Provider e deployer: due ruoli, due responsabilità
Un fondo pensione che utilizza sistemi di IA — anche solo ChatGPT o Claude per scrivere una mail — assume automaticamente il ruolo di deployer. Non è responsabile della progettazione del sistema, ma dell'uso che ne fa.
Chi progetta e sviluppa
- Conformità tecnica del sistema ai requisiti dell'AI Act
- Gestione del rischio e qualità dei dati
- Documentazione tecnica e marcatura CE, ove richiesta
Chi utilizza nella propria attività
- Uso conforme alla destinazione d'uso prevista dal provider
- Supervisione umana adeguata
- Personale con sufficiente AI literacy
- Se alto rischio: obblighi specifici dell'art. 26
Il ruolo dei fornitori
Molti sistemi di IA arrivano al fondo incorporati in servizi di terzi: outsourcer amministrativi, gestori finanziari, piattaforme documentali, call center, depositari. La governance dell'IA passa quindi anche dalla gestione contrattuale dei fornitori.
- Censire i sistemi di IA impiegati dai fornitori nei servizi resi al fondo
- Inserire nei contratti finalità d'uso, categorie di dati trattati e misure di supervisione umana
- Richiedere informazioni sufficienti per valutare se il sistema è ad alto rischio
- Prevedere una procedura di approvazione preventiva per nuovi strumenti di IA
- Imporre l'obbligo di comunicare modifiche rilevanti al sistema o al trattamento dei dati
Trasparenza verso gli iscritti — art. 50
Dal 2 agosto 2026 un fondo che utilizza chatbot o assistenti virtuali nel rapporto con gli iscritti deve informarli chiaramente che stanno interagendo con un sistema di IA — salvo che ciò risulti già evidente dal contesto.
- Non riguarda il funzionamento tecnico dell'algoritmo, solo la consapevolezza dell'interazione
- L'iscritto deve poter richiedere l'intervento di un operatore umano, specie su questioni complesse
- Il chatbot resta strumento di supporto: non sostituisce valutazioni giuridiche o previdenziali rilevanti
- La marcatura tecnica dei contenuti sintetici (audio, immagini, testo) è invece rinviata al 2 dicembre 2026
Quando un sistema è "ad alto rischio"
La qualificazione non dipende dalla tecnologia, ma dal settore d'impiego (Allegato III) e dall'effettiva incidenza sulle decisioni riguardanti le persone.
Il tuo caso d'uso è "ad alto rischio"?
Il sistema rientra in uno dei settori dell'Allegato III elencati sopra?
Il sistema incide concretamente su decisioni riguardanti persone fisiche o sull'esercizio dei loro diritti?
Si applicano gli obblighi del deployer ex art. 26: uso secondo le istruzioni del provider, supervisione umana, monitoraggio, conservazione log (min. 6 mesi), segnalazione di incidenti gravi. Applicabile dal 2 dicembre 2027.
Restano comunque applicabili: AI literacy (art. 4, già in vigore), eventuali obblighi di trasparenza (art. 50), GDPR e normativa di settore (TUF, disciplina COVIP).
Caso pratico: scelta del comparto di investimento
Un motore di IA sul sito del fondo che orienta l'iscritto nella scelta del comparto. Il trattamento cambia radicalmente a seconda del ruolo lasciato alla persona.
Il sistema raccoglie il profilo dell'aderente e assegna automaticamente il comparto, senza verifica umana effettiva.
Il sistema propone uno o più comparti, spiega i criteri utilizzati, ma lascia la decisione finale all'iscritto o a un operatore.