adeguate per utilizzare il sistema in conformità con le istruzioni del fornitore per l'uso
  • Assegnare un controllo umano competente — affidare il controllo a persone fisiche che abbiano la necessaria competenza, formazione, autorità e supporto per esercitarlo ai sensi dell'articolo 14
  • Controllare i dati di input — quando il deployer controlla i dati di input, assicurarsi che siano rilevanti e sufficientemente rappresentativi in vista dello scopo previsto del sistema
  • Monitorare l'operazione — monitorare l'operazione del sistema rispetto alle istruzioni per l'uso e informare il fornitore o il distributore se si verifica un rischio
  • Conservare i log generati automaticamente — conservare i log che il sistema genera automaticamente, nella misura in cui sono sotto il controllo del deployer, per almeno sei mesi (a meno che un periodo più lungo non sia stabilito da altre leggi dell'Unione o nazionali)
  • Informare i lavoratori e i rappresentanti — prima di mettere in servizio un sistema ad alto rischio sul luogo di lavoro, informare i lavoratori interessati e i loro rappresentanti che saranno soggetti al sistema
  • Valutazione di impatto sulla protezione dei dati — quando rilevante, utilizzare le informazioni fornite ai sensi dell'articolo 13 per effettuare una valutazione di impatto sulla protezione dei dati ai sensi del GDPR
  • Sospendere e informare in caso di rischio grave — quando il sistema presenta un rischio per la salute, la sicurezza o i diritti fondamentali, o si verifica un incidente grave, sospendere l'uso, informare il fornitore, il distributore e le autorità competenti e cooperare

Il Pavimento di Conservazione dei Log di Sei Mesi

I deployer devono conservare i log generati automaticamente dal sistema AI ad alto rischio per un periodo appropriato allo scopo previsto e, in ogni caso, per almeno sei mesi — a meno che un periodo di conservazione più lungo non sia richiesto dalle leggi dell'Unione o nazionali applicabili.

Ciò si applica ai log che sono sotto il controllo del deployer. È il corrispettivo del lato deployer della progettazione di registrazione del fornitore ai sensi degli articoli 12 e 19: il fornitore costruisce la capacità di registrazione e il deployer è responsabile della conservazione e della produzione effettiva dei registri risultanti. Le regole di settore (ad esempio nel settore finanziario o sanitario) spesso stabiliscono un pavimento più lungo, quindi trattare i sei mesi come il minimo, non come l'obiettivo.

Le autorità pubbliche che agiscono come deployer hanno obblighi di trasparenza e registrazione aggiuntivi ai sensi degli articoli 26 e 49.

Come AIAgentree Aiuta

AIAgentree fornisce ai deployer un sistema di registri in esecuzione esattamente per gli obblighi che l'articolo 26 impone — la conservazione dei log, il flusso di lavoro di controllo umano e la prova di monitoraggio:

  • Conservazione idonea per l'audit mantiene i registri di decisione generati automaticamente ben oltre il pavimento di sei mesi, con archiviazione a prova di manomissione e residenza dei dati dell'UE in Germania, in modo da poter produrre log su richiesta
  • Flussi di lavoro di controllo umano e approvazione catturano chi ha esaminato, approvato, annullato o escalato una decisione — la prova che un controllo umano competente sia stato effettivamente esercitato ai sensi dell'articolo 14
  • Tracciamento degli esiti, ricerca di precedenti e cattura asincrona a bassa latenza (inferiore a 10 ms) forniscono il segnale di monitoraggio per rilevare quando un sistema si allontana dalle istruzioni per l'uso, disponibile tramite REST, MCP, A2A, OpenTelemetry e gli SDK Python e TypeScript — inizia gratuitamente con 25 tracce

Domande Frequenti

Qual è la differenza tra un fornitore e un deployer?

Il fornitore sviluppa il sistema di intelligenza artificiale e lo mette sul mercato o lo mette in servizio con il proprio nome; il deployer utilizza quel sistema sotto la propria autorità in un contesto professionale. L'articolo 26 disciplina i deployer, mentre gli articoli 8-21 disciplinano i fornitori. Un'organizzazione può essere entrambe le cose.

Per quanto tempo i deployer devono conservare i registri?

Almeno sei mesi. L'articolo 26(6) richiede ai deployer di conservare i registri generati automaticamente che sono sotto il loro controllo per un periodo appropriato allo scopo previsto e, in ogni caso, per un minimo di sei mesi, a meno che la legge dell'Unione o la legge nazionale non richieda un periodo più lungo.

I deployer devono informare i dipendenti dell'uso di un sistema di intelligenza artificiale?

Sì, quando il sistema viene utilizzato sul posto di lavoro. Prima di mettere in servizio o utilizzare un sistema di intelligenza artificiale ad alto rischio sul posto di lavoro, i deployer devono informare i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti al sistema, in conformità con le regole di informazione e consultazione.

Quando un deployer diventa un fornitore?

Ai sensi dell'articolo 25, un deployer assume gli obblighi del fornitore se appone il proprio nome o marchio su un sistema ad alto rischio già sul mercato, apporta una modifica sostanziale ad esso o modifica lo scopo previsto di un sistema in modo tale da renderlo ad alto rischio.

Cosa deve fare un deployer se il sistema presenta un rischio grave?

Sospendere l'uso e informare il fornitore o il distributore e l'autorità di sorveglianza del mercato competente senza indebito ritardo. Se si verifica un incidente grave, il deployer deve segnalarlo e cooperare con le autorità e il fornitore per le misure correttive.

Continua a esplorare la guida all'Atto AI UE

Guida alla conformità all'Atto AI UE

La guida completa alla conformità all'Atto AI UE per gli agenti AI — inizia da qui.

Articolo 12 — Conservazione dei registri e registrazione

Cosa ogni sistema AI ad alto rischio deve registrare e come catturarlo.

Articolo 14 — Supervisione umana

Progettazione di controlli efficaci con intervento umano per le decisioni AI.

Allegato III — Sistemi AI ad alto rischio

Quali casi d'uso AI l'Atto classifica come ad alto rischio.

Checklist di conformità all'Atto AI UE

Una checklist passo dopo passo per raggiungere e documentare la conformità.

Calcolatore dei costi di conformità

Stima lo sforzo e il costo di conformità all'Atto AI UE.

Scadenze e cronologia

Date di applicazione chiave, compresa la scadenza del 2 agosto 2026.

Sanzioni e penalità

Livelli di penalità fino a 35 milioni di euro o il 7% del fatturato annuo globale.

Obblighi di trasparenza (Art. 13 e 50)

Doveri di divulgazione per i sistemi AI e i loro output.

Gestione del rischio e valutazione della conformità

Crea un sistema di gestione del rischio e valuta la conformità.

Obblighi GPAI

Regole per i fornitori di modelli AI di uso generale.

Atto AI UE per le aziende statunitensi

Ambito extraterritoriale e cosa devono fare i fornitori statunitensi.

Aggiornamento omnibus

Gli ultimi cambiamenti alla cronologia e alle regole dell'Atto AI UE.

Calcolatore delle penalità

Stima la tua multa massima secondo le fasce dell'articolo 99.

Articolo 11 + Allegato IV

Quale documentazione tecnica richiede l'Atto AI dell'UE.

Articolo 17: Gestione della qualità

Il QMS che i fornitori di AI ad alto rischio devono documentare.

Articolo 10: Governance dei dati

Qualità dei dati, mitigazione dei pregiudizi e doveri di governance.

Articolo 4: Alfabetizzazione AI

L'obbligo di alfabetizzazione AI dello staff in vigore dal febbraio 2025.

Distributore vs Fornitore

Chi sostiene quale obbligo — e quando un distributore diventa un fornitore.

FRIA (Articolo 27)

Chi deve eseguire una valutazione di impatto sui diritti fondamentali, e come.

A chi si applica?

Ambito, operatori e portata extraterritoriale dell'Atto AI dell'UE.

Monitoraggio post-mercato

Articoli 72-73: monitoraggio continuo e segnalazione di incidenti.

ISO 42001 vs Atto AI dell'UE

Come lo standard volontario e la legge vincolante si integrano.

NIST AI RMF vs Atto AI dell'UE

Un confronto pratico tra il framework e la legge.

Atto AI dell'UE per l'assistenza sanitaria

AI medica ad alto rischio, interazione con MDR/IVDR e supervisione clinica.

Atto AI dell'UE per i servizi finanziari

Punteggi di credito, prezzi assicurativi e regolamentazione finanziaria esistente.

Atto AI dell'UE per le risorse umane e l'occupazione

Assunzione di AI come ad alto rischio, più sovrapposizione con NYC LL144 e EEOC.