La catena del valore dell'AI Act
Art. 2, Art. 3 — Regolamento (UE) 2024/1689
Il Regolamento europeo sull'Intelligenza Artificiale (AI Act) definisce una catena del valore che identifica quattro ruoli principali. Ogni ruolo ha obblighi specifici e diversi livelli di responsabilità.
Ambito di applicazione
L'AI Act si applica a tutti i sistemi di intelligenza artificiale immessi sul mercato dell'Unione Europea o messi in servizio nel suo territorio (Art. 2). Si applica anche quando l'output di un sistema AI è utilizzato nell'UE, anche se il provider o il deployer è stabilito fuori dall'Unione (Art. 2(1)(c)).
La normativa copre l'intero ciclo di vita del sistema AI: dalla progettazione alla dismissione, passando per sviluppo, test, immissione sul mercato, messa in servizio, utilizzo e monitoraggio.
I quattro ruoli nella catena del valore
Il Regolamento identifica quattro attori principali, ciascuno con obblighi proporzionati al proprio livello di controllo sul sistema:
Provider (Fornitore)
Art. 3(3)Sviluppa o fa sviluppare un sistema AI e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio. Ha gli obblighi più ampi: risk management, data governance, documentazione tecnica, conformity assessment, marcatura CE, monitoraggio post-market.
Deployer (Utilizzatore)
Art. 3(4)Utilizza un sistema AI sotto la propria autorità in un contesto professionale. Deve garantire la supervisione umana, l'uso conforme alla destinazione d'uso, il logging e l'informazione degli utenti finali.
Importatore
Art. 3(6)Immette sul mercato UE un sistema AI sviluppato da un provider stabilito fuori dall'Unione. Deve verificare che il provider abbia completato la valutazione di conformità e che la documentazione sia corretta.
Distributore
Art. 3(7)Mette a disposizione un sistema AI sul mercato UE senza essere provider o importatore. Deve verificare la marcatura CE e la disponibilità della documentazione prima della distribuzione.
Come interagiscono i ruoli
I ruoli non sono mutuamente esclusivi: la stessa organizzazione può ricoprire ruoli diversi per sistemi diversi. Ad esempio, un'azienda può essere provider di un sistema AI sviluppato internamente e deployer di un altro sistema acquistato da terzi.
L'Art. 25 prevede inoltre che un deployer possa diventare provider in determinate circostanze (modifiche sostanziali, apposizione del proprio marchio). L'Art. 25 consente anche la ridistribuzione contrattuale di specifici obblighi tra gli attori della catena.
Principi chiave
Proporzionalità
Gli obblighi sono proporzionati al ruolo e al livello di rischio del sistema AI.
Tracciabilità
Ogni attore della catena deve poter tracciare chi fornisce, importa, distribuisce o utilizza il sistema.
Cooperazione
Tutti gli attori devono cooperare con le autorità di vigilanza del mercato.
Documentazione
La documentazione tecnica e le istruzioni per l'uso devono accompagnare il sistema lungo tutta la catena.