Il dibattito sull’intelligenza artificiale non riguarda più soltanto l’innovazione tecnologica, ma la responsabilità legale che ne deriva. Il nuovo EU AI Act introduce uno dei quadri di accountability più complessi mai applicati alla tecnologia e sfida le aziende a rispondere a una domanda apparentemente semplice: chi è responsabile di cosa. La risposta, naturalmente, non è semplice. La costruzione di sistemi AI raramente parte da un unico attore. Un fornitore sviluppa modelli di base, altri li perfezionano o li integrano, mentre i deployer li utilizzano in contesti concreti. Trasparenza, supervisione umana, reporting degli incidenti diventano obblighi sfumati tra ruoli che spesso si sovrappongono.
Lo studio “Subject Roles in the EU AI Act: Mapping and Regulatory Implications” (Fabiano, 2025) affronta questa ambiguità con un approccio sistematico. L’Articolo 3 distingue sei ruoli chiave: provider, deployer, rappresentante autorizzato, importatore, distributore e produttore di prodotti, ognuno con responsabilità distinte. La prima sorpresa per chi pensa che la normativa sia statica è che questi ruoli non lo sono affatto.
L’Articolo 25 permette una trasformazione di ruolo. Un deployer che modifica sostanzialmente un sistema AI o ne controlla dati e output diventa, di fatto, provider. Questa semplice frase ha implicazioni pratiche enormi: significa che chi crede di avere un ruolo “passivo” può ritrovarsi responsabile di compliance, liability e reporting. La normativa spinge quindi le organizzazioni a una mappatura interna delle proprie attività e influenze sul sistema AI, pena conseguenze legali dirette.
Gli obblighi dei deployer sono concreti e impegnativi. Articolo 26 li obbliga a mantenere supervisione umana, registrare l’attività per almeno sei mesi, riportare incidenti, e, dove necessario, eseguire Valutazioni d’Impatto sui Diritti Fondamentali (Articolo 27). Non è un compito da poco: significa strutturare sistemi di logging robusti, processi di escalation rapidi e una cultura aziendale orientata alla responsabilità digitale. La logica normativa è chiara: compliance segue il controllo. Chi esercita influenza reale su un sistema AI è chiamato a dimostrare di saperlo gestire.
Il problema pratico per le aziende è duplice. Da una parte c’è la necessità di capire il proprio ruolo lungo l’intera catena del valore AI. Dall’altra, occorre documentare ogni decisione, modifica e flusso di dati in modo da rendere evidente chi è responsabile in caso di incidenti. La normativa spinge verso un approccio quasi “forense”: ogni log, ogni parametro regolato, ogni output deve poter essere ricondotto a una responsabilità definita.
Un dettaglio sottile ma critico riguarda la trasformazione dei ruoli nel tempo. Non basta rispettare gli obblighi iniziali: un deployer può diventare provider in corso d’opera se modifica o controlla il sistema. La fluidità dei ruoli introduce una dinamica complessa di governance interna. Aziende tecnologiche che operano con modelli AI di terze parti devono quindi predisporre contratti e policy che anticipino scenari di responsabilità mutabile.
Curiosamente, questa normativa tende a premiare chi esercita trasparenza operativa. Le organizzazioni che documentano decisioni, flussi dati e interventi di supervisione umana non solo rispettano la legge, ma ottengono anche vantaggi reputazionali. La responsabilità, in un certo senso, diventa un asset competitivo.
L’impatto della normativa si estende anche alla supply chain. Importatori, distributori e produttori di prodotti AI devono allineare la loro catena logistica con gli obblighi di tracciamento, reporting e vigilanza. Anche un piccolo distributore può ritrovarsi al centro di un’indagine se il sistema AI che vende genera danni o violazioni dei diritti fondamentali. La lezione implicita è che la responsabilità non è mai confinata: segue il controllo reale più che il titolo formale di ruolo.
Nel contesto di strategia aziendale e governance tecnologica, il EU AI Act richiede un approccio integrato. Non si tratta di check-list o compliance superficiale: serve una visione chiara di chi fa cosa, come i dati vengono manipolati e quali decisioni sono automatizzate. La distinzione tra deployer e provider, tra modifica sostanziale e semplice utilizzo, diventa cruciale per evitare responsabilità legali.
Un dettaglio spesso trascurato riguarda la gestione dei dati. Controllare i dati significa in molti casi assumere responsabilità legale diretta. Logging, audit trail, valutazioni d’impatto diventano quindi strumenti indispensabili per dimostrare che l’influenza sul sistema AI è esercitata con competenza e trasparenza.
Dal punto di vista di chi sviluppa AI, questa normativa è provocatoria. Non basta creare modelli innovativi: bisogna anche costruire strutture di governance complesse che possano documentare la trasformazione dei ruoli, le decisioni automatizzate e la supervisione umana. Le aziende più lungimiranti stanno già integrando team legali, data governance e ingegneria in un unico flusso operativo, anticipando ciò che molti vedranno come un ostacolo.
La comprensione e la documentazione dei ruoli lungo la catena del valore AI rappresentano la base della compliance. La normativa non punisce chi innova, ma chi ignora come la responsabilità si distribuisce. In un certo senso, il EU AI Act trasforma la gestione dell’AI in un esercizio di trasparenza radicale: chi controlla, firma, documenta e supervisiona, detta le regole del gioco legale. La vera sfida non è tanto tecnologica, quanto organizzativa: capire chi è responsabile di cosa, prima che accada qualsiasi incidente.
Per aziende, start-up e gruppi industriali, questo significa cambiare prospettiva: i sistemi AI non sono solo strumenti, ma oggetti di governance e responsabilità. Ignorare questo principio può risultare molto più costoso di qualsiasi investimento in tecnologia avanzata.