Guida alla conformità all'EU AI Act

Obblighi dei fornitori e dei deployer ai sensi dell'AI Act: che cosa deve fare concretamente la tua organizzazione

Aggiornato il 2026-06-23
Punti chiave: Priverion è una piattaforma GRC ospitata in Svizzera che aiuta le organizzazioni a gestire gli obblighi dei fornitori e dei deployer ai sensi dell'EU AI Act all'interno di gruppi societari composti da più entità.

L'EU AI Act assegna obblighi profondamente diversi a seconda che tu sia classificato come fornitore o come deployer e sbagliare non significa soltanto risultare non conforme. Significa costruire i processi interni sbagliati, assegnare i team sbagliati e sprecare mesi di lavoro. Questa guida analizza esattamente che cosa richiede ciascun ruolo, dove i due si sovrappongono e come le organizzazioni con più entità possono operazionalizzare la conformità senza annegare nei fogli di calcolo.

Scarica la checklist sugli obblighi dei fornitori e dei deployer

PDF gratuito, nessuna demo richiesta. Basta un'email aziendale.

Piattaforma ospitata in Svizzera Infrastruttura allineata alla ISO 27001 Scelta da imprese che gestiscono oltre 50 entità Conformità assistita dall'IA e decisa dalle persone Nessun dato dei clienti usato per l'addestramento dei modelli
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

A confronto: che cosa l'AI Act richiede a ciascun ruolo

Gli obblighi divergono in modo significativo. Questa tabella riguarda i sistemi di IA ad alto rischio ai sensi dell'EU AI Act (Regolamento 2024/1689). Il primo passo è sapere quale colonna si applica alla tua organizzazione e, nei gruppi con più entità, la risposta è spesso entrambe.

Ambito dell'obbligo Obblighi del fornitore Obblighi del deployer
Sistema di gestione dei rischi Istituire e mantenere un sistema di gestione dei rischi lungo l'intero ciclo di vita del sistema di IA (Articolo 9). Deve identificare, analizzare e mitigare i rischi prevedibili. Monitorare il sistema di IA in esercizio e segnalare i rischi al fornitore. Nessun obbligo di costruire un proprio sistema di gestione dei rischi, ma occorre seguire le istruzioni del fornitore.
Documentazione tecnica Mantenere una documentazione che copra tutti gli 11 ambiti dell'Allegato IV, tra cui architettura del sistema, dati di addestramento, metriche di accuratezza, misure di cibersicurezza e altro ancora. Deve essere pronta per gli audit. Nessun obbligo di creare documentazione tecnica. Occorre conservare i log generati automaticamente dal sistema e renderli disponibili alle autorità su richiesta.
Valutazione della conformità Completare una valutazione della conformità prima di immettere il sistema sul mercato. Autovalutazione per la maggior parte dei sistemi; valutazione da parte di terzi per i sistemi di identificazione biometrica. Nessuna valutazione della conformità richiesta. Tuttavia, occorre verificare che il fornitore abbia completato la propria e che il sistema rechi la marcatura CE.
Gestione della qualità Implementare un sistema di gestione della qualità che copra progettazione, sviluppo, test e monitoraggio post-commercializzazione (Articolo 17). Documentare politiche e procedure. Nessun obbligo di sistema di gestione della qualità. I deployer devono garantire che il sistema sia utilizzato in conformità con le istruzioni per l'uso del fornitore.
Sorveglianza umana Progettare il sistema in modo da consentire una sorveglianza umana efficace. Fornire istruzioni su come i deployer devono attuare le misure di sorveglianza. Assegnare persone formate e competenti per sorvegliare il sistema di IA. Devono essere in grado di comprendere le capacità e i limiti del sistema e di intervenire quando necessario.
Valutazione d'impatto sui diritti fondamentali Non richiesta ai fornitori. Tuttavia, i fornitori devono fornire informazioni sufficienti affinché i deployer possano condurre le proprie valutazioni. Richiesta prima del primo utilizzo per i sistemi ad alto rischio nell'occupazione, nello scoring creditizio, nei servizi essenziali, nelle attività di contrasto e nella gestione della migrazione (Articolo 27).
Segnalazione degli incidenti Segnalare gli incidenti gravi alle autorità di vigilanza del mercato. Istituire sistemi di monitoraggio post-commercializzazione proporzionati al livello di rischio del sistema. Segnalare gli incidenti gravi al fornitore e, ove applicabile, alle autorità di vigilanza del mercato. Occorre sospendere l'utilizzo se il sistema presenta un rischio.
Trasparenza Garantire che il sistema sia progettato per la trasparenza. Fornire ai deployer istruzioni per l'uso chiare, inclusi finalità prevista, limiti e rischi noti. Informare le persone interessate che sono soggette a un sistema di IA ad alto rischio. Obblighi di trasparenza aggiuntivi per i sistemi di riconoscimento delle emozioni e di categorizzazione biometrica.
Registrazione nella banca dati UE Registrare il sistema di IA ad alto rischio nella banca dati UE prima di immetterlo sul mercato (Articolo 49). Registrare il proprio utilizzo del sistema di IA ad alto rischio nella banca dati UE prima di metterlo in servizio (Articolo 49).
Monitoraggio post-commercializzazione Istituire un sistema di monitoraggio post-commercializzazione proporzionato alla natura e al rischio del sistema di IA. Raccogliere e analizzare i dati lungo l'intero ciclo di vita del sistema. Monitorare l'esercizio e segnalare al fornitore anomalie, malfunzionamenti o rischi imprevisti. Nessun obbligo di costruire un sistema di monitoraggio formale.

Fonte: EU AI Act, Regolamento (UE) 2024/1689, Titoli III e IV. La tabella riguarda gli obblighi relativi ai sistemi di IA ad alto rischio. Gli obblighi per i modelli di IA per finalità generali (Titolo IIIA) sono requisiti distinti per i fornitori di GPAI.

Come Priverion operazionalizza la conformità all'AI Act in tutto il tuo gruppo

Gestire gli obblighi di fornitori e deployer tra più filiali e giurisdizioni richiede ben più dei fogli di calcolo. Queste funzionalità sono progettate su misura per la complessità che affronti realmente.

Classificazione

Registro IA per la classificazione di fornitori e deployer

Mappa ogni sistema di IA del tuo gruppo alla sua corretta classificazione (fornitore, deployer o entrambi) a livello di entità. Quando una filiale perfeziona un modello e passa da deployer a fornitore ai sensi dell'Articolo 25, Priverion segnala la riclassificazione e fa emergere automaticamente i nuovi obblighi. Niente più ipotesi sepolte in fogli di calcolo che nessuno verifica.

Utilizzato da organizzazioni che gestiscono oltre 50 entità in più giurisdizioni

Basato su implementazioni di clienti Priverion, 2024

Valutazioni d'impatto

DPIA e valutazioni d'impatto sui diritti fondamentali assistite dall'IA

I deployer di IA ad alto rischio nell'occupazione, nello scoring creditizio o nelle attività di contrasto devono condurre valutazioni d'impatto sui diritti fondamentali prima del deployment. La redazione assistita dall'IA di Priverion genera prime bozze strutturate con scoring del rischio allineato alle categorie dell'Allegato III, dopodiché il tuo team di compliance le esamina, le perfeziona e le approva. L'IA assiste, le persone decidono. Nessun dato dei clienti viene usato per l'addestramento dei modelli.

Un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione alla ISO 27001 grazie ai flussi di lavoro di valutazione di Priverion

Case study di un'azienda di tecnologia medica, primi 12 mesi di implementazione

Documentazione

Documentazione tecnica dell'Allegato IV: 11 ambiti, pronti per gli audit

I fornitori di IA ad alto rischio devono mantenere una documentazione tecnica che copra 11 ambiti specifici previsti dall'Allegato IV, dall'architettura del sistema alla metodologia dei dati di addestramento fino alle metriche di accuratezza. Priverion struttura questa documentazione per sistema di IA ed entità, traccia la completezza in tempo reale e genera pacchetti di evidenze pronti per gli audit destinati alle autorità di vigilanza in pochi minuti, non in settimane.

11 ambiti di documentazione tecnica richiesti dall'Allegato IV dell'AI Act per i fornitori di IA ad alto rischio

EU AI Act, Regolamento 2024/1689, Allegato IV

Monitoraggio

Flussi di lavoro per il monitoraggio post-commercializzazione e la segnalazione degli incidenti

I fornitori devono istituire sistemi di monitoraggio post-commercializzazione proporzionati al livello di rischio del sistema di IA. I deployer devono monitorare l'esercizio e segnalare gli incidenti gravi. Priverion centralizza la gestione degli incidenti in ogni filiale. Flussi di lavoro strutturati indirizzano gli incidenti ai team giusti, applicano i tempi di risposta e mantengono la traccia documentale che le autorità di vigilanza si aspettano.

Rischio fornitori

Valutazioni dei fornitori terzi di IA e mappatura degli obblighi

Quando utilizzi un sistema di IA di terzi, i tuoi obblighi come deployer non scompaiono perché il fornitore gestisce la parte tecnica. I flussi di lavoro di valutazione del rischio fornitori di Priverion valutano i tuoi fornitori di IA rispetto ai requisiti dell'AI Act (pratiche di governance dei dati, disposizioni sulla trasparenza, progettazione della sorveglianza umana), così puoi verificare che il sistema che stai utilizzando soddisfi effettivamente gli standard che il regolamento si aspetta da te.

Un operatore sanitario ha raggiunto il 100% di copertura nella valutazione del rischio fornitori con Priverion

Referenza cliente di un operatore sanitario, 2024

Visibilità di gruppo

Dashboard di compliance tra le entità: pronta per il consiglio in tempo reale

Il tuo CISO ha bisogno di un'unica vista su ogni sistema di IA, ogni filiale e ogni giurisdizione, che mostri quali sistemi sono classificati, quali valutazioni sono complete, quali obblighi sono in sospeso e dove si concentra l'esposizione al rischio. Le dashboard di compliance di Priverion offrono tutto questo senza che nessuno debba consolidare i report di dodici diverse unità di business in una presentazione la notte prima della riunione del consiglio.

Un produttore aeronautico ha ridotto del 60% il tempo amministrativo dedicato alla compliance nei primi 6 mesi

Case study di un produttore aeronautico, primi 6 mesi dopo l'implementazione

Tutti i dati sono trattati all'interno dell'infrastruttura svizzera. Sviluppata in Svizzera e ospitata in Svizzera. In un mondo post-Schrems II, questa non è una casella di marketing. È un requisito legale per i trasferimenti transfrontalieri di dati.


Scarica la checklist Fornitore vs Deployer

200+

Ore risparmiate nella preparazione alla compliance

Un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione alla ISO 27001 sostituendo il tracciamento manuale con flussi di lavoro automatizzati di ricertificazione, nei primi 12 mesi.

60%

Riduzione del tempo amministrativo di compliance

Un produttore aeronautico ha ottenuto una riduzione del 60% del tempo amministrativo di compliance nei primi 6 mesi automatizzando gli aggiornamenti dei registri dei trattamenti tra le filiali.

100%

Copertura nella valutazione del rischio fornitori

Un operatore sanitario ha raggiunto il 100% di copertura nella valutazione del rischio fornitori, con ogni responsabile del trattamento terzo valutato e documentato. Referenza cliente di un operatore sanitario, 2024.

"Siamo passati dal dedicare gran parte del nostro tempo amministrativo di compliance a inseguire le unità di business di più filiali per gli aggiornamenti dei registri dei trattamenti a una ricertificazione completamente automatizzata. Il nostro RPD si concentra ora sul lavoro strategico sulla privacy invece che sulla manutenzione dei fogli di calcolo, e questo cambiamento è avvenuto nei primi sei mesi."

Responsabile del programma privacy

Produttore aeronautico

Basato sul case study di un produttore aeronautico, primi 6 mesi dopo l'implementazione, 2024

Perché le aziende mid-market passano a Priverion

Le piattaforme privacy enterprise non sono state costruite per la tua realtà. Hai bisogno di una compliance estesa a tutto il gruppo che scali tra le filiali, senza contratti a sei cifre, implementazioni di 12 mesi e moduli che non userai mai.

Priverion

Ospitata in Svizzera, sviluppata in Svizzera

Tutto il trattamento dei dati avviene all'interno dell'infrastruttura svizzera. In un mondo post-Schrems II, questa non è una casella di marketing. È una base legale per i trasferimenti transfrontalieri di dati. Residenza dei dati in Europa per impostazione predefinita, non come componente aggiuntivo.

Costruita per la gestione di tutto il gruppo

Mappatura dei dati tra le entità, ricertificazione automatizzata dei registri dei trattamenti e dashboard centralizzate, progettate per organizzazioni che gestiscono la compliance tra 5, 20 o oltre 50 filiali. Un'unica piattaforma, visibilità completa.

Operativa in poche settimane

Un produttore aeronautico ha ottenuto una riduzione del 60% del tempo amministrativo di compliance nei primi 6 mesi. Un assicuratore svizzero ha raggiunto il 100% di ricertificazione automatizzata dei registri dei trattamenti. Niente progetti di implementazione di 12 mesi, nessun team IT dedicato richiesto.

Basato su risultati verificati dei clienti: produttore aeronautico (revisione a 6 mesi) e un assicuratore svizzero (audit post-implementazione)

Prezzi prevedibili, pensati per il mid-market

Tariffato in base al numero di aziende e alle dimensioni organizzative, non per utente o per modulo. Nessuna trappola di espansione. Nessuna fattura a sorpresa quando il tuo team cresce. Ogni funzionalità inclusa, ogni entità coperta.

Assistita dall'IA, controllata dalle persone

L'IA redige DPIA, valuta i rischi e mappa i regolamenti, ma ogni output viene esaminato prima di diventare un record di compliance. Nessun dato dei clienti usato per l'addestramento dei modelli. Tutto il trattamento avviene all'interno dell'infrastruttura svizzera. L'IA assiste, tu decidi.

Integrazioni profonde dove conta

Integrazioni con i sistemi di HR, procurement e gestione degli asset IT che alimentano i flussi di lavoro sulla privacy, non 200 connettori superficiali che generano oneri di manutenzione e si rompono a ogni aggiornamento.

Piattaforme enterprise tradizionali

Ospitate negli USA per impostazione predefinita

La maggior parte delle piattaforme privacy enterprise è costruita e ospitata negli USA. La residenza dei dati in Europa, quando è disponibile, arriva come livello aggiuntivo premium. Dopo Schrems II, questa non è una preferenza di configurazione. È un rischio di compliance che il tuo team legale deve giustificare a ogni trasferimento di dati.

Progettate per imprese a singola entità

Costruite per aziende Fortune 500 che operano come singola entità giuridica. Più filiali? Stai gestendo soluzioni alternative: istanze separate, permessi complessi e consolidamenti manuali. La visibilità sull'intero gruppo richiede incarichi di consulenza su misura.

Mesi per andare in produzione

Tempi di implementazione misurati in trimestri, non in settimane. Team di progetto dedicati, consulenti esterni e coinvolgimento dell'IT prima ancora che il tuo primo registro dei trattamenti venga migrato. Quando sei "operativo", il ciclo di audit successivo è già alle porte.

Prezzi per utente, per modulo

Hai bisogno delle valutazioni del rischio fornitori? È un modulo. Gestione degli incidenti? Un altro modulo. Ogni nuovo utente si aggiunge alla fattura. Quando hai assemblato ciò che Priverion include di serie, hai triplicato il preventivo iniziale.

L'IA come scatola nera

Funzionalità di IA pubblicizzate in modo aggressivo, ma con scarsa trasparenza su dove finiscono i tuoi dati, su come vengono addestrati i modelli o sul fatto che gli output saltino la revisione umana. In un contesto di compliance, "fidati di noi" non è una risposta sufficiente per la tua autorità di vigilanza.

200 integrazioni, profondità superficiale

Un marketplace con centinaia di connettori che fanno una bella impressione in una demo. In pratica, la maggior parte sono sincronizzazioni superficiali che richiedono una manutenzione costante, si rompono agli aggiornamenti dei fornitori e non automatizzano davvero i flussi di lavoro sulla privacy che ti fanno risparmiare tempo.

Siamo onesti su ciò che non facciamo: Priverion non copre il reporting ESG, le linee etiche o il consenso ai cookie. Andiamo in profondità sulla gestione del programma privacy, così non devi accontentarti di una copertura superficiale.

Confronto basato su informazioni pubblicamente disponibili ed esperienze di migrazione riferite dai clienti, 2024

Prenota una panoramica di 30 minuti

Scarica la checklist sugli obblighi dei fornitori e dei deployer ai sensi dell'AI Act

Una checklist strutturata e stampabile che copre ogni obbligo per i fornitori e i deployer di sistemi di IA ad alto rischio ai sensi dell'EU AI Act, organizzata per ruolo, scadenza e requisito di documentazione. Pensata per RPD, responsabili della compliance e team legali che gestiscono gruppi con più entità.

PDF gratuito. Nessuna demo richiesta. Te lo invieremo nella tua casella di posta. Nessuna chiamata di follow-up se non la richiedi. La tua email è trattata in conformità con la nostra informativa sulla privacy.

Domande frequenti: Fornitore vs Deployer ai sensi dell'AI Act

Qual è la differenza tra un fornitore e un deployer ai sensi dell'AI Act?

Un fornitore sviluppa o immette un sistema di IA sul mercato. Costruisce, addestra o modifica sostanzialmente il modello. Un deployer utilizza un sistema di IA sotto la propria autorità in un contesto professionale. La stessa organizzazione può essere entrambi: se la tua filiale perfeziona un modello di terzi oltre la sua finalità prevista, può passare da deployer a fornitore ai sensi dell'Articolo 25. Ciascun ruolo comporta obblighi profondamente diversi in materia di documentazione, gestione dei rischi e segnalazione degli incidenti.

Un'organizzazione può essere sia fornitore sia deployer ai sensi dell'AI Act?

Sì. È comune nelle organizzazioni con più entità. Una società madre può sviluppare un sistema di IA (fornitore) mentre le filiali lo utilizzano (deployer). Se un deployer modifica sostanzialmente il sistema, lo perfeziona per una finalità diversa o vi appone il proprio nome, diventa un fornitore ai sensi dell'Articolo 25. Il Registro IA di Priverion traccia queste classificazioni a livello di entità e segnala automaticamente le riclassificazioni.

Quali sono i principali obblighi per i fornitori di sistemi ad alto rischio ai sensi dell'AI Act?

I fornitori di sistemi di IA ad alto rischio devono: istituire un sistema di gestione della qualità, mantenere una documentazione tecnica che copra 11 ambiti previsti dall'Allegato IV, attuare il monitoraggio post-commercializzazione, segnalare gli incidenti gravi, garantire la valutazione della conformità prima dell'immissione sul mercato, registrarsi nella banca dati UE e nominare un rappresentante autorizzato se hanno sede al di fuori dell'UE. Questi obblighi richiedono processi operativi continui, non una documentazione una tantum.

Quali sono i principali obblighi per i deployer di sistemi ad alto rischio ai sensi dell'AI Act?

I deployer di sistemi di IA ad alto rischio devono: utilizzare i sistemi in conformità con le istruzioni del fornitore, garantire la sorveglianza umana da parte di personale adeguatamente formato, monitorare l'esercizio per individuare i rischi, condurre valutazioni d'impatto sui diritti fondamentali (per determinati casi d'uso come l'occupazione e lo scoring creditizio), segnalare gli incidenti gravi e conservare i log generati dal sistema. I deployer hanno inoltre obblighi di trasparenza verso le persone interessate.

Quando entrano in vigore gli obblighi dell'AI Act?

L'AI Act è entrato in vigore il 1° agosto 2024. Le pratiche di IA vietate si applicano dal 2 febbraio 2025. Gli obblighi per i modelli di IA per finalità generali si applicano dal 2 agosto 2025. Gli obblighi per i sistemi di IA ad alto rischio per fornitori e deployer si applicano dal 2 agosto 2026. Le organizzazioni dovrebbero avviare ora la classificazione e l'analisi delle lacune. Attendere le date di applicazione significa costruire i processi di compliance sotto la pressione delle scadenze.

Come aiuta Priverion nella conformità all'AI Act tra più filiali?

Il Registro IA di Priverion mappa ogni sistema di IA del tuo gruppo alla sua corretta classificazione (fornitore, deployer o entrambi) a livello di entità. Quando le classificazioni cambiano (per esempio, una filiale perfeziona un modello), Priverion segnala la riclassificazione e fa emergere automaticamente i nuovi obblighi. La redazione di DPIA assistita dall'IA, la gestione centralizzata degli incidenti, le valutazioni del rischio fornitori e le dashboard di compliance pronte per il consiglio ti offrono una visibilità estesa a tutto il gruppo senza consolidamenti manuali. Tutti i dati sono trattati all'interno dell'infrastruttura svizzera.

Priverion utilizza i dati dei clienti per l'addestramento dei modelli di IA?

No. Priverion non utilizza mai i dati dei clienti per l'addestramento dei modelli di IA. Tutte le funzionalità di IA sono progettate per assistere il processo decisionale umano. L'IA redige valutazioni, valuta i rischi e mappa i regolamenti, ma ogni output viene esaminato dal tuo team di compliance prima di diventare un record di compliance. Tutto il trattamento dei dati avviene all'interno dell'infrastruttura svizzera.

Smetti di gestire gli obblighi dell'AI Act nei fogli di calcolo. Inizia a gestirli come un programma.

Un produttore aeronautico ha ridotto del 60% il tempo amministrativo di compliance in sei mesi. Un assicuratore svizzero ha raggiunto il 100% di ricertificazione automatizzata dei registri dei trattamenti. Un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione alla ISO 27001.

In 30 minuti ti mostreremo esattamente come funziona la conformità all'AI Act estesa a tutto il gruppo quando è costruita per organizzazioni con più entità, con sovranità dei dati svizzera, flussi di lavoro assistiti dall'IA e prezzi che non ti penalizzano quando cresci.

Prenota una panoramica di 30 minuti

Nessun impegno richiesto

Operativa in settimane, non in mesi

Infrastruttura ospitata in Svizzera