AI Act: dal 2026 la governance dell'AI passa anche dalla gestione delle terze parti

 Il momento è adesso

L'AI Act è entrato in vigore il 1° agosto 2024, ma la sua applicazione è stata definita in modo graduale. La data più rilevante per le aziende è il 2026: è il momento in cui molti obblighi diventano realmente operativi, richiedendo processi concreti, controlli continuativi e capacità di dimostrare la conformità nel tempo.

Le organizzazioni non dovranno dimostrare di saper governare solo i sistemi di AI sviluppati internamente, ma anche quelli utilizzati attraverso piattaforme e servizi di terze parti. Sapere quali servizi incorporano modelli di AI, classificarli valutandone il livello di rischio, mantenere documentazione aggiornata e garantire tracciabilità delle verifiche: queste attività diventano parte integrante della gestione del rischio fornitori.

La sfida non riguarda soltanto la compliance normativa. Riguarda soprattutto la capacità di costruire visibilità e controllo lungo l'intero ecosistema dei fornitori, evitando di affrontare l'adeguamento in modo frammentato o emergenziale.

Anche nell'ipotesi di uno slittamento delle scadenze (oggi discusso a livello europeo nell'ambito del cosiddetto "Digital Omnibus", con possibili rinvii verso il 2027/2028) la direzione resta chiara: le aziende avranno comunque bisogno di processi strutturati per monitorare nel tempo rischi, evidenze e responsabilità legate all'utilizzo dell'AI. Iniziare adesso significa non trovarsi a lavorare in emergenza.

Cosa dice l'AI Act: la classificazione dei sistemi AI per livello di rischio

Il Regolamento UE 2024/1689, l'AI Act, classifica i sistemi di intelligenza artificiale in base all'impatto potenziale su salute, sicurezza e diritti fondamentali, prevedendo per ciascuna categoria obblighi via via meno stringenti:

• Sistemi inaccettabili: utilizzi dell'AI vietati in quanto incompatibili con i diritti fondamentali, come il social scoring o i sistemi progettati per manipolare il comportamento in modo dannoso.
• Sistemi ad alto rischio: casi d'uso in cui l'AI può incidere significativamente su persone e decisioni rilevanti — selezione del personale, scoring creditizio, monitoraggio dei lavoratori. Per questi sistemi l'AI Act prevede obblighi operativi precisi: trasparenza, documentazione tecnica, supervisione umana e gestione strutturata del rischio.
• Sistemi a rischio limitato: la richiesta principale è la trasparenza, ad esempio informare l'utente quando interagisce con un sistema di AI.
• Sistemi a rischio minimo: applicazioni a basso impatto per le quali non sono previsti obblighi specifici, fermo restando il rispetto delle normative applicabili (privacy, sicurezza, ecc.).
  

Un aspetto che viene spesso trascurato è che il Regolamento si rivolge non solo a chi sviluppa AI, ma anche a chi la acquista o la integra nei propri processi — i cosiddetti deployer. Questo significa che anche le aziende che utilizzano AI di terze parti hanno obblighi concreti: presidiare i rischi, garantire supervisione umana, mantenere tracciabilità delle evidenze e assicurare che, lungo la catena del valore, siano disponibili le informazioni e le garanzie necessarie per dimostrare la compliance. Il Regolamento include inoltre disposizioni dedicate ai modelli di AI general-purpose (GPAI), spesso alla base di funzionalità già integrate in piattaforme e applicazioni aziendali.

AI nella supply chain: perché la gestione del rischio delle terze parti diventa urgente

La maggior parte delle organizzazioni adotta piattaforme, software e servizi che incorporano funzionalità di intelligenza artificiale come parte di un'offerta più ampia. Il punto critico è che l'AI, in questo scenario, non è un componente separato e facilmente tracciabile: spesso entra silenziosamente, tramite aggiornamenti di prodotto, nuove feature abilitate dal vendor o moduli già inclusi nella licenza.

Ed è qui che nasce il "buco" operativo nella gestione del rischio fornitori. Molte aziende non dispongono ancora di una modalità strutturata per rispondere a domande semplici ma decisive: dove e come l'AI è effettivamente utilizzata, con quale impatto sui processi, e quali fornitori determinano il livello di controllo e trasparenza. Quando questi controlli esistono, sono spesso episodici: si concentrano sulla fase di onboarding, senza considerare che l'AI evolve nel tempo — nuove versioni, nuovi dataset, nuove logiche d'uso — e che questo richiede verifiche ripetibili e aggiornate.

Il risultato è prevedibile: quando serve dimostrare governance e compliance, ci si ritrova a ricostruire informazioni a posteriori, cercando evidenze che spesso non sono state raccolte in modo coerente e ricostruendo la tracciabilità su scambi via email. Nel frattempo, la supply chain continua a cambiare.

TPRM e AI Act: come il Third Party Risk Management supporta la conformità 

Il Third Party Risk Management (TPRM) è l'insieme di processi e strumenti con cui un'organizzazione identifica, valuta e monitora i rischi associati ai propri fornitori e partner lungo tutto il ciclo di vita della relazione. In un contesto come quello dell'AI Act, dove la responsabilità del deployer si estende alla catena dei fornitori, una soluzione TPRM strutturata diventa un abilitatore diretto di compliance.

Non è un caso che AI Act e TPRM convergano sugli stessi requisiti operativi: inventario dei fornitori, valutazione del rischio, monitoraggio continuo, tracciabilità delle decisioni. Sono le stesse leve che una piattaforma di gestione del rischio terze parti presidia già nell'ambito di normative come NIS2 e DORA. L'AI Act aggiunge semplicemente una nuova dimensione al profilo di rischio di ogni fornitore.

Le domande che ogni azienda dovrebbe essere in grado di rispondere e documentare sono:

• Quali fornitori erogano servizi che incorporano AI?
• Questi sistemi sono stati classificati secondo i criteri dell'AI Act?
• Il fornitore dispone della documentazione tecnica e delle dichiarazioni di conformità richieste?
• La documentazione contrattuale è allineata agli obblighi del Regolamento?
• Come vengono monitorati eventuali cambiamenti nel tempo?

Una gestione strutturata del rischio fornitori trasforma queste esigenze in un processo ripetibile e automatizzato, agendo su quattro fronti:

• Mappatura e classificazione dei fornitori AI. Un inventario strutturato e aggiornato delle terze parti — con informazioni complete sui servizi erogati, le tecnologie utilizzate e il livello di integrazione con i processi aziendali — è il punto di partenza per identificare chi, nella supply chain, sviluppa o utilizza sistemi di AI rilevanti ai fini del Regolamento.
• Assessment mirato sui rischi normativi. Le soluzioni TPRM di ultima generazione consentono di costruire questionari dinamici calibrati sulle criticità di ciascun fornitore, e di integrare gap analysis supportate dall'AI sulle principali normative, incluso l'AI Act. Il risultato sono valutazioni comparabili nel tempo e una gestione strutturata delle non conformità rilevate.
• Monitoraggio continuo del rischio fornitori. La conformità all'AI Act non è un adempimento una tantum: i sistemi AI evolvono, le classificazioni possono cambiare, i fornitori aggiornano le proprie soluzioni. Una piattaforma TPRM garantisce visibilità in tempo reale su variazioni rilevanti nel profilo di rischio di ciascuna terza parte, evitando che criticità emergano solo in fase di audit.
• Tracciabilità completa. L'AI Act richiede che i deployer dimostrino di aver esercitato una supervisione effettiva. Questo significa poter produrre in qualsiasi momento evidenza documentale delle valutazioni effettuate, delle decisioni prese e delle azioni correttive avviate. Una soluzione TPRM strutturata rende questa tracciabilità un risultato naturale del processo, non un'attività aggiuntiva da costruire a posteriori. 

 Trasparenza verso i fornitori, credibilità verso il mercato 

Le aziende che affrontano l'AI Act in modo proattivo, costruendo processi verificabili e relazioni trasparenti con i propri fornitori, non si limitano a ridurre un rischio normativo. Rafforzano la propria credibilità verso clienti, partner e investitori, e si posizionano meglio in un mercato in cui la fiducia nell'AI responsabile diventerà sempre più un fattore differenziante.

La complessità della supply chain non è destinata a diminuire. Ma con gli strumenti giusti per la gestione del rischio delle terze parti, può diventare una leva di controllo e affidabilità, non solo una fonte di incertezza.

Vuoi capire come strutturare o potenziare la gestione del rischio fornitori nella tua azienda? Scarica l'ebook Governare i rischi delle terze parti o richiedi una demo della soluzione TPRM di Cegeka.