Utilizzatore

Un utilizzatore (deployer) ai sensi del EU AI Act è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, escludendo l'uso puramente personale e non professionale. Questa definizione è più ampia di quanto molte organizzazioni pensino: se usate uno strumento di IA di terzi nei processi aziendali, siete probabilmente un utilizzatore con obblighi legali specifici, anche se non avete costruito il sistema.

Il regolamento stabilisce obblighi distinti per gli utilizzatori rispetto ai fornitori (chi sviluppa e mette sul mercato i sistemi). Anche se gli obblighi dei fornitori sono più estesi, quelli degli utilizzatori sono tutt'altro che marginali. L'articolo 26 include responsabilità come implementare misure di supervisione umana, monitorare l'operatività, conservare i log, svolgere valutazioni d'impatto sui diritti fondamentali per alcuni casi d'uso e informare le persone interessate dell'uso di IA. Molte organizzazioni si concentrano solo sugli obblighi del fornitore senza riconoscere il proprio ruolo di utilizzatore. Una banca che usa IA per credit scoring è utilizzatore. Un ospedale con assistente diagnostico è utilizzatore. Un dipartimento HR che usa IA per screening candidati è utilizzatore.

L'articolo 26 richiede agli utilizzatori di sistemi ad alto rischio: usare il sistema secondo le istruzioni, garantire supervisione umana da parte di persone competenti e con autorità, monitorare il funzionamento e informare il fornitore di incidenti gravi, conservare i log generati automaticamente per almeno sei mesi, condurre una valutazione d'impatto sui diritti fondamentali prima di mettere in uso alcuni sistemi in ambito pubblico o servizi essenziali e informare le persone fisiche che sono soggette a decisioni di un sistema ad alto rischio.

Criticamente, un utilizzatore diventa fornitore se appone il proprio nome o marchio su un sistema ad alto rischio, effettua una modifica sostanziale o ne cambia la finalità. Le organizzazioni che personalizzano o affinano sistemi di terzi dovrebbero valutare con attenzione se tali modifiche superano la soglia che determina lo status di fornitore.