Fornitore

Un fornitore ai sensi del EU AI Act è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che sviluppa un sistema di IA o ne fa sviluppare uno con l'obiettivo di immetterlo sul mercato o metterlo in servizio sotto il proprio nome o marchio, a pagamento o gratuitamente. I fornitori hanno gli obblighi di conformità più ampi, poiché sono responsabili di garantire che il sistema soddisfi i requisiti applicabili dalla progettazione al deployment.

Il ruolo di fornitore comporta il maggiore carico regolatorio. Gli articoli 8-25 stabiliscono obblighi estesi: gestione del rischio, governance dei dati, documentazione tecnica, progettazione di supervisione umana, livelli adeguati di accuratezza e robustezza, valutazioni di conformità e monitoraggio post-commercializzazione. Molte organizzazioni diventano fornitori senza accorgersene. La definizione include non solo chi addestra modelli da zero, ma anche chi modifica sostanzialmente sistemi esistenti, integra componenti in prodotti o servizi sotto il proprio brand o commissiona sviluppo a terzi. Usare un foundation model di OpenAI, Anthropic o altri non esime dallo status di fornitore se si costruisce uno strato applicativo e lo si offre agli utenti. Comprendere la differenza tra fornitore e utilizzatore è critico: i fornitori sono responsabili del sistema; gli utilizzatori usano sistemi di altri. La stessa organizzazione può essere fornitore per alcuni sistemi e utilizzatore per altri.

Le organizzazioni devono valutare onestamente il proprio status di fornitore. Domande chiave: offrite capacità di IA sotto il vostro nome o marchio? avete modificato sostanzialmente un sistema di terzi? state commissionando sviluppo di IA che poi distribuirete?

Gli obblighi del fornitore sono intensivi. La gestione del rischio deve essere mantenuta lungo il ciclo di vita. La documentazione dell'Allegato IV richiede record dettagliati su scelte di design, dati di training, risultati di test e parametri operativi. I sistemi di gestione della qualità devono garantire conformità continua. La supervisione umana deve essere progettata nel sistema. La valutazione di conformità, interna o tramite organismo notificato, deve essere completata prima dell'immissione sul mercato. Monitoraggio post-commercializzazione e incident reporting devono essere operativi. Per fornitori di sistemi ad alto rischio, la conformità non può essere un ripensamento: va integrata nel ciclo di sviluppo fin dall'inizio, con documentazione prodotta in modo contemporaneo e evidenze verificabili.