Il questionario fornitore che i tuoi clienti chiederanno.
In vista della scadenza alto rischio del 2 dicembre 2027 (post Digital Omnibus) banche, assicurazioni e gruppi sanitari italiani hanno già iniziato a mandare ai loro fornitori AI un questionario di due diligence: 28 domande tipo. Lo abbiamo messo nero su bianco, in italiano, già allineato all'Allegato IV. Scaricalo in PDF — niente account, solo nome ed email per personalizzarlo.
Niente account, solo nome ed email.
Il PDF è personalizzato con il tuo nome e un codice univoco — comodo se in azienda condividete il documento.
Cosa chiedono davvero i clienti regolamentati.
Le domande sono raggruppate per area. Nel PDF ci sono spazi per le risposte; in pagina sono qui per consultazione.
Identità del fornitore
- 01Ragione sociale completa e sede legale del fornitore del sistema di IA.
- 02Identificativo univoco del sistema (nome commerciale + versione).
- 03Eventuale rappresentante autorizzato nell'UE, se il fornitore è extra-UE.Art. 22
Descrizione del sistema
- 04Finalità prevista del sistema, descritta in modo non ambiguo.
- 05Architettura del sistema: modelli, integrazioni con terze parti, dipendenze GPAI dichiarate.Annex IV §1, §2
- 06Livelli di accuracy, robustness e cybersecurity dichiarati per il sistema.Art. 15
- 07Modalità di deployment offerte (SaaS, on-premise, embedded) e relativi SLA.
Classificazione del rischio
- 08Classificazione di rischio del sistema secondo l'Allegato III dell'AI Act.Art. 6 + Annex III
- 09Eventuale invocazione della deroga dell'Art. 6(3), con relativa documentazione.Art. 6(3)
- 10Conferma che il sistema non rientra in nessuna pratica vietata dell'Art. 5.Art. 5
Dati e governance
- 11Politiche di data governance applicate al training set, ai dati di validazione e di test.Art. 10
- 12Procedure di analisi bias e di rappresentatività dei dati, con risultati e mitigazioni.
- 13Eventuali categorie particolari di dati (GDPR Art. 9) trattate nel training, con base giuridica.
Documentazione tecnica
- 14Disponibilità della documentazione tecnica (Allegato IV) firmata dal fornitore.Art. 11 + Annex IV
- 15Disponibilità della Dichiarazione di Conformità UE (Allegato V), con riferimento agli standard applicati.Art. 47 + Annex V
- 16Disponibilità del Risk Management System documentato e mantenuto.Art. 9
Sorveglianza umana e robustezza
- 17Misure di sorveglianza umana progettate nel sistema e indicazioni operative per il deployer.Art. 14
- 18Capacità di logging automatico del sistema (Art. 12) e durata di conservazione raccomandata.Art. 12
- 19Procedure di rollback e di degradazione controllata in caso di malfunzionamento.
Trasparenza e disclosure
- 20Disclosure ai sensi dell'Art. 50 per chatbot, contenuti sintetici, riconoscimento emozioni o deepfake.Art. 50
- 21Istruzioni per l'uso (IFU) consegnate al deployer in italiano.Art. 13
Post-market e incidenti
- 22Piano di sorveglianza post-immissione (Art. 72) e modalità di feedback dal deployer.Art. 72
- 23Procedure di segnalazione degli incidenti gravi (Art. 73) e dei malfunzionamenti.Art. 73
Privacy e GDPR
- 24Conformità GDPR del trattamento dei dati personali (basi giuridiche, retention, esportazioni extra-SEE).
- 25DPIA (Art. 35 GDPR) e — se applicabile — FRIA (Art. 27 AI Act) eseguite per il sistema.Art. 27
Sicurezza informatica
- 26Certificazioni di sicurezza informatica (ISO/IEC 27001, SOC 2, ENS) e relativo perimetro di audit.
- 27Procedure di vulnerability management, penetration test e disclosure responsabile delle vulnerabilità.
- 28Disponibilità della copia di backup, RTO/RPO contrattuali e procedure di disaster recovery.
Le risposte sono già pronte in Konformia.
Se sei un vendor AI, Konformia ti genera l'Allegato IV, la Dichiarazione di Conformità, le Istruzioni d'uso e il Piano post-market — coprono direttamente il 70% delle domande del questionario.

