Art. 26 AI Act: gli Obblighi del Deployer con Esempi Pratici
I sei obblighi del Deployer ai sensi dell'Art. 26 AI Act: supervisione umana, log 6 mesi, DPIA integrata, notifica incidenti. Checklist operativa per aziende italiane.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Cosa deve fare concretamente un Deployer per essere conforme all'Art. 26 dell'AI Act?
L'Art. 26 AI Act impone al Deployer di sistemi ad alto rischio sei categorie di obblighi non delegabili: rispettare le istruzioni d'uso del fornitore, garantire supervisione umana qualificata, assicurare la qualità dei dati di input, conservare i log per almeno sei mesi, sospendere il sistema e notificare le autorità in caso di incidente grave, e integrare la documentazione tecnica del fornitore nella propria DPIA GDPR. Firmare un contratto con il fornitore non trasferisce questi obblighi.
Fonti: Reg. UE 2024/1689 (AI Act) Art. 26 · AI Office UE — Guidance for deployers of high-risk AI systems · Reg. UE 2016/679 (GDPR) Art. 35 · Legge 23 settembre 2025, n. 132
L'Art. 26 dell'AI Act è il fulcro della compliance per la stragrande maggioranza delle aziende italiane che utilizzano sistemi di intelligenza artificiale sviluppati da terze parti. A differenza degli obblighi del Provider (che riguardano il design e la produzione del sistema), gli obblighi del Deployer riguardano il modo in cui il sistema viene concretamente usato nel contesto organizzativo. Per capire se la tua azienda è un Deployer o un Provider, si veda la guida a Provider vs Deployer nell'AI Act. Per il quadro normativo integrato GDPR e AI Act, si consulti la guida alle architetture di compliance per SaaS e startup.
Obbligo 1: Rispettare le istruzioni d'uso del Provider
L'Art. 26, par. 1 stabilisce che il Deployer deve "adottare misure tecniche e organizzative adeguate a garantire che i sistemi di IA ad alto rischio siano utilizzati conformemente alle istruzioni per l'uso".
Cosa significa in pratica. Il Provider di un sistema AI ad alto rischio è tenuto a fornire istruzioni per l'uso che specificano le finalità per cui il sistema è stato progettato, i contesti operativi appropriati, i limiti prestazionali e i casi d'uso per cui il sistema non deve essere impiegato. Il Deployer deve implementare controlli organizzativi che garantiscano che il sistema venga effettivamente usato solo per le finalità previste.
Esempio concreto. Un'azienda HR che utilizza un software AI per la selezione dei curricula, classificato come sistema ad alto rischio ai sensi dell'Allegato III, riceve dal fornitore le istruzioni d'uso che specificano che il sistema non deve essere l'unico criterio di scelta e deve essere supervisionato da un recruiter qualificato. Se l'azienda configura il software per filtrare autonomamente i candidati senza revisione umana, viola l'Art. 26 indipendentemente da quanto correttamente il Provider abbia progettato il sistema.
Violazione applicabile. Sanzione fino a 15 milioni di euro o 3% del fatturato globale annuo.
Obbligo 2: Garantire supervisione umana qualificata
L'Art. 26, par. 2 richiede che il Deployer "assicuri che la supervisione umana sia svolta dalle persone fisiche alle quali è stata assegnata, a norma delle pertinenti istruzioni per l'uso, e che tali persone abbiano la competenza, la formazione e l'autorità necessarie".
Cosa significa in pratica. La supervisione umana non è un adempimento burocratico: deve essere esercitata da personale che comprende il funzionamento del sistema, è in grado di interpretare gli output, riconosce quando il sistema sta producendo risultati anomali o discriminatori e ha l'autorità effettiva per intervenire, correggere o interrompere il sistema.
Esempio concreto. Un sistema di scoring creditizio AI classificato ad alto rischio viene supervisionato da un impiegato che non ha ricevuto formazione sul funzionamento del modello e non ha l'autorità per modificare la decisione finale. Questa configurazione viola l'Art. 26: la supervisione umana è nominale, non effettiva.
Come documentare. Il Deployer deve mantenere evidenza scritta di: chi è designato come supervisore, quali competenze possiede e come sono state verificate, in che modo interviene nella pratica, quali decisioni può correggere.
Obbligo 3: Garantire la qualità dei dati di input
L'Art. 26, par. 3 stabilisce che, nella misura in cui il Deployer esercita un controllo sui dati di input, deve "garantire che i dati di input siano pertinenti e sufficientemente rappresentativi ai fini dell'uso previsto del sistema di IA ad alto rischio".
Cosa significa in pratica. Se la tua organizzazione fornisce i dati su cui il sistema opera (ad esempio un sistema di analisi del rischio alimentato da dati storici aziendali), è responsabile della qualità e rappresentatività di quei dati. Dati distorti o non rappresentativi producono output discriminatori o errati, e la responsabilità di questo esito ricade sul Deployer.
Esempio concreto. Un sistema AI per la valutazione delle performance dei dipendenti viene alimentato con dati storici che riflettono pregiudizi di genere presenti nella cultura aziendale precedente. Il Deployer che non verifica la rappresentatività dei dati è responsabile dei risultati discriminatori prodotti dal sistema.
Obbligo 4: Conservare i log di sistema per almeno 6 mesi
L'Art. 26, par. 5 impone al Deployer di "conservare i log generati automaticamente dal sistema di IA ad alto rischio nella misura in cui tali log siano sotto il suo controllo".
Cosa significa in pratica. Le architetture software devono essere configurate per conservare automaticamente i log delle interazioni con il sistema AI: quali dati sono stati immessi, quali output sono stati generati, quali interventi umani sono stati effettuati e quando. Il periodo minimo di conservazione è sei mesi, salvo obblighi più lunghi derivanti da normativa settoriale.
Il bilanciamento con il GDPR. Il requisito di retention dell'AI Act deve essere coordinato con il principio di limitazione della conservazione del GDPR. La soluzione pratica è conservare i log per sei mesi ma applicare la pseudonimizzazione o l'aggregazione dei dati personali contenuti, conservando l'informazione operativa senza conservare l'identificativo dell'individuo oltre il necessario.
Obbligo 5: Sospendere il sistema e notificare in caso di incidente grave
L'Art. 26, par. 4 richiede al Deployer di "informare il fornitore o il distributore e la pertinente autorità di sorveglianza del mercato di qualsiasi rischio grave o di qualsiasi incidente grave".
Cosa significa in pratica. Se il sistema AI produce un output che causa o rischia di causare un danno grave (fisico, psicologico, finanziario) a un individuo, il Deployer deve sospendere l'uso del sistema e notificare sia il fornitore che l'autorità competente (in Italia, l'ACN). Non ci sono termini fissi analoghi alle 72 ore del GDPR, ma la notifica deve avvenire "senza indebito ritardo".
Cosa costituisce un "incidente grave". Un sistema di monitoraggio sanitario che produce una diagnosi errata, un sistema di scoring creditizio che discrimina sistematicamente una categoria protetta, un sistema di riconoscimento facciale che porta all'identificazione errata di una persona: questi sono esempi di incidenti gravi che attivano l'obbligo di notifica.
Obbligo 6: Integrare la documentazione tecnica nella DPIA
L'Art. 26, par. 9 stabilisce che, "nel caso in cui il Deployer intenda utilizzare il sistema di IA ad alto rischio nel contesto del trattamento di dati personali, il Deployer deve tener conto delle informazioni fornite dal fornitore nell'effettuare la valutazione d'impatto sulla protezione dei dati di cui all'articolo 35 del regolamento (UE) 2016/679".
Cosa significa in pratica. La DPIA che la tua organizzazione ha condotto ai sensi del GDPR deve essere aggiornata per incorporare la documentazione tecnica che il Provider ha fornito sull'architettura del sistema, sui dati di addestramento, sulle prestazioni e sui bias noti. Le due procedure (GDPR e AI Act) non sono parallele ma convergenti: una DPIA che non considera la documentazione AI Act è incompleta e non soddisfa nemmeno i requisiti del GDPR.
Per il tema specifico della FRIA (Fundamental Rights Impact Assessment), che affianca la DPIA per i sistemi ad alto rischio, si veda l'articolo dedicato alla FRIA per l'AI Act.
Checklist di conformità Art. 26 AI Act per Deployer
| Obbligo | Documentazione richiesta | Status |
|---|---|---|
| Istruzioni d'uso rispettate | Policy interna di uso; configurazione del sistema verificata | ☐ |
| Supervisione umana qualificata | Nomina formale; CV del supervisore; procedura di intervento | ☐ |
| Qualità dati di input | Report di analisi del dataset; procedura di validazione | ☐ |
| Log conservati 6 mesi | Configurazione IT documentata; verifica periodica | ☐ |
| Procedura di notifica incidenti | SOP scritta; contatti ACN e fornitore | ☐ |
| DPIA integrata | DPIA aggiornata con documentazione tecnica del Provider | ☐ |
| AI Literacy del personale | Piano formativo; attestati; data di completamento | ☐ |
Hai bisogno di strutturare la compliance Art. 26 AI Act per la tua organizzazione?
Studio Legale Ingoglia assiste aziende nella strutturazione degli obblighi del Deployer: redazione delle procedure di supervisione umana, aggiornamento delle DPIA, configurazione dei sistemi di logging e predisposizione delle procedure di incident reporting. Prenota una consulenza strategica per un piano operativo personalizzato.
Articolo aggiornato al 26 maggio 2026. Le disposizioni citate fanno riferimento al Regolamento (UE) 2024/1689 (AI Act). Per supporto specifico, contatta lo studio.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze