Provider vs Deployer nell'AI Act: come Determinare il Tuo Ruolo e gli Obblighi
Provider e Deployer nell'AI Act: definizioni, differenze negli obblighi, casi pratici per startup SaaS e agenzie. Come classificare il proprio ruolo e cosa fare.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Come capire se la mia startup è un Provider o un Deployer ai sensi dell'AI Act?
Se la tua azienda sviluppa o commissiona il sistema AI che poi commercializza con il proprio marchio, sei un Provider. Se integri API o modelli AI di terze parti (come GPT-4 o Claude) nel tuo prodotto per offrire funzionalità agli utenti finali, sei principalmente un Deployer, con possibili elementi di Downstream Provider. La distinzione è determinante: i due ruoli comportano obblighi radicalmente diversi per entità, tipo e costo della compliance.
Fonti: Reg. UE 2024/1689 (AI Act) Artt. 3, 25, 26 · AI Office UE — Guidance on AI Act roles · Legge 23 settembre 2025, n. 132 (Legge italiana sull'AI) · ACN — Guida all'AI Act per le imprese italiane
Sbagliare la propria qualifica nell'AI Act non è un errore formale: può portare a non adempiere obblighi che si applicano alla propria situazione, esponendosi a sanzioni fino a 15 milioni di euro o al 3% del fatturato globale, oppure a sostenere costi di compliance impropri per obblighi che in realtà non competono. Per il quadro normativo completo, si veda la guida alle architetture di compliance per SaaS e startup.
Le due figure principali: definizioni dall'AI Act
Il Provider (Fornitore)
L'Art. 3, n. 3 dell'AI Act definisce il fornitore come "una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali oppure che fa sviluppare tale sistema o modello per proprio conto e lo immette sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio commerciale, a titolo oneroso o gratuito".
I Provider devono:
- Redigere e conservare la documentazione tecnica (Art. 11)
- Istituire un sistema di gestione della qualità (Art. 17)
- Condurre la valutazione della conformità prima dell'immissione sul mercato (Art. 43)
- Registrare il sistema nel database UE (Art. 71)
- Apporre la marcatura CE per i sistemi ad alto rischio (Art. 48)
- Istituire un sistema di monitoraggio post-market (Art. 72)
Questi obblighi sono sostanziali, costosi e richiedono competenze tecniche e legali significative.
Il Deployer (Utilizzatore)
L'Art. 3, n. 4 definisce il deployer come "una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, eccetto nel caso in cui il sistema di IA sia utilizzato nel corso di un'attività personale a carattere non professionale".
I Deployer non sviluppano il sistema: lo utilizzano nell'ambito della propria attività professionale. Gli obblighi, pur meno gravosi di quelli del Provider, sono concreti e non delegabili al fornitore. Il dettaglio completo degli obblighi del Deployer è illustrato nell'articolo dedicato all'Art. 26 AI Act.
Il caso più frequente: la startup SaaS con API di terze parti
Lo scenario che riguarda la maggior parte delle startup e delle agenzie tech italiane è il seguente: l'azienda non ha sviluppato un proprio LLM, ma ha integrato nel proprio prodotto le API di OpenAI, Anthropic, Google o Mistral per offrire funzionalità intelligenti ai propri clienti.
In questo caso, l'azienda è principalmente un Deployer. Tuttavia, se ha personalizzato significativamente il modello (ad esempio tramite fine-tuning, prompting sistematico, RAG architecture con dati proprietari, o wrapping del modello con una propria interfaccia che ne altera il comportamento), può assumere anche la qualifica di Downstream Provider.
La distinzione tra Deployer puro e Downstream Provider è importante perché il Downstream Provider acquisisce alcune responsabilità tipiche del Provider, come la necessità di informare i propri clienti-deployer sulle caratteristiche e i limiti del sistema.
Schema decisionale: come classificare il tuo ruolo
Rispondi a queste domande in sequenza:
1. La tua azienda ha sviluppato il sistema AI o lo ha fatto sviluppare da terzi, immettendolo sul mercato con il proprio marchio?
- Sì: sei un Provider. Si applicano tutti gli obblighi degli Artt. 11-28 AI Act per i sistemi ad alto rischio.
- No: vai alla domanda 2.
2. La tua azienda utilizza un sistema AI sviluppato da terzi nell'ambito della propria attività professionale?
- Sì: sei un Deployer. Si applicano gli obblighi dell'Art. 26.
- No: probabilmente sei fuori dall'ambito applicativo dell'AI Act per questo specifico uso.
3. Come Deployer, hai modificato significativamente il sistema AI originale (fine-tuning, personalizzazione dei parametri, alterazione del comportamento di base)?
- Sì: potresti essere anche un Downstream Provider con obblighi aggiuntivi (Art. 25).
- No: rimani Deployer con i soli obblighi dell'Art. 26.
4. Il tuo prodotto (come Deployer o Downstream Provider) è classificabile come sistema ad alto rischio secondo l'Allegato III AI Act?
- Sì: gli obblighi dell'Art. 26 sono nella loro versione più stringente.
- No: si applicano obblighi di trasparenza ridotti (Art. 50) o nessun obbligo specifico (rischio minimo).
Tabella comparativa degli obblighi: Provider vs Deployer
| Obbligo | Provider (Alto Rischio) | Deployer (Alto Rischio) |
|---|---|---|
| Documentazione tecnica | Sì (Art. 11) — redatta dal Provider | No — ricevuta dal Provider |
| Gestione del rischio pre-market | Sì (Art. 9) | No |
| Valutazione conformità + Marcatura CE | Sì (Artt. 43-48) | No |
| Registro UE | Sì (Art. 71) | No (solo per alcuni settori) |
| Supervisione umana | Progettare il sistema per consentirla | Implementarla e documentarla |
| Log di sistema 6 mesi | Garantire la funzione tecnica | Attivare e conservare i log |
| DPIA integrata con doc. AI Act | Fornire la documentazione | Integrare la documentazione nella DPIA |
| FRIA (Diritti fondamentali) | Non richiesta per il Provider privato | Richiesta per alcuni Deployer (Art. 29) |
| Notifica incidenti gravi | Sì (alle autorità + clienti deployer) | Sì (alle autorità + al Provider) |
| AI Literacy personale | Sì (Art. 4) | Sì (Art. 4) |
| Sanzione massima | 35M€ o 7% fatturato globale | 15M€ o 3% fatturato globale |
L'errore più pericoloso: credere che la responsabilità sia del Provider
Un malinteso strutturale nel settore tech è la convinzione che, avendo scelto un fornitore affidabile e firmato un contratto, la responsabilità per la compliance dell'AI sia interamente trasferita al fornitore. L'AI Act smonta questa convinzione in modo categorico.
L'Art. 26 stabilisce che il Deployer è responsabile di come utilizza il sistema, indipendentemente da quanto correttamente il Provider abbia sviluppato il sistema stesso. Un uso del sistema in violazione delle istruzioni d'uso del fornitore (ad esempio, per una finalità non prevista) è una violazione dell'AI Act imputabile al Deployer, non al Provider.
Questo vale anche per le startup più piccole: la qualifica di PMI riduce l'importo massimo delle sanzioni, ma non elimina gli obblighi.
Non sei sicuro del tuo ruolo nell'AI Act o dei tuoi obblighi specifici?
Studio Legale Ingoglia assiste startup e aziende tech nella classificazione del proprio ruolo ai sensi dell'AI Act, nella predisposizione della documentazione richiesta e nella strutturazione della governance interna. Prenota una consulenza strategica per un'analisi specifica alla tua architettura tecnologica.
Articolo aggiornato al 26 maggio 2026. Le disposizioni citate fanno riferimento al Regolamento (UE) 2024/1689 (AI Act) e alla Legge italiana 132/2025. Per supporto specifico, contatta lo studio.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze