Servizi

Consulenza di conformità EU AI Act per SaaS, fornitori di AI e aziende US che vendono nell'UE

Il Regolamento (UE) 2024/1689 è legge. Le pratiche vietate si applicano da febbraio 2025, gli obblighi GPAI da agosto 2025, e il regime completo per i sistemi ad alto rischio entra in vigore il 2 agosto 2026. Classifichiamo i vostri sistemi di IA rispetto all'Allegato III e all'Allegato I, scriviamo la documentazione tecnica Allegato IV / Allegato XI, implementiamo i sistemi di gestione del rischio ex art. 9 e di gestione della qualità ex art. 17, e gestiamo il monitoraggio post-mercato ex art. 72 — integrati con i vostri controlli GDPR, ISO 27001 e SOC 2 esistenti anziché duplicati accanto a essi. Evidenze di qualità ingegneristica, memo leggibili dai legali, registro dei rischi pronto per il consiglio. Da 6.500 EUR per il Readiness Assessment.

Consulenza sulla conformità al regolamento UE sull'IA per prodotti SaaS e IA

L'EU AI Act ha portata extraterritoriale: se il vostro output di IA viene utilizzato nell'UE, siete nel perimetro indipendentemente da dove sia costituita la vostra azienda. Le sanzioni arrivano a 35 milioni di EUR o al 7% del fatturato globale per le pratiche vietate, a 15 milioni di EUR o al 3% per le violazioni relative ai sistemi ad alto rischio. Ma la maggior parte dei prodotti SaaS non è ad alto rischio; il valore sta in un memo di classificazione difendibile, un pacchetto di documentazione pulito e una libreria di evidenze che funge anche da input per ISO 42001 e SOC 2. Abbiamo già fatto questo per vendor SaaS, startup AI-native e aziende US che entrano nel mercato UE: il deliverable è operativo, non teatrale.

Cosa forniamo

Memo di classificazione del rischio

Mappatura sistema per sistema rispetto all'Allegato III (otto aree ad alto rischio), all'Allegato I (prodotti regolamentati), alle proibizioni ex art. 5 e agli obblighi a rischio limitato ex art. 50. Redatto con citazioni a livello di articolo affinché il vostro legale possa approvarlo senza rifare il lavoro.

Documentazione tecnica Allegato IV

Il pacchetto completo per i sistemi ad alto rischio: descrizione del sistema, scopo previsto, gestione del rischio, governance dei dati, design della supervisione umana, metriche di accuratezza/robustezza/cybersicurezza, logging, piano di monitoraggio post-mercato. Markdown versionato nel vostro repository, non un PDF una tantum.

Documentazione del modello GPAI

Se eseguite il fine-tuning di un modello GPAI potreste ereditare obblighi da fornitore ai sensi dell'art. 25(1)(c). Forniamo il pacchetto Allegato XI: model card, sintesi dei dati di addestramento, rendicontazione energetica e politica sul diritto d'autore ex art. 53(1)(c) allineata al template dell'EU AI Office.

Sistema di gestione del rischio

RMS ex art. 9 come sistema vivente, non un raccoglitore. Identificazione dei pericoli, valutazione del rischio residuo, tracciamento delle mitigazioni e integrazione con il vostro registro ISO 27001 in modo che lo stesso controllo evidenzi entrambi i regimi.

Monitoraggio post-mercato

Piano PMM ex art. 72, workflow di segnalazione degli incidenti gravi ex art. 73, dashboard di drift e accuratezza, e il playbook per notificare le autorità competenti entro i 15 giorni previsti dalla legge quando necessario.

Artefatti per il deployer

Istruzioni per l'uso ex art. 13, comunicative di trasparenza ex art. 50, template di valutazione d'impatto sui diritti fondamentali (FRIA) per il deployer ex art. 27, pronti da inviare ai clienti enterprise che pongono domande sull'AI Act nelle loro RFP di procurement.

Cosa copriamo

Annex III Classification Annex I Mapping Article 5 Prohibitions Article 50 Transparency GPAI Article 53 Article 9 Risk Mgmt Article 10 Data Governance Article 14 Human Oversight Article 15 Accuracy/Cyber Article 17 QMS Annex IV Tech Doc Annex XI GPAI Doc Article 27 FRIA Article 72 PMM Article 73 Incidents CE Marking Support Notified Body Liaison ISO/IEC 42001 Alignment ISO 27001 Integration GDPR Article 35 DPIA NIS2 / DORA Crossmap CRA Crossmap CEN-CENELEC JTC 21 EU AI Office Liaison

Come si svolge un ingaggio

  1. 01

    Perimetro e classificazione

    Settimana 1: censimento di ogni sistema di IA e modello GPAI nel vostro stack, classificazione rispetto agli Allegati III/I, identificazione delle pratiche vietate e stesura del memo di classificazione. La maggior parte dei clienti scopre che due terzi della propria IA è a rischio limitato o fuori perimetro, in modo difendibile.

  2. 02

    Analisi dei gap

    Settimana 2: analisi dei gap di ciascun sistema nel perimetro rispetto agli articoli pertinenti, valutazione di ciascun gap per scadenza e sforzo, e produzione di una roadmap di remediation allineata alle milestone del 2 febbraio 2025, 2 agosto 2025, 2 agosto 2026 e 2 agosto 2027.

  3. 03

    Costruzione del pacchetto

    Settimane 3–8: implementazione del RMS ex art. 9 e del QMS ex art. 17, stesura della documentazione Allegato IV (o Allegato XI per GPAI) nel vostro repository, implementazione del logging ex art. 12, e consegna delle istruzioni per l'uso ex art. 13 e delle comunicative di trasparenza ex art. 50.

  4. 04

    Gestione operativa

    Dal terzo mese: aggiornamento trimestrale delle evidenze, monitoraggio normativo (linee guida EU AI Office, standard armonizzati man mano che vengono pubblicati, autorità nazionali competenti), esercitazioni sugli incidenti ex art. 73 e un'esercitazione annuale di audit pronta per terze parti.

Pacchetti di ingaggio

Readiness Assessment

Due settimane, scope fisso. Memo di classificazione, analisi dei gap rispetto agli articoli applicabili, roadmap di remediation allineata alle scadenze dell'AI Act e un briefing esecutivo di 60 minuti con il fondatore e il legale. 6.500 EUR fissi.

Documentation Pack

Sei-otto settimane. Documentazione tecnica completa Allegato IV o Allegato XI, RMS ex art. 9, politica di governance dei dati ex art. 10, piano di monitoraggio post-mercato ex art. 72, istruzioni per l'uso ex art. 13, comunicative di trasparenza ex art. 50 e model card pubblica. 18.000 EUR fissi.

Compliance Operations

Retainer mensile continuativo. Aggiornamento trimestrale delle evidenze, monitoraggio normativo, supporto alla segnalazione degli incidenti ex art. 73, esercitazione annuale di audit, manutenzione del pacchetto di risposte alle RFP di deployer/clienti. 4.500 EUR/mese.

La valutazione di conformità con un organismo notificato (art. 43, percorso tramite Allegato VII) viene quotata separatamente quando il sistema richiede una valutazione di terze parti. Minimo tre mesi per Compliance Operations, poi mensile con 30 giorni di preavviso. NDA, DPA e cessione IP firmati prima del kickoff.

Perché fondatori e legali scelgono YuSMP per il lavoro sull'AI Act

Allineati al GDPR · Pronti per ISO 27001 · SOC 2 Type II in corso · Compatibili HIPAA · Allineati a ISO/IEC 42001

Ingegneri, non consulenti di policy

Leggiamo il codice del modello, la pipeline dei dati e la suite di valutazione prima di scrivere un memo. I nostri deliverable reggono perché riflettono ciò che il sistema fa davvero, non ciò che afferma una presentazione.

Un'unica libreria di evidenze, molti regimi

AI Act, GDPR, ISO 27001, ISO 42001, SOC 2, NIS2, CRA — i controlli sottostanti si sovrappongono. Costruiamo un'unica libreria di evidenze versionata che adempie agli obblighi di tutti invece di gestire raccoglitori paralleli.

All'interno della vostra cadenza operativa

DPA e NDA firmati prima del kickoff, accesso al repository, partecipazione alla riunione del personale di ingegneria e all'aggiornamento legale del consiglio. La documentazione vive nel vostro stack ed è di proprietà del vostro team dopo il passaggio di consegne.

Per la valutazione di conformità collaboriamo direttamente con gli organismi notificati UE (percorso 2 dell'Allegato VII) e prepariamo la presentazione secondo lo standard atteso dall'organismo, non quello presunto da un consulente generalista.

Cosa dicono i clienti

La firma elettronica di documenti da remoto è un campo minato dal punto di vista legale. YuSMP ha realizzato sia il flusso di firma mobile che il CRM Symfony in un unico ingaggio, ha gestito l'onboarding KYC e ha consegnato una documentazione API che il nostro team di compliance ha approvato in pochi giorni.
David Mercer, CEO, Signatory ProVedi il caso →
Un motore di decisione sui prestiti che impiega dieci volte meno tempo per approvare non avviene per caso. YuSMP ha costruito la pipeline di scoring, l’integrazione con i bureau del credito e un back-office che i nostri sottoscrittori apprezzano davvero. I tempi di approvazione sono passati da due giorni a meno di quattro ore.
Gregory Lawson, CTO, LoanFlowVedi il caso →

Domande frequenti

Da quando si applica effettivamente l'EU AI Act al mio prodotto e quali scadenze devo pianificare?

L'EU AI Act (Regolamento (UE) 2024/1689) è entrato in vigore il 1° agosto 2024 e si applica in fasi. Le pratiche di IA vietate (art. 5) sono diventate applicabili il 2 febbraio 2025. Gli obblighi per i modelli di IA per uso generale (Capitolo V) si applicano dal 2 agosto 2025, inclusi trasparenza, documentazione tecnica e politica sul diritto d'autore. La maggior parte degli obblighi per i sistemi di IA ad alto rischio (Capitolo III) si applica dal 2 agosto 2026. Gli obblighi per i sistemi di IA ad alto rischio integrati in prodotti regolamentati ai sensi dell'Allegato I (dispositivi medici, macchinari, giocattoli, diagnostica in vitro, ecc.) si applicano dal 2 agosto 2027. Se vendete nell'UE, nel SEE o il vostro output viene utilizzato nell'UE, siete nel perimetro anche se la vostra azienda è costituita negli Stati Uniti: l'art. 2 ha portata extraterritoriale.

Come faccio a sapere se il mio sistema di IA è ad alto rischio, a rischio limitato o fuori perimetro?

Classifichiamo rispetto all'Allegato III (otto aree ad alto rischio: biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali tra cui credit scoring e determinazione del prezzo di assicurazioni vita/salute, forze dell'ordine, migrazione/asilo/controllo delle frontiere, amministrazione della giustizia e processi democratici) e all'Allegato I (IA come componente di sicurezza in prodotti regolamentati). I sistemi a rischio limitato ai sensi dell'art. 50 (chatbot, riconoscimento delle emozioni, categorizzazione biometrica, deepfake) hanno solo obblighi di trasparenza. I sistemi a rischio minimo hanno codici volontari. Forniamo un memo di classificazione scritto con citazioni a livello di articolo e un registro dei rischi leggibile dal consiglio. Circa il 60% dei prodotti SaaS che classifichiamo risulta a rischio limitato e necessita solo di comunicative di trasparenza e watermarking: quella decisione da sola fa risparmiare costi di compliance a sei cifre.

Utilizziamo OpenAI, Anthropic o Mistral: l'EU AI Act ci rende fornitori di GPAI?

No, rimanete fornitori o deployer a valle, non fornitori di GPAI. Gli obblighi per i fornitori di GPAI (art. 53) si applicano al creatore del modello: OpenAI, Anthropic, Google DeepMind, Mistral. Ma ereditate obblighi a valle: mantenere le istruzioni per l'uso, monitorare i rischi sistemici; e se eseguite il fine-tuning di un modello GPAI sui vostri dati, potete diventare il fornitore di un modello GPAI derivato ai sensi dell'art. 25(1)(c). Mappiamo il confine upstream/downstream, lo documentiamo nel contratto con il fornitore del modello e scriviamo la policy di fine-tuning che vi mantiene fuori dagli obblighi di classe-fornitore a meno che non vogliate davvero esserlo.

Cosa contiene un pacchetto completo di documentazione tecnica EU AI Act?

L'Allegato IV lo definisce per i sistemi ad alto rischio: una descrizione generale del sistema e dello scopo previsto; una descrizione dettagliata dei componenti e del processo di sviluppo; monitoraggio, funzionamento e controllo; sistema di gestione del rischio ai sensi dell'art. 9; dati di addestramento, validazione e test ai sensi dell'art. 10; mezzi tecnici per la supervisione umana ai sensi dell'art. 14; metriche di accuratezza, robustezza e cybersicurezza ai sensi dell'art. 15; il sistema di gestione della qualità ai sensi dell'art. 17; log e piano di monitoraggio post-mercato ai sensi dell'art. 72. Per i modelli GPAI si applica l'Allegato XI — model card, sintesi dei dati di addestramento, consumo energetico e politica di conformità sul diritto d'autore. Forniamo il pacchetto completo come Markdown versionato nel vostro repository, più una model card pubblica e un foglio di istruzioni per il deployer.

Come si sovrappone l'EU AI Act con GDPR, il Data Act e ISO 42001 — e come evitiamo di duplicare il lavoro?

Molto, e il trucco è un'unica mappa integrata dei controlli. Il sistema di gestione del rischio ex art. 9 può riutilizzare il vostro registro dei rischi ISO 27001. I requisiti di governance dei dati ex art. 10 si allineano strettamente con gli artt. 5, 25 e 32 del GDPR: lo stesso framework DPIA con documentazione aggiuntiva su equità e bias. Il sistema di gestione dell'IA ISO/IEC 42001:2023 copre circa il 70% dei requisiti di gestione della qualità ex art. 17; se state perseguendo la certificazione ISO 42001, lo sequenziamo per adempiere contemporaneamente agli obblighi dell'AI Act. Il Data Act, NIS2 e il Cyber Resilience Act aggiungono obblighi adiacenti che condividono le evidenze — forniamo un'unica libreria di evidenze unificata, non cinque duplicate.

Come sono strutturati i prezzi e cosa è incluso o escluso dallo scope?

Tre pacchetti. Readiness Assessment a 6.500 EUR fissi (due settimane): memo di classificazione, analisi dei gap rispetto agli articoli pertinenti, roadmap di remediation e briefing esecutivo. Documentation Pack a 18.000 EUR fissi (sei-otto settimane): documentazione completa Allegato IV o Allegato XI, sistema di gestione del rischio, politica di governance dei dati, piano di monitoraggio post-mercato, istruzioni per l'uso e model card pubblica. Compliance Operations continuativa a 4.500 EUR/mese: aggiornamento trimestrale delle evidenze, monitoraggio normativo (EU AI Office, autorità nazionali competenti, standard armonizzati del CEN-CENELEC JTC 21), supporto alla segnalazione degli incidenti ex art. 73 e un'esercitazione annuale di audit pronta per terze parti. La valutazione di conformità con un organismo notificato viene quotata separatamente quando richiesta.

Avete bisogno di un memo di classificazione AI Act prima della prossima riunione del consiglio?

Prenota una chiamata di readiness

Richiedi una proposta

Condividete alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferite parlare direttamente? ☎ Call +374 44 871 811 ✉ sales@yusmpgroup.com