Checklist obblighi dei deployer per founder e responsabili compliance

Gli obblighi dei deployer nell'EU AI Act vanno controllati prima di mettere in servizio un sistema di IA ad alto rischio, modificarne l'uso, estenderlo a un nuovo workflow cliente o dipendente, o usare il suo output in una decisione rilevante. La checklist pratica e questa: confermare il ruolo, usare il sistema secondo le istruzioni del provider, assegnare supervisione umana competente, controllare gli input quando il team li controlla, monitorare l'uso reale, conservare i log, gestire informative e trigger di impact assessment, e definire quando sospendere o escalare.

Per i team SaaS non e un memo legale isolato. E un workflow operativo che collega configurazione prodotto, implementazione, vendor management, supporto, training, security logging, privacy review e incident response. Un founder o compliance lead deve poter vedere in un solo record quale sistema e usato, perche l'azienda e deployer, quali istruzioni valgono, chi supervisiona, quali prove esistono e cosa forza una rivalutazione.

Usate questa checklist insieme alle aspettative di AI governance per i vendor SaaS. Gli altri temi correlati su regolazione AI accelerata, documenti statici di compliance e fundraising due diligence non sono ancora localizzati in italiano.

1. Confermare sistema e caso d'uso

Nominate sistema di IA e workflow esatti. Registrate provider, prodotto, versione o configurazione, finalita, business owner, utenti, persone interessate, dati di input, output, punto decisionale e contesto: clienti, dipendenti, candidati, contractor o operazioni interne.

Indicate se il sistema e ad alto rischio, soggetto a trasparenza, a rischio minimo o ancora da classificare. Se la classificazione e aperta, la checklist non e completa: deve mostrare owner, domande aperte, documenti richiesti al provider e data della decisione.

2. Decidere se l'azienda e deployer

Il deployer usa un sistema di IA sotto la propria autorita, salvo uso personale non professionale. Un'azienda SaaS puo essere deployer quando usa IA di terzi in supporto, hiring, trust and safety, fraud review, customer scoring, moderazione contenuti o workflow interni.

Documentate i fatti: chi ha scelto il sistema, chi definisce l'uso operativo, chi controlla accessi, soglie, prompt, regole o escalation, chi forma gli utenti e chi decide se l'output viene accettato, rivisto, sovrascritto o ignorato.

3. Bloccare le istruzioni del provider

L'articolo 26 richiede misure tecniche e organizzative per usare i sistemi ad alto rischio secondo le istruzioni. Il team deve avere istruzioni aggiornate, release note, limiti, usi supportati e vietati, aspettative di monitoraggio, indicazioni di supervisione umana e percorsi di escalation.

Conservatele in un luogo accessibile a product, security, legal, support e operations. Registrate versione e data di review. Se supporto, implementazione o customer success usano guide separate, allineatele alle istruzioni ufficiali prima del lancio.

4. Assegnare supervisione umana

La supervisione umana non si esaurisce nominando un team in una policy. L'articolo 26 richiede persone fisiche con competenza, formazione, autorita e supporto. Il record deve indicare ruoli o nomi, training, decisioni autorizzate e punti di intervento.

Per ogni workflow chiedete: il reviewer comprende l'output, ha contesto sufficiente, puo sovrascrivere, mettere in pausa, escalare o rifiutare, e sa quando il sistema e fuori dall'uso approvato?

5. Controllare input, monitoraggio e log

Quando il deployer controlla i dati di input, questi devono essere pertinenti e sufficientemente rappresentativi rispetto alla finalita prevista. Possono includere dati cliente, HR, ticket, documenti, prompt, label, campi CRM, transazioni o configurazioni. Documentate controlli qualita, esclusioni, dati obsoleti, bias, rappresentativita e owner di remediation.

I deployer devono monitorare il funzionamento sulla base delle istruzioni. Segnali utili sono ticket di supporto, reclami, tassi di override, campionamenti, incidenti, drift, avvisi vendor, misuse o correzioni manuali ripetute. Se l'uso puo presentare un rischio, la rotta deve includere provider o distributore, autorita di market surveillance e sospensione.

I log automatici sotto controllo del deployer devono essere conservati per un periodo adeguato e almeno sei mesi, salvo diversa norma. Registrate quali log esistono, controllo, retention, access owner, restrizioni security, privacy review, export e recupero in incidente.

6. Informative e impact assessment

Prima di usare un sistema di IA ad alto rischio sul posto di lavoro, i datori di lavoro deployer devono informare rappresentanti dei lavoratori e lavoratori interessati quando applicabile. A seconda del sistema e dell'articolo 50, possono servire anche informative per persone soggette a interazioni o decisioni assistite da IA.

L'articolo 27 puo richiedere una valutazione d'impatto sui diritti fondamentali per certi deployer. L'articolo 26 collega inoltre le informazioni del provider agli obblighi DPIA GDPR quando applicabili. Documentate decisione, fatti considerati, owner e trigger di rivalutazione.

7. Evidence pack e rivalutazione

Organizzate le prove intorno alle decisioni: analisi del ruolo, classificazione, istruzioni, uso approvato, supervisione, training, controlli input, monitoring, log retention, informative, impact assessment, contatti provider, incident route e trigger.

Riaprite la checklist se cambiano istruzioni, versione, workflow, segmento cliente, input, automazione, revisione umana, reclami, log, incidenti o linee guida ufficiali. Un record corretto solo al lancio non basta per un team SaaS veloce.

FAQ

Qual e lo scopo pratico?

Dimostrare che il team segue le istruzioni, assegna supervisione competente, monitora l'uso, controlla input rilevanti, conserva log, gestisce informative ed escala rischi.

Quando si applica ai team SaaS?

Quando il team usa un sistema di IA sotto la propria autorita in un processo aziendale, soprattutto se ad alto rischio o collegato a clienti, dipendenti, candidati, frodi, sicurezza o operations.

Cosa documentare per primo?

Un record per workflow IA: ruolo, classificazione, istruzioni, uso approvato, supervisione, monitoring, log, informative, decisione di impact assessment, incident route e trigger di rivalutazione.

Fonti

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26.
• European Commission AI Act Service Desk, Article 27.
• European Commission AI Act Service Desk, Article 50.
• European Commission AI Act Service Desk, Article 4.