28 giorni alla data di entrata in vigore della legge europea sull'IA
Scopri di più →

Legge sull'IA dell'UE: Deployer vs Provider — Chi Sostiene Quali Obblighi

La Legge sull'IA dell'UE assegna obblighi per ruolo, non per azienda. La stessa organizzazione può essere un fornitore di un sistema di IA e un deployer di un altro — e un deployer può tranquillamente diventare un fornitore. Questa pagina spiega le definizioni dell'Articolo 3, come determinare quale ruolo si ricopre e gli trigger dell'Articolo 25 che spostano gli obblighi più pesanti del fornitore su un deployer.

Ruoli & Obblighi — Articolo 3 & Articolo 25

Legge sull'IA dell'UE: Deployer vs Provider — Chi Sostiene Quali Obblighi

La Legge sull'IA dell'UE assegna obblighi per ruolo, non per azienda. La stessa organizzazione può essere un fornitore di un sistema di IA e un deployer di un altro — e un deployer può tranquillamente diventare un fornitore. Questa pagina spiega le definizioni dell'Articolo 3, come determinare quale ruolo si ricopre e gli trigger dell'Articolo 25 che spostano gli obblighi più pesanti del fornitore su un deployer.

Ultimo aggiornamento: 4 luglio 2026

Cos'è un Fornitore? (Articolo 3(3))

Un fornitore sviluppa un sistema di IA o un modello di IA generale — o lo fa sviluppare — e lo mette sul mercato o lo mette in servizio con il proprio nome o marchio, sia a pagamento che gratuitamente.

  • Sviluppa o commissiona il sistema di IA o il modello di IA generale
  • Lo mette sul mercato dell'UE o lo mette in servizio con il proprio nome o marchio
  • Sostiene la maggior parte degli obblighi ad alto rischio: gestione del rischio (Articolo 9), governance dei dati (Articolo 10), documentazione tecnica (Articolo 11 / Allegato IV), registrazione (Articolo 12), trasparenza per i deployer (Articolo 13), progettazione della supervisione umana (Articolo 14) e valutazione della conformità
  • Si applica indipendentemente dal fatto che il sistema sia fornito commercialmente o gratuitamente

Cos'è un Deployer? (Articolo 3(4))

Un deployer utilizza un sistema di IA sotto la propria autorità — ad eccezione dei casi in cui il sistema è utilizzato nel corso di un'attività personale, non professionale.

  • Utilizza il sistema in un contesto professionale, sotto la propria autorità (in precedenza chiamato 'utente' nei progetti precedenti)
  • Deve utilizzare il sistema in conformità con le istruzioni per l'uso del fornitore
  • Sostiene doveri specifici per il deployer: assegnazione di una supervisione umana competente, monitoraggio dell'operazione, conservazione dei log automaticamente generati che controlla e informazione delle persone interessate quando richiesto
  • Alcuni deployer devono anche eseguire una valutazione di impatto sui diritti fondamentali (Articolo 27) prima del primo utilizzo

Come Determinare Quale Ruolo Si Ricopre

Lavorare sulla distinzione piuttosto che supporla. Il test è chi ha messo il sistema sul mercato con il proprio nome versus chi lo sta operando:

  • Hai costruito o marchiato il sistema? Se va sul mercato con il tuo nome o marchio, sei il fornitore — anche se un terzo ha scritto il codice per te.
  • Stai solo eseguendo il sistema di qualcun altro? Se operi un sistema messo sul mercato da un'altra azienda, con il loro nome, sei il deployer.
  • Puoi essere entrambi contemporaneamente. Un'azienda che costruisce un agente interno (fornitore) mentre utilizza anche una piattaforma di agenti di un fornitore (deployer) ricopre entrambi i ruoli per sistemi diversi.
  • Gli obblighi del fornitore sono più pesanti; gli obblighi del deployer sono operativi — supervisione, monitoraggio, log che controlla e trasparenza per le persone interessate.

Gli importatori, i distributori e i produttori di prodotti sono ruoli di operatori separati con i propri obblighi — vedere la pagina di portata per l'elenco completo.

Quando un Deployer Diventa un Fornitore (Articolo 25)

L'Articolo 25 stabilisce le situazioni in cui un deployer, un distributore, un importatore o un'altra parte terza assume gli obblighi completi di un fornitore per un sistema di IA ad alto rischio già sul mercato:

  • Rimarchiatura — metti il tuo nome o marchio su un sistema ad alto rischio già messo sul mercato, a meno che un contratto non assegni gli obblighi altrimenti
  • Modifica sostanziale — apporti una modifica sostanziale a un sistema ad alto rischio in modo che rimanga ad alto rischio
  • Cambiamento dello scopo previsto — modifichi lo scopo previsto di un sistema (incluso un modello di IA generale) che non era classificato come ad alto rischio in modo che diventi ad alto rischio
  • Quando si verificano uno di questi trigger, il fornitore originale deve cooperare e tu erediti gli obblighi del fornitore — valutazione della conformità, documentazione tecnica, registrazione e il resto

Questo è il trabocchetto per i team che affinano, ridefiniscono o marchiano in bianco un sistema di IA acquistato: la documentazione che pensavi appartenesse al fornitore può spostarsi su di te.

Come AIAgentree Aiuta

AIAgentree è costruito per servire entrambi i ruoli dallo stesso record di decisione, quindi esiste l'evidenza indipendentemente da quale lato dell'Articolo 25 ti trovi:

  • Per i fornitori: record di decisione a prova di manomissione supporta la registrazione dell'Articolo 12 e l'evidenza tecnica che un file di conformità si aspetta, esportabile tramite REST, MCP, A2A e OpenTelemetry
  • Per i deployer: flussi di lavoro di supervisione umana e approvazione più conservazione di audit (sei mesi o più) producono l'evidenza di supervisione che i deployer sono tenuti a conservare
  • Residenza dei dati UE in Germania mantiene quei record all'interno dell'UE, e gli SDK Python e TypeScript consentono a entrambi i ruoli di catturare le decisioni senza riorganizzare lo stack

Domande Frequenti

Una società può essere sia un fornitore che un deployer?

Sì. I ruoli sono assegnati per sistema di intelligenza artificiale, non per società. Un'organizzazione che costruisce e commercializza il proprio agente è un fornitore per quel sistema, mentre allo stesso tempo è un deployer di eventuali sistemi di intelligenza artificiale di terze parti che opera. Gli obblighi si applicano a ciascun ruolo separatamente.

Qual è la differenza tra gli obblighi del fornitore e del deployer?

I fornitori hanno gli obblighi di progettazione e commercializzazione: gestione dei rischi, governance dei dati, documentazione tecnica, valutazione della conformità e trasparenza nei confronti dei deployer. I deployer hanno obblighi operativi: utilizzo del sistema secondo le istruzioni, assegnazione della supervisione umana, monitoraggio, conservazione dei log che controllano e, per alcuni, una valutazione dell'impatto sui diritti fondamentali.

Quando un deployer diventa un fornitore ai sensi dell'articolo 25?

In tre situazioni: quando si mette il proprio nome o marchio su un sistema ad alto rischio già sul mercato, quando si apporta una modifica sostanziale a un sistema ad alto rischio o quando si cambia lo scopo previsto del sistema in modo che diventi ad alto rischio. Qualsiasi di questi fa diventare il deployer un fornitore con tutti gli obblighi del fornitore.

Se personalizzo un modello di un fornitore, sono ora il fornitore?

Potenzialmente. Se il cambiamento è una modifica sostanziale di un sistema ad alto rischio o cambia lo scopo previsto di un sistema non ad alto rischio in modo che diventi ad alto rischio, l'articolo 25 può fare di me il fornitore. Leggere attentamente il contratto del fornitore e la dichiarazione di scopo previsto prima di assumere che il fornitore mantenga ancora gli obblighi.

AIAgentree decide il nostro ruolo per noi?

No. La classificazione del ruolo è un giudizio legale e organizzativo su come si costruisce, si marca e si utilizza ciascun sistema. AIAgentree produce i record delle decisioni e le prove di supervisione che ciascun ruolo necessita per dimostrare — non sostituisce l'analisi del ruolo stesso.

Continua a esplorare la guida all'Atto AI UE

Guida alla conformità all'Atto AI UE

La guida completa alla conformità all'Atto AI UE per gli agenti AI — inizia da qui.

Articolo 12 — Conservazione dei registri e registrazione

Cosa ogni sistema AI ad alto rischio deve registrare e come catturarlo.

Articolo 14 — Supervisione umana

Progettazione di controlli efficaci con intervento umano per le decisioni AI.

Allegato III — Sistemi AI ad alto rischio

Quali casi d'uso AI l'Atto classifica come ad alto rischio.

Checklist di conformità all'Atto AI UE

Una checklist passo dopo passo per raggiungere e documentare la conformità.

Calcolatore dei costi di conformità

Stima lo sforzo e il costo di conformità all'Atto AI UE.

Scadenze e cronologia

Date di applicazione chiave, compresa la scadenza del 2 agosto 2026.

Sanzioni e penalità

Livelli di penalità fino a 35 milioni di euro o il 7% del fatturato annuo globale.

Obblighi di trasparenza (Art. 13 e 50)

Doveri di divulgazione per i sistemi AI e i loro output.

Gestione del rischio e valutazione della conformità

Crea un sistema di gestione del rischio e valuta la conformità.

Obblighi GPAI

Regole per i fornitori di modelli AI di uso generale.

Atto AI UE per le aziende statunitensi

Ambito extraterritoriale e cosa devono fare i fornitori statunitensi.

Aggiornamento omnibus

Gli ultimi cambiamenti alla cronologia e alle regole dell'Atto AI UE.

Calcolatore delle penalità

Stima la tua multa massima secondo le fasce dell'articolo 99.

Articolo 11 + Allegato IV

Quale documentazione tecnica richiede l'Atto AI dell'UE.

Articolo 26: Obblighi del distributore

Cosa devono fare i distributori di AI ad alto rischio, compresa la conservazione dei log.

Articolo 17: Gestione della qualità

Il QMS che i fornitori di AI ad alto rischio devono documentare.

Articolo 10: Governance dei dati

Qualità dei dati, mitigazione dei pregiudizi e doveri di governance.

Articolo 4: Alfabetizzazione AI

L'obbligo di alfabetizzazione AI dello staff in vigore dal febbraio 2025.

FRIA (Articolo 27)

Chi deve eseguire una valutazione di impatto sui diritti fondamentali, e come.

A chi si applica?

Ambito, operatori e portata extraterritoriale dell'Atto AI dell'UE.

Monitoraggio post-mercato

Articoli 72-73: monitoraggio continuo e segnalazione di incidenti.

ISO 42001 vs Atto AI dell'UE

Come lo standard volontario e la legge vincolante si integrano.

NIST AI RMF vs Atto AI dell'UE

Un confronto pratico tra il framework e la legge.

Atto AI dell'UE per l'assistenza sanitaria

AI medica ad alto rischio, interazione con MDR/IVDR e supervisione clinica.

Atto AI dell'UE per i servizi finanziari

Punteggi di credito, prezzi assicurativi e regolamentazione finanziaria esistente.

Atto AI dell'UE per le risorse umane e l'occupazione

Assunzione di AI come ad alto rischio, più sovrapposizione con NYC LL144 e EEOC.