La tua azienda è un fornitore o un deployer di AI?
Aggiornato al 1 luglio 2026
Quasi sicuramente sei un deployer, cioè un utilizzatore. Secondo il Regolamento UE 2024/1689 (AI Act), all'articolo 3, è fornitore chi sviluppa un sistema di AI e lo immette sul mercato, mentre è deployer chi usa un sistema sotto la propria autorità. Se acquisti o usi strumenti AI fatti da altri, sei deployer, con obblighi più leggeri ma reali.
Perché questa distinzione decide i tuoi obblighi
Quando formo un'azienda sull'AI Act, la prima domanda non è "che cosa devo fare", ma "chi sei rispetto a questo sistema". Il Regolamento UE 2024/1689 costruisce tutti gli obblighi a partire dal ruolo che ricopri. Stessa identica tecnologia, obblighi diversi a seconda che tu l'abbia costruita o che semplicemente la stia usando.
La buona notizia, e te la dico subito perché è quella che conta davvero, è che il ruolo più diffuso è anche il più leggero. La stragrande maggioranza delle imprese non costruisce intelligenza artificiale. La compra, la abbona, la integra nei propri processi. Questo ti rende deployer, e il deployer ha una lista di obblighi corta, soprattutto se i sistemi che usi non sono ad alto rischio.
L'altra cosa da chiarire subito è che la dimensione non sposta il ruolo. Un libero professionista che usa un assistente AI e una multinazionale che ne usa cento sono entrambi deployer. L'obbligo nasce dall'attività, non dal numero di dipendenti. Cambia la scala, non la categoria.
Chi è il fornitore (provider)
Il fornitore, in inglese provider, è definito dall'articolo 3 del Regolamento UE 2024/1689 come chi sviluppa un sistema di AI, o lo fa sviluppare, e lo immette sul mercato o lo mette in servizio col proprio nome o marchio, a titolo gratuito o oneroso. In parole semplici, è chi mette al mondo lo strumento e se ne prende la paternità davanti al mercato.
Esempi tipici di fornitore sono una software house che programma e vende un proprio applicativo di selezione del personale basato su AI, oppure una startup che addestra un modello e lo offre via abbonamento. Sono fornitori anche i grandi laboratori che pubblicano i modelli di AI generica, i cosiddetti sistemi GPAI (general purpose AI), come quelli che stanno dietro ai chatbot più noti.
Gli obblighi del fornitore sono i più pesanti previsti dal Regolamento, soprattutto quando il sistema rientra tra quelli ad alto rischio. Parliamo di valutazione di conformità, gestione del rischio lungo tutto il ciclo di vita, documentazione tecnica, sistema di qualità, registrazione del sistema in una banca dati europea e marcatura di conformità. È un lavoro strutturato, che chi costruisce AI deve mettere in conto fin dalla progettazione.
Chi è il deployer (utilizzatore)
Il deployer, che il Regolamento UE 2024/1689 chiama in italiano "deployer" o utilizzatore, è chi usa un sistema di AI sotto la propria autorità nell'ambito di un'attività professionale. Se la tua azienda non sviluppa AI ma la impiega per lavorare, sei deployer. È, ripeto, la situazione di gran lunga più comune.
Qui arriva il sollievo. Gli obblighi del deployer sono molto più leggeri di quelli del fornitore. Per i sistemi a rischio limitato o minimo, che sono la quasi totalità degli strumenti AI di uso quotidiano in azienda, l'adempimento principale è uno solo e lo condividi col fornitore, vale a dire l'alfabetizzazione AI prevista dall'articolo 4 del Regolamento, in vigore dal 2 febbraio 2025. In pratica devi garantire che chi usa l'AI in azienda abbia un livello sufficiente di competenza e consapevolezza su come funziona, sui suoi limiti e sui rischi.
Gli obblighi diventano più corposi solo se usi un sistema classificato ad alto rischio, per esempio strumenti AI per selezionare i candidati o per valutare il personale. In quel caso l'articolo 26 del Regolamento UE 2024/1689 ti chiede alcune cose concrete. Devi usare il sistema seguendo le istruzioni del fornitore. Devi affidare la sorveglianza umana a persone con competenza e formazione adeguate. Devi monitorare il funzionamento e segnalare al fornitore e all'autorità eventuali rischi gravi, sospendendo l'uso se serve. Devi conservare i log generati dal sistema per almeno sei mesi, quando li hai sotto il tuo controllo. Se sei un datore di lavoro, prima di usare un sistema ad alto rischio sul posto di lavoro devi informare i lavoratori interessati e i loro rappresentanti. In più, per alcuni soggetti pubblici e per certi sistemi dell'allegato III, l'articolo 27 richiede una valutazione d'impatto sui diritti fondamentali, la cosiddetta FRIA.
C'è poi un piccolo gruppo di obblighi di trasparenza che riguardano anche il deployer a prescindere dall'alto rischio, previsti dall'articolo 50 del Regolamento e applicabili dal 2 agosto 2026. In sostanza, se generi o manipoli contenuti come immagini, audio o video artificiali che sembrano reali (i deepfake), devi dichiararne l'origine artificiale. Lo stesso vale per testi pubblicati per informare il pubblico su temi di interesse generale. Sono regole di buon senso, ma è bene saperle.
Vista così, la posizione del deployer è gestibile. Non è "niente da fare", ma è ben lontana dal carico del fornitore. E nella mia esperienza, una volta che l'azienda ha mappato i propri strumenti e formato le persone, gran parte del lavoro è fatto.
Tabella di confronto, fornitore contro deployer
Questa tabella ti serve per collocarti a colpo d'occhio. Leggi la riga "criterio", trova l'esempio che somiglia alla tua situazione e guarda gli obblighi.
| Criterio | Fornitore (provider) | Deployer (utilizzatore) |
|---|---|---|
| Cosa fa | Sviluppa il sistema AI e lo immette sul mercato col proprio nome o marchio | Usa un sistema AI sotto la propria autorità per la propria attività |
| Fonte | Art. 3 Reg. UE 2024/1689 | Art. 3 Reg. UE 2024/1689 |
| Esempio tipico | Software house che vende un proprio software AI di recruiting | Azienda che usa ChatGPT, Copilot o un CRM con funzioni AI |
| Quanto è diffuso | Minoranza delle imprese | Grande maggioranza delle imprese |
| Alfabetizzazione AI (art. 4) | Sì, dal 2 febbraio 2025 | Sì, dal 2 febbraio 2025 |
| Obblighi su sistemi ad alto rischio | Molto ampi, cioè conformità, documentazione tecnica, gestione del rischio, registrazione, marcatura | Più contenuti (art. 26), vale a dire uso secondo istruzioni, sorveglianza umana, monitoraggio, log sei mesi, informativa ai lavoratori |
| Trasparenza su deepfake e contenuti AI (art. 50) | Sì, per i contenuti generati | Sì, se diffonde deepfake o testi informativi artificiali |
| Valutazione di conformità del sistema | Sì, a suo carico | No, non spetta a lui |
| Peso complessivo degli obblighi | Alto | Leggero, salvo l'alto rischio |
Tieni presente che gli obblighi più pesanti per i sistemi ad alto rischio non sono ancora pienamente operativi. Nel testo vigente del Regolamento la regola generale di applicazione è il 2 agosto 2026, mentre i sistemi ad alto rischio incorporati in prodotti disciplinati dalla normativa di armonizzazione dell'Allegato I seguono la data del 2 agosto 2027. A queste date si aggiunge il pacchetto Digital Omnibus on AI, che ricalibra le scadenze dell'alto rischio portandole al 2 dicembre 2027 per i sistemi autonomi dell'Allegato III e al 2 agosto 2028 per quelli incorporati in prodotti. Questo pacchetto è stato adottato in via definitiva dal Consiglio il 29 giugno 2026, ma alla data attuale non risulta ancora pubblicato nella Gazzetta ufficiale dell'UE né in vigore. La pubblicazione è attesa a breve e l'entrata in vigore avverrà il terzo giorno successivo, quindi le nuove date diventeranno efficaci solo con l'entrata in vigore del regolamento modificativo. In ogni caso hai tempo per organizzarti, ma è tempo da usare, non da perdere.
Quando un deployer diventa fornitore (e rischia di non accorgersene)
Qui sta il punto che faccio sempre notare in aula, perché è quello che sorprende le persone. Il ruolo non è scolpito nella pietra. L'articolo 25 del Regolamento UE 2024/1689 prevede che un deployer, un distributore, un importatore o un altro terzo sia considerato fornitore di un sistema ad alto rischio in tre casi. Quando capita, ti carichi addosso gli obblighi pesanti del fornitore, e succede in modo automatico, senza che nessuno ti mandi una notifica.
Il primo caso è il più insidioso per chi rivende. Se apponi il tuo nome o il tuo marchio su un sistema ad alto rischio già immesso sul mercato da altri, diventi tu il fornitore, salvo che il contratto con il fornitore originario disponga diversamente. In pratica, mettere il proprio brand su un prodotto AI di terzi e rivenderlo come fosse tuo ti fa cambiare ruolo.
Il secondo caso è la modifica sostanziale. Se modifichi in modo sostanziale un sistema ad alto rischio già sul mercato, in modo che resti ad alto rischio, ne diventi fornitore. Per modifica sostanziale, ai sensi dell'articolo 3 del Regolamento, si intende un cambiamento non previsto dalla valutazione di conformità iniziale, che incide sulla conformità del sistema o ne cambia la finalità. Mettere a punto un sistema entro i parametri previsti dal fornitore non conta. Stravolgerne il funzionamento o l'uso previsto, sì.
Il terzo caso riguarda anche i sistemi GPAI, cioè l'AI generica. Se prendi un sistema che non è ad alto rischio, incluso un sistema GPAI, e ne cambi la finalità prevista in modo che diventi ad alto rischio, diventi fornitore di quel sistema ad alto rischio. È lo scenario tipico di chi prende un modello generico e lo specializza per una funzione delicata, ad esempio decidere chi assumere o valutare l'affidabilità creditizia di una persona.
Il filo conduttore è chiaro. Finché usi gli strumenti per quello che sono, resti deployer. Quando li fai tuoi, li ribrandizzi o li trasformi per usi ad alto rischio, scivoli nel ruolo di fornitore. Sapere dove passa quella linea ti evita brutte sorprese.
Cosa fare in pratica, oggi
Parti da una cosa semplice, fai l'inventario degli strumenti AI che usi o rivendi. Per ciascuno annota chi lo ha costruito, se lo usi così com'è o lo modifichi, e se lo offri ai tuoi clienti col tuo marchio. Questo elenco ti dice già, riga per riga, se sei deployer o se in qualche caso sei scivolato nel ruolo di fornitore.
Poi verifica la finalità d'uso. Stai usando uno strumento generico per un compito delicato come selezione del personale, valutazione, accesso al credito o servizi essenziali? Se sì, potresti avere a che fare con un sistema ad alto rischio, e gli obblighi cambiano. Nel dubbio, è il momento di farti affiancare.
Infine, qualunque sia il tuo ruolo, parti dall'alfabetizzazione. L'articolo 4 è già in vigore e riguarda tutti. Formare le persone che usano l'AI è l'adempimento più immediato, ed è anche quello che ti dà il ritorno più alto, perché riduce gli errori e ti mette in posizione di vantaggio rispetto a chi naviga a vista. Sui casi specifici e di confine, in particolare la classificazione ad alto rischio e l'eventuale passaggio a fornitore, fatti supportare da un professionista abilitato. Io ti aiuto a capire il quadro e a formare la squadra, ma la qualificazione del singolo caso va validata da chi ne risponde.
Sei fornitore o deployer? Auto-valutazione rapida
In sintesi: il fornitore (provider) sviluppa un sistema di IA, o lo fa sviluppare, e lo immette sul mercato con il proprio nome o marchio; il deployer (utilizzatore) usa sotto la propria autorità un sistema di IA di terzi nei propri processi. Sul fornitore gravano gli obblighi più estesi dell'AI Act. Rispondi alle tre domande per un orientamento.
Domande frequenti
Qual è la differenza tra fornitore e deployer?
Il fornitore (provider) sviluppa un sistema di AI e lo immette sul mercato col proprio nome, secondo l'articolo 3 del Regolamento UE 2024/1689. Il deployer lo usa soltanto, sotto la propria autorità. La differenza pratica sta negli obblighi, molto pesanti per il fornitore, decisamente più leggeri per il deployer, che è il ruolo della maggioranza delle aziende.
Se uso ChatGPT sono fornitore o deployer?
Sei deployer. Usi uno strumento costruito e immesso sul mercato da un'altra azienda, quindi rientri tra gli utilizzatori secondo l'articolo 3 del Regolamento UE 2024/1689. Il fornitore è chi ha sviluppato il modello. Il tuo obbligo principale è l'alfabetizzazione del personale, prevista dall'articolo 4 e in vigore dal 2 febbraio 2025.
Posso diventare fornitore senza saperlo?
Sì, e succede in automatico. L'articolo 25 del Regolamento UE 2024/1689 ti rende fornitore se rivendi un sistema ad alto rischio col tuo marchio, se lo modifichi in modo sostanziale, oppure se cambi la finalità di un sistema generico (anche GPAI) facendolo diventare ad alto rischio. Nessuno ti avvisa, perciò vale la pena verificare prima.
Fonti normative
- Regolamento (UE) 2024/1689 (AI Act), testo ufficiale in italiano su EUR-Lex — Art. 3, 4, 25, 26, 27, 50, 113
- Legge 23 settembre 2025, n. 132, disposizioni in materia di intelligenza artificiale (testo su Normattiva)
- Commissione europea, AI Office, pagina ufficiale sull'AI Act
- Consiglio dell'Unione europea, comunicato del 29 giugno 2026 sull'adozione definitiva delle regole semplificate
Aggiornato al 1 luglio 2026 · Quadro post-Digital-Omnibus · Contenuto informativo, non parere legale
Mettiti in regola
Vai al corsoQuesto contenuto ha finalità informative e divulgative e riflette il quadro normativo alla data di ultima revisione indicata. Non costituisce parere o consulenza legale sul tuo caso specifico. Per l'inquadramento giuridico formale lavoriamo con professionisti abilitati.