Guida alla selezione di vendor e piattaforme AI

Criteri e metodo per valutare vendor e piattaforme AI: lock-in, costi reali, data handling, portabilità, SLA. Due diligence tecnologica indipendente.

Un framework per valutare fornitori e piattaforme AI prima di impegnarsi. Criteri oggettivi, concreti e orientati alla protezione dell’azienda — non alla vendita.


Il problema della vendor selection AI

Scegliere un fornitore AI è diverso da scegliere un qualsiasi altro fornitore software:

  • Il lock-in è più profondo: modelli fine-tuned, dati di training, integrazioni custom creano dipendenze che vanno oltre il contratto
  • I costi sono meno prevedibili: API calls, compute, storage scalano in modi difficili da preventivare
  • La tecnologia cambia velocemente: il vendor leader oggi potrebbe essere obsoleto tra 18 mesi
  • I dati sono centrali: dove finiscono, chi vi accede, come vengono protetti — non è un dettaglio

Criteri di valutazione

1. Data handling e privacy

CriterioDomanda chiave
Data residencyDove risiedono fisicamente i dati? EU?
Data ownershipChi è proprietario dei dati inseriti? E degli output?
Training opt-outI dati vengono usati per il training del modello? Si può fare opt-out?
EncryptionI dati sono cifrati in transit e at rest?
Data retentionQuanto tempo vengono conservati prompt e output?
SubprocessorsChi sono i subprocessor? In quali giurisdizioni operano?

2. Lock-in e portabilità

CriterioDomanda chiave
Data exportÈ possibile esportare tutti i dati in formati standard?
Model portabilityI modelli fine-tuned possono essere esportati e usati altrove?
API standardLe API seguono standard aperti (OpenAI-compatible, etc.)?
Migration supportIl vendor fornisce strumenti di migrazione?
Exit clauseIl contratto prevede clausole di uscita chiare?

3. Costi reali (TCO)

CriterioDomanda chiave
Pricing modelIl pricing è prevedibile? Pay-per-use, subscription, hybrid?
Scaling costsCome scalano i costi con il volume? Ci sono soglie?
Hidden costsCi sono costi per storage, egress, support, training?
CommitmentSono richiesti impegni minimi annuali? Penali di uscita?
BenchmarkCome si confronta con alternative (incluse open source)?

4. Qualità e affidabilità

CriterioDomanda chiave
SLAQuali sono gli SLA reali (non quelli marketing)?
UptimeQual è lo storico di uptime? Esistono status page pubbliche?
Model versioningCome vengono gestiti gli aggiornamenti del modello? Posso restare su una versione?
PerformanceEsistono benchmark indipendenti su latenza e qualità output?
SupportChe tipo di supporto è incluso? Tempi di risposta reali?

5. Compliance e sicurezza

CriterioDomanda chiave
CertificationsISO 27001, SOC 2, GDPR compliance documentata?
AI ActIl vendor ha una posizione chiara rispetto all’AI Act?
AuditÈ possibile fare audit (o audit di terze parti) dell’infrastruttura?
Incident responseEsiste una procedura documentata di incident response?
Vulnerability disclosureEsiste un programma di responsible disclosure?

Red flag comuni


Come procedere

  1. Definire i requisiti prima di parlare con i vendor (non il contrario)
  2. Valutare almeno 2-3 alternative per ogni servizio (incluse opzioni open source)
  3. Usare i criteri sopra come griglia strutturata di valutazione
  4. Documentare le decisioni e i trade-off accettati
  5. Definire un’exit strategy prima di firmare

Per un assessment indipendente su vendor specifici:

Richiedi un confronto →


Approfondimenti correlati