Art. 25 — Cambio di ruolo e modifiche sostanziali
Obblighi degli operatori diversi dal provider — Regolamento (UE) 2024/1689
L'Articolo 25 del Regolamento AI Act è una delle disposizioni più importanti per la distribuzione degli obblighi nella catena del valore. Definisce quando un operatore diverso dal provider originale (tipicamente un deployer) assume il ruolo e gli obblighi del provider.
Quando un deployer diventa provider
Ai sensi dell'Art. 25(1), qualsiasi persona fisica o giuridica è considerata provider di un sistema AI ad alto rischio e soggetta agli obblighi del provider (Art. 16) quando:
Apposizione del proprio nome o marchio
Appone il proprio nome o marchio su un sistema AI ad alto rischio già immesso sul mercato o già messo in servizio, fatta salva la disposizione relativa agli accordi contrattuali che attribuiscono diversamente gli obblighi.
Modifica sostanziale
Apporta una modifica sostanziale a un sistema AI ad alto rischio già immesso sul mercato o già messo in servizio, in modo tale che il sistema resti un sistema AI ad alto rischio ai sensi dell'Art. 6.
Modifica della finalità d'uso
Modifica la finalità d'uso di un sistema AI, anche un sistema AI per finalità generali, che non è stato classificato come ad alto rischio e che è già stato immesso sul mercato o messo in servizio, in modo tale che il sistema AI interessato diventi un sistema AI ad alto rischio ai sensi dell'Art. 6.
Cosa si intende per "modifica sostanziale"
“L'Art. 3(23) definisce la modifica sostanziale come una modifica di un sistema AI dopo la sua immissione sul mercato o la sua messa in servizio che non è stata prevista o pianificata nella valutazione di conformità iniziale effettuata dal provider e a seguito della quale la conformità del sistema AI ai requisiti di cui al Capo III, Sezione 2, è compromessa o la finalità d'uso del sistema è modificata.”
Esempi di modifiche sostanziali
Modifica al modello
Re-training del modello con nuovi dati, fine-tuning che altera significativamente le prestazioni, sostituzione dell'algoritmo di base.
Modifica alla finalità d'uso
Utilizzo di un sistema progettato per il customer service in un contesto di screening del credito, o da uso interno a uso verso il pubblico.
Modifica ai dati
Addestramento su un dominio significativamente diverso, modifica della distribuzione dei dati di input che altera il profilo di rischio.
Modifica architetturale
Modifica dell'architettura della rete neurale, aggiunta di componenti che cambiano sostanzialmente il comportamento del sistema.
Ridistribuzione contrattuale degli obblighi
L'Art. 25(4) prevede che il provider originale e la terza parte che diventa provider possano stipulare un accordo scritto per ridistribuire specifici obblighi. Tuttavia, questa ridistribuzione:
- Non esonera nessuna delle parti dalla responsabilità prevista dal Regolamento verso i terzi
- Deve essere documentata e disponibile per le autorità di vigilanza
- Non può derogare ai requisiti essenziali del Capo III, Sezione 2
È quindi fondamentale che qualsiasi accordo contrattuale specifichi chiaramente quali obblighi sono assegnati a quale parte e che entrambe le parti mantengano la documentazione adeguata.
Esempi pratici
Azienda A acquista un chatbot da Azienda B e lo integra nel proprio servizio clienti con il proprio marchio.
Risultato: Azienda A diventa Provider → deve completare la conformity assessment, marcatura CE, documentazione tecnica.
Azienda C acquista un sistema di scoring HR da Azienda D e modifica i criteri di valutazione e le soglie decisionali.
Risultato: Azienda C diventa Provider → la modifica ai criteri è sostanziale, assume tutti gli obblighi del provider.
Azienda E utilizza un sistema di analisi immagini progettato per il quality control industriale e lo applica allo screening medico.
Risultato: Azienda E diventa Provider → il cambio di finalità d'uso trasforma il sistema in alto rischio (sanità, Allegato III).
Azienda F utilizza un sistema AI così com'è fornito dal provider, senza modifiche e senza il proprio marchio.
Risultato: Azienda F resta Deployer → è soggetta solo agli obblighi dell'Art. 26.
Implicazioni per la compliance
- 1Prima di apportare qualsiasi modifica a un sistema AI, valuta se la modifica è "sostanziale" ai sensi dell'Art. 3(23)
- 2Se apponi il tuo marchio su un sistema AI, stai assumendo il ruolo di provider con tutti gli obblighi correlati
- 3Documenta sempre le modifiche apportate e la valutazione della loro sostanzialità
- 4Rivedi gli accordi contrattuali con il provider originale per chiarire la distribuzione degli obblighi
- 5In caso di dubbio, consulta un esperto legale specializzato in AI Act