Checklist di self-audit: trenta domande a cui rispondere prima di commissionare un audit EU AI Act
Non ogni fondatore SaaS ha bisogno di un audit fin dal primo giorno. Alcuni devono prima fare un triage. I nostri revisori hanno redatto queste trenta domande per consentire a qualsiasi fondatore di dedicare un'ora, rispondere con onestà e concludere con un quadro chiaro su se il percorso completo di audit sia il passo successivo più appropriato, se il triage dell'Allegato III sia sufficiente, o se il fondatore possa implementare autonomamente l'articolo 50 partendo dalla sola libreria di snippet.
Blocco A — Ambito di applicazione ed esposizione (domande 1–6)
1. Una persona situata nell'Unione europea può iscriversi e utilizzare il tuo prodotto oggi?
2. Il tuo flusso di registrazione accetta indirizzi e-mail con estensioni .eu, .de, .fr, .es, .it o qualsiasi altro TLD di uno Stato membro UE?
3. Hai almeno un utente pagante o gratuito situato nell'UE?
4. Qualche funzionalità del tuo prodotto effettua una previsione, una raccomandazione, una decisione, o genera contenuti sulla base di un modello di machine learning, una chiamata di inferenza a un'API esterna, o un sistema basato su logica che apprende dai dati?
5. Alcune di tali funzionalità interagiscono con l'input, l'output o il comportamento di un utente?
6. Alcune di tali funzionalità sono accessibili senza autenticazione, o tramite una registrazione al livello gratuito, dove una persona potrebbe utilizzarle senza essere un cliente pagante?
Se hai risposto 'sì' alle domande 1, 4 e 5, rientri nell'ambito di applicazione dell'EU AI Act ai sensi dell'articolo 2, paragrafo 1, lettera a). Continua.
Blocco B — Trasparenza ai sensi dell'articolo 50 (domande 7–14)
7. Il tuo prodotto dispone di un chatbot, un assistente virtuale o qualsiasi interfaccia conversazionale in cui una persona digita o parla e riceve una risposta generata da un modello di IA?
8. Quando un utente entra per la prima volta in quella conversazione, mostri una comunicazione visibile che lo informa di star interagendo con un'IA?
9. Il tuo prodotto genera contenuti testuali, immagini, audio o video che l'utente riceve come output?
10. Tali contenuti generati sono contrassegnati con un segnale di provenienza leggibile da una macchina (ad es. C2PA Content Credentials incorporati nel file)?
11. Il tuo prodotto visualizza un'etichetta visibile «generato dall'IA» su o accanto a tali contenuti al momento della consegna?
12. Il tuo prodotto produce un deepfake, un clone vocale, uno scambio di volti o qualsiasi media sintetico che ritrae persone reali?
13. In caso affermativo, etichetti tale contenuto come artificialmente generato o manipolato quando viene mostrato all'utente?
14. Il tuo prodotto offre funzionalità che analizzano lo stato emotivo, il sentiment o le categorie biometriche degli utenti?
Se hai risposto 'sì' alla domanda 7 ma 'no' alla domanda 8: lacuna ai sensi dell'articolo 50, paragrafo 1. Se hai risposto 'sì' alla domanda 9 ma 'no' alle domande 10 e 11: lacuna ai sensi dell'articolo 50, paragrafo 2. Se hai risposto 'sì' alla domanda 12 ma 'no' alla domanda 13: lacuna ai sensi dell'articolo 50, paragrafo 4. Se hai risposto 'sì' alla domanda 14 in un contesto lavorativo o educativo: potenziale divieto ai sensi dell'articolo 5.
Blocco C — Alto rischio ai sensi dell'Allegato III (domande 15–22)
15. Il tuo SaaS esegue l'identificazione biometrica remota o il riconoscimento vocale su larga scala?
16. Il tuo SaaS opera come componente di sicurezza in infrastrutture stradali, idriche, del gas, elettriche, di riscaldamento o digitali?
17. Il tuo SaaS assegna automaticamente voti ai lavori degli studenti, monitora gli esami o determina le ammissioni scolastiche?
18. Il tuo SaaS effettua la scrematura dei curriculum, valuta i candidati, automatizza le decisioni di promozione o di cessazione del rapporto di lavoro, o sorveglia la produttività dei lavoratori?
19. Il tuo SaaS adotta decisioni creditizie, stabilisce premi assicurativi, o determina l'idoneità a benefici pubblici o servizi essenziali?
20. Il tuo SaaS supporta la valutazione del rischio delle forze dell'ordine, la ponderazione delle prove o funzioni di tipo poligrafico?
21. Il tuo SaaS gestisce immigrazione, asilo, controllo delle frontiere o determinazioni relative ai visti?
22. Il tuo SaaS influenza l'amministrazione della giustizia o i processi democratici (consulenza elettorale, supporto al ragionamento giudiziario, selezione della giuria)?
Se hai risposto 'sì' a una qualsiasi delle domande 15–22: il tuo SaaS è ad alto rischio ai sensi dell'Allegato III. Si applica l'intero stack di obblighi di cui agli articoli 9–15, nonché i doveri del deployer ai sensi dell'articolo 26 e, potenzialmente, la valutazione dell'impatto sui diritti fondamentali ai sensi dell'articolo 27.
Blocco D — Documentazione e operazioni (domande 23–30)
23. Disponi di una scheda modello scritta per ciascuna funzionalità di IA nel tuo prodotto?
24. Hai una pagina pubblica sull'uso dell'IA all'indirizzo /ai-use o equivalente?
25. Fai riferimento alle comunicazioni ai sensi dell'articolo 53 del tuo fornitore upstream di GPAI nella tua documentazione?
26. Conservi i log, per ogni inferenza, dell'impronta dell'input, dell'impronta dell'output, della versione del modello, del timestamp e del contesto del richiedente?
27. Disponi di una procedura scritta di supervisione umana per qualsiasi funzionalità di IA ad alto rischio?
28. Hai valutato i tuoi dati di addestramento, validazione e test per il rischio di bias ai sensi dell'articolo 10?
29. Hai redatto un addendum AI al DPA per il tuo procurement enterprise?
30. Disponi di una procedura documentata di segnalazione degli incidenti allineata all'articolo 73?
Il numero di risposte 'no' in questo blocco, in particolare se combinato con la classificazione ad alto rischio del Blocco C, costituisce il segnale più forte che dovresti commissionare l'audit della consulenza prima del 30 giugno 2026.
Come autovalutarsi
0 lacune totali. Sei in buona forma. Commissiona l'audit della consulenza solo come documentazione cartacea per il procurement o per la certificazione a livello di consiglio di amministrazione.
1–3 lacune nel Blocco B, 0 altrove. L'implementazione autonoma dalla nostra libreria di snippet potrebbe essere sufficiente. Leggi la matrice articolo per articolo su /eu-ai-act e pubblica gli snippet pertinenti. Se desideri un deliverable firmato per il tuo consulente legale, commissiona l'audit.
3+ lacune nel Blocco B o qualsiasi lacuna nel Blocco D. Commissiona l'audit. Il tempo dei revisori necessario per fornire un'implementazione pulita su più lacune supera rapidamente il costo dell'audit di €997.
Qualsiasi 'sì' nel Blocco C. Commissiona l'audit immediatamente. Gli obblighi ad alto rischio non possono essere implementati in autonomia in modo sicuro; i soli requisiti documentali giustificano l'incarico.
Qualsiasi elemento che attivi l'articolo 5. Si tratta di un rischio di enforcement che richiede un'azione immediata, non un audit. Cessa la pratica, quindi avvia l'audit per confermare la cessazione e documentare la remediation.
Il modulo di contatto della consulenza si trova su disclos.eu → 'Get audited — €997'.
Frequently asked questions
Potete valutarmi tramite il modulo di contatto?
Il modulo di contatto è destinato ai clienti che hanno già effettuato il pagamento e desiderano commissionare un audit. La checklist di self-audit è uno strumento pre-contatto — nessun impegno, nessun costo, solo trenta domande. Se desideri una valutazione umana delle tue risposte senza commissionare un audit completo, invia le trenta risposte a hello@disclos.eu e il revisore principale risponderà entro un giorno lavorativo con una raccomandazione.
Rispondere 'sì' alla domanda 14 in un contesto lavorativo significa immediatamente che siamo soggetti a un divieto?
L'articolo 5, paragrafo 1, lettera f), vieta il riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione, con limitate eccezioni per ragioni mediche o di sicurezza. Se il tuo prodotto inferisce lo stato emotivo in tali contesti e non rientra in tali eccezioni, sei non conforme ai sensi dell'articolo 5. La comunicazione non sana una pratica vietata — solo la cessazione della pratica lo fa. I nostri revisori esamineranno questo aspetto al momento del contatto iniziale se lo segnali.
E se non sono sicuro su una domanda?
Prediligi il 'sì' per il triage. Sovrastimare le lacune nella fase di self-audit è sicuro; sottostimarle costa denaro in seguito. L'audit completo risolverà ciascuna di esse con prove concrete.
Questa checklist ha valore legalmente vincolante?
No. È uno strumento di self-triage che la consulenza pubblica gratuitamente. Non costituisce una consulenza legale e non ci vincola a un risultato specifico in un audit a pagamento. L'audit è il deliverable vincolante; la checklist è il percorso di accesso.
La checklist verrà aggiornata quando il Regolamento sarà modificato?
Sì. Il campo last_updated della pagina riflette la modifica più recente. Quando l'EU AI Office pubblica orientamenti che riguardano una qualsiasi delle trenta domande, i nostri revisori aggiornano il blocco pertinente e ripubblicano.
Sources
Last updated: 2026-05-30