Template · 28 domande · PDF

Il questionario fornitore che i tuoi clienti chiederanno.

In vista della scadenza alto rischio del 2 dicembre 2027 (post Digital Omnibus) banche, assicurazioni e gruppi sanitari italiani hanno già iniziato a mandare ai loro fornitori AI un questionario di due diligence: 28 domande tipo. Lo abbiamo messo nero su bianco, in italiano, già allineato all'Allegato IV. Scaricalo in PDF — niente account, solo nome ed email per personalizzarlo.

Scarica il PDF

Niente account, solo nome ed email.

Il PDF è personalizzato con il tuo nome e un codice univoco — comodo se in azienda condividete il documento.

Le 28 domande

Cosa chiedono davvero i clienti regolamentati.

Le domande sono raggruppate per area. Nel PDF ci sono spazi per le risposte; in pagina sono qui per consultazione.

Identità del fornitore

  1. 01Ragione sociale completa e sede legale del fornitore del sistema di IA.
  2. 02Identificativo univoco del sistema (nome commerciale + versione).
  3. 03Eventuale rappresentante autorizzato nell'UE, se il fornitore è extra-UE.Art. 22

Descrizione del sistema

  1. 04Finalità prevista del sistema, descritta in modo non ambiguo.
  2. 05Architettura del sistema: modelli, integrazioni con terze parti, dipendenze GPAI dichiarate.Annex IV §1, §2
  3. 06Livelli di accuracy, robustness e cybersecurity dichiarati per il sistema.Art. 15
  4. 07Modalità di deployment offerte (SaaS, on-premise, embedded) e relativi SLA.

Classificazione del rischio

  1. 08Classificazione di rischio del sistema secondo l'Allegato III dell'AI Act.Art. 6 + Annex III
  2. 09Eventuale invocazione della deroga dell'Art. 6(3), con relativa documentazione.Art. 6(3)
  3. 10Conferma che il sistema non rientra in nessuna pratica vietata dell'Art. 5.Art. 5

Dati e governance

  1. 11Politiche di data governance applicate al training set, ai dati di validazione e di test.Art. 10
  2. 12Procedure di analisi bias e di rappresentatività dei dati, con risultati e mitigazioni.
  3. 13Eventuali categorie particolari di dati (GDPR Art. 9) trattate nel training, con base giuridica.

Documentazione tecnica

  1. 14Disponibilità della documentazione tecnica (Allegato IV) firmata dal fornitore.Art. 11 + Annex IV
  2. 15Disponibilità della Dichiarazione di Conformità UE (Allegato V), con riferimento agli standard applicati.Art. 47 + Annex V
  3. 16Disponibilità del Risk Management System documentato e mantenuto.Art. 9

Sorveglianza umana e robustezza

  1. 17Misure di sorveglianza umana progettate nel sistema e indicazioni operative per il deployer.Art. 14
  2. 18Capacità di logging automatico del sistema (Art. 12) e durata di conservazione raccomandata.Art. 12
  3. 19Procedure di rollback e di degradazione controllata in caso di malfunzionamento.

Trasparenza e disclosure

  1. 20Disclosure ai sensi dell'Art. 50 per chatbot, contenuti sintetici, riconoscimento emozioni o deepfake.Art. 50
  2. 21Istruzioni per l'uso (IFU) consegnate al deployer in italiano.Art. 13

Post-market e incidenti

  1. 22Piano di sorveglianza post-immissione (Art. 72) e modalità di feedback dal deployer.Art. 72
  2. 23Procedure di segnalazione degli incidenti gravi (Art. 73) e dei malfunzionamenti.Art. 73

Privacy e GDPR

  1. 24Conformità GDPR del trattamento dei dati personali (basi giuridiche, retention, esportazioni extra-SEE).
  2. 25DPIA (Art. 35 GDPR) e — se applicabile — FRIA (Art. 27 AI Act) eseguite per il sistema.Art. 27

Sicurezza informatica

  1. 26Certificazioni di sicurezza informatica (ISO/IEC 27001, SOC 2, ENS) e relativo perimetro di audit.
  2. 27Procedure di vulnerability management, penetration test e disclosure responsabile delle vulnerabilità.
  3. 28Disponibilità della copia di backup, RTO/RPO contrattuali e procedure di disaster recovery.
Per i vendor AI

Le risposte sono già pronte in Konformia.

Se sei un vendor AI, Konformia ti genera l'Allegato IV, la Dichiarazione di Conformità, le Istruzioni d'uso e il Piano post-market — coprono direttamente il 70% delle domande del questionario.