Checklist obblighi del fornitore per founder e responsabili compliance

Gli obblighi del fornitore vanno verificati prima di vendita, lancio, modifica materiale o review enterprise. La checklist decide se l'azienda e provider, identifica asset IA, rischio, obblighi, prove e trigger di rivalutazione.

1. Confermare l'asset IA

Non revisionare genericamente "IA nel prodotto". Identifica sistema, integrazione modello, scoring, raccomandazione, API, strumento interno o modello GPAI. Registra area, owner, fase, utenti, persone impattate, dati, fonte modello, vendor e percorso cliente.

2. Decidere il ruolo AI Act

Documenta se l'azienda e provider, deployer, importatore, distributore, produttore, provider GPAI o piu ruoli. Spiega chi definisce finalita, commercializza la funzione, controlla UX, cambia soglie e fornisce istruzioni cliente.

3. Verificare la catena del valore

L'articolo 25 conta quando il team white-labela, fine-tuna, riconfigura o vende un sistema terzo come proprio prodotto. Chiedi se il cliente vede il vendor, se usi il tuo marchio, se finalita o comportamento cambiano e se la documentazione vendor basta.

4. Classificare il rischio

Collega la checklist alla classificazione IA. Registra se l'asset e proibito, high-risk, trasparenza, rischio minimo, GPAI o fuori scope. Per possibile high-risk, documenta caso d'uso, finalita, persone impattate, supervisione umana e conseguenze dell'output.

5. Mappare obblighi high-risk

Per sistemi high-risk, l'articolo 16 richiede owner per requisiti, sistema qualita, documentazione tecnica, log sotto controllo provider, conformita, dichiarazione UE, marcatura CE, registrazione, azioni correttive, cooperazione con autorita e accessibilita.

6. Separare GPAI

Se l'azienda puo fornire un modello GPAI, valuta articolo 53 a parte: documentazione tecnica, informazioni downstream, copyright policy, sintesi pubblica training, cooperazione con autorita e standard o codici. Usare un modello terzo non basta.

7. Costruire evidence pack

Mantieni ruolo, classificazione, documenti vendor, documentazione tecnica, test, supervisione umana, logging, security, istruzioni cliente, ticket release, rischio residuo, monitoraggio, incidenti e rivalutazione. Organizza per decisioni.

8. Preparare documentazione cliente

I clienti possono chiedere finalita, limiti, supervisione, monitoraggio, usi supportati, dipendenze modello, dati, avvisi di cambio e supporto. Sales, trust center, help, contratti e questionari devono usare la stessa fonte approvata.

9. Definire monitoraggio e correzione

Assegna owner per incidenti, reclami, aggiornamenti vendor, drift modello, escalation e correzioni. Definisci quando sospendere, notificare, aggiornare istruzioni o escalare a legal e compliance.

10. Fissare trigger di rivalutazione

Riapri la checklist per nuova finalita, nuovo segmento, piu automazione, meno review umana, nuovi dati, cambio modello vendor, contesto high-risk, incidente o nuova guidance ufficiale.

FAQ

Qual e lo scopo pratico?

Mostrare ruolo, obblighi, prove, istruzioni cliente, monitoraggio e rivalutazione per il sistema IA offerto o modificato.

Quando si applica al SaaS?

Quando il team sviluppa o commissiona un sistema IA, lo vende col proprio nome, modifica un high-risk, cambia finalita o fornisce un modello GPAI.

Cosa documentare prima?

Un record per workflow IA: ruolo, classificazione, obblighi, owner prove, documenti tecnici, documentazione cliente, monitoraggio, blocchi lancio e rivalutazione.