L'audit in cinque giorni: come il team dello studio passa dall'intake alla consegna
Ogni audit Disclos segue la stessa pipeline in cinque giorni. Il revisore principale ne è responsabile dall'inizio alla fine; i revisori tecnici e i revisori madrelingua dello studio gestiscono fasi specifiche. Questo articolo illustra l'incarico giorno per giorno, così il fondatore sa esattamente cosa fa lo studio in ciascuno dei cinque giorni lavorativi tra l'intake e la consegna.
Giorno 0 — Intake
Il cliente paga €997 tramite Stripe. Il modulo di intake si apre nel momento in cui il pagamento viene confermato.
Dieci domande, nessuna chiamata. URL del prodotto, elenco delle funzionalità AI, regioni di distribuzione, postura di conformità attuale, riferimento del consulente legale e il blocco standard di consenso GDPR/audit. Cinque minuti per il cliente per completarlo. Il modulo viene ricevuto in due luoghi: una notifica interna al revisore principale e una copia di backup nell'entità IntakeBrief dello studio a fini di audit trail.
Il revisore principale legge il brief entro la stessa giornata lavorativa e accetta l'incarico oppure risponde con una chiarificazione dell'ambito di un paragrafo. Se accettato, il cliente riceve una conferma automatica, il calendario dello studio riflette lo slot di cinque giorni e il Giorno 1 inizia la mattina lavorativa successiva.
Giorni 1–3 — Audit e redazione
Il revisore principale esamina il prodotto del cliente come un utente finale europeo. Prima il flusso di registrazione. Poi ogni superficie funzionale elencata nell'intake. Poi ogni superficie NON elencata nell'intake, nel caso in cui l'inventario delle funzionalità del cliente abbia mancato qualcosa. Screenshot acquisiti in ogni punto di contatto AI.
In parallelo, i revisori tecnici dello studio avviano due flussi di lavoro. Flusso uno: classificare ogni superficie acquisita rispetto all'Allegato I, all'Allegato III, all'Articolo 5, all'Articolo 6 e all'Articolo 50. Flusso due: predisporre i frammenti di codice di disclosure (React + HTML + Vue 3) che colmeranno ciascuna lacuna.
I revisori madrelingua avviano il terzo flusso: confermare la formulazione per ogni disclosure che verrà distribuita nelle regioni di distribuzione del cliente. Se il cliente opera in Francia, Germania, Spagna, Italia e nei Paesi nordici, si tratta di sei revisori che lavorano in parallelo.
Entro la fine del Giorno 3, il revisore principale dispone della matrice completa delle lacune articolo per articolo, i revisori tecnici hanno predisposto il pacchetto di snippet e i revisori delle traduzioni hanno approvato le stringhe linguistiche.
Giorno 4 — Documenti di conformità
Il pacchetto di documenti di conformità viene compilato e prodotto nel Giorno 4. Cinque documenti, ciascuno personalizzato con il marchio del cliente.
Model card per ogni funzionalità AI nell'ambito. Per funzionalità: finalità, fornitore del modello, metriche di accuratezza, descrizione della supervisione umana, misure di gestione del rischio.
Informativa sulla trasparenza da pubblicare sul dominio del cliente. Inventario delle superfici di disclosure ai sensi dell'Articolo 50 in linguaggio rivolto agli utenti.
Addendum DPA AI da allegare ai contratti enterprise. Redatto dal nostro revisore principale affinché il consulente legale del cliente lo esamini e lo firmi.
Politica pubblica sull'uso dell'AI per la pagina di fiducia del cliente.
Registro interno AI per il responsabile della conformità del cliente.
Ciascun documento viene consegnato sia in formato .docx modificabile (in modo che il consulente del cliente possa apportare modifiche) sia in .pdf bloccato (in modo che il cliente possa allegare la versione firmata alle risposte alle gare d'appalto).
Giorno 5 — Consegna
Il pacchetto dei materiali viene assemblato e condiviso. Un singolo link.
Disclos-Audit-Report.pdf — il report principale. Pagina di copertina con riferimento dell'audit e data di consegna. Sintesi esecutiva a pagina uno. Matrice delle lacune articolo per articolo. Registro dei rilievi classificati per gravità. Piano di rimedio che associa ogni rilievo allo snippet o al documento che lo risolve. Conferma negativa delle pratiche vietate. Cronoprogramma di implementazione. Blocco di approvazione.
Disclos-Audit-Report.docx — la copia modificabile.
01-Inventory/ — inventario completo delle funzionalità AI sia in formato CSV (leggibile dalle macchine) sia in Markdown (leggibile dagli esseri umani).
02-Diagnosis/ — prove tramite screenshot per ogni rilievo.
03-Code-Snippets/ — componenti React, HTML, Vue 3 in tutte e 24 le lingue dell'UE più l'utilità di provenienza C2PA.
04-Compliance-Documents/ — il pacchetto di cinque documenti.
05-Loom-Walkthrough.txt — un Loom personale registrato dal revisore principale che accompagna il cliente attraverso i suoi specifici rilievi e l'ordine in cui applicare le correzioni.
Il cliente riceve il link, guarda il Loom e invia il pacchetto al proprio CTO, consulente legale o consiglio di amministrazione. L'implementazione è a carico del cliente; la scadenza è fissata al 2 agosto 2026.
Giorno 30 — Check-in
Trenta giorni dopo la consegna, il revisore principale prende contatto per un check-in gratuito. Asincrono o tramite chiamata, a scelta del cliente.
L'agenda è breve: quali correzioni sono state implementate, quali sono state rinviate, eventuali nuove funzionalità AI introdotte, eventuali modifiche al perimetro regionale del cliente, eventuali nuove indicazioni dell'EU AI Office rilevanti. Il revisore principale o approva l'implementazione oppure riapre rilievi specifici per un follow-up.
Se il EU AI Act viene modificato o il cliente distribuisce una funzionalità AI sostanzialmente nuova entro dodici mesi dalla consegna originale, un re-audit delta costa €497.
Se il cliente implementa le raccomandazioni dell'audit e il prodotto risulta comunque non conforme entro il 2 agosto 2026, il compenso per l'incarico viene rimborsato integralmente. Nessun rimborso parziale. Nessun arbitrato. La garanzia di rimborso e la principale data di applicazione della legge coincidono deliberatamente.
Frequently asked questions
La tempistica può essere compressa a meno di cinque giorni lavorativi?
No. Lo studio applica la stessa pipeline per ogni incarico e la finestra di cinque giorni è ciò che la metodologia richiede. La compressione eliminerebbe la fase di revisione madrelingua (inaccettabile per un deliverable in 24 lingue) oppure la fase di revisione tecnica (inaccettabile per snippet destinati alla produzione). I cinque giorni sono ciò che il prezzo copre.
Cosa succede se il prodotto del cliente cambia durante i cinque giorni?
Il revisore principale congela l'ambito all'inizio del Giorno 1 sulla base del brief di intake e del walkthrough del prodotto osservato. Le modifiche sostanziali distribuite dopo il Giorno 1 vengono riportate nella sezione delle questioni aperte del report e affrontate nel check-in del Giorno 30. Modifiche sostanziali successive all'audit costituiscono il presupposto per l'opzione di re-audit a €497.
Il cliente interagisce con altri membri del team dello studio oltre al revisore principale?
Per impostazione predefinita, no. Il revisore principale è il punto di contatto unico del cliente per l'intero incarico. I revisori tecnici e i revisori madrelingua lavorano internamente allo studio; il loro lavoro emerge nel deliverable, ma l'interazione del cliente rimane con il revisore principale. Se il CTO di un cliente desidera verificare l'integrazione di uno specifico snippet con il nostro revisore tecnico, il revisore principale organizza la chiamata nell'ambito della finestra di check-in di 30 giorni.
Cosa succede se il revisore principale dello studio non è disponibile per uno slot pianificato?
Lo studio gestisce il calendario in modo conservativo. Cinque audit a settimana è il massimo, non l'obiettivo. Se la disponibilità del revisore principale è a rischio (malattia, trasferta), lo studio chiude l'intake per la settimana interessata piuttosto che trasferire l'incarico a metà percorso. Questo è in parte il motivo per cui la metodologia consegna al giorno cinque ogni volta.
Di cosa ha bisogno il consulente legale del cliente dal deliverable?
Tre elementi, in ordine: la matrice delle lacune articolo per articolo (in modo che il consulente sappia quali clausole vincolano il prodotto), la conferma negativa delle pratiche vietate (in modo che il consulente possa attestare che nessuna fattispecie dell'Articolo 5 è stata violata) e il blocco di approvazione firmato (in modo che il consulente disponga di una chiara catena di provenienza). Il deliverable è progettato per consentire a un avvocato qualificato di approvarlo in venti minuti — questo è il brief a cui i nostri revisori scrivono.
Sources
Last updated: 2026-05-30