Criteri e metodo per valutare vendor e piattaforme AI: lock-in, costi reali, data handling, portabilità, SLA. Due diligence tecnologica indipendente.
Un framework per valutare fornitori e piattaforme AI prima di impegnarsi. Criteri oggettivi, concreti e orientati alla protezione dell’azienda — non alla vendita.
Il problema della vendor selection AI
Scegliere un fornitore AI è diverso da scegliere un qualsiasi altro fornitore software:
Il lock-in è più profondo: modelli fine-tuned, dati di training, integrazioni custom creano dipendenze che vanno oltre il contratto
I costi sono meno prevedibili: API calls, compute, storage scalano in modi difficili da preventivare
La tecnologia cambia velocemente: il vendor leader oggi potrebbe essere obsoleto tra 18 mesi
I dati sono centrali: dove finiscono, chi vi accede, come vengono protetti — non è un dettaglio
Criteri di valutazione
1. Data handling e privacy
Criterio
Domanda chiave
Data residency
Dove risiedono fisicamente i dati? EU?
Data ownership
Chi è proprietario dei dati inseriti? E degli output?
Training opt-out
I dati vengono usati per il training del modello? Si può fare opt-out?
Encryption
I dati sono cifrati in transit e at rest?
Data retention
Quanto tempo vengono conservati prompt e output?
Subprocessors
Chi sono i subprocessor? In quali giurisdizioni operano?
2. Lock-in e portabilità
Criterio
Domanda chiave
Data export
È possibile esportare tutti i dati in formati standard?
Model portability
I modelli fine-tuned possono essere esportati e usati altrove?
API standard
Le API seguono standard aperti (OpenAI-compatible, etc.)?
Migration support
Il vendor fornisce strumenti di migrazione?
Exit clause
Il contratto prevede clausole di uscita chiare?
3. Costi reali (TCO)
Criterio
Domanda chiave
Pricing model
Il pricing è prevedibile? Pay-per-use, subscription, hybrid?
Scaling costs
Come scalano i costi con il volume? Ci sono soglie?
Hidden costs
Ci sono costi per storage, egress, support, training?
Commitment
Sono richiesti impegni minimi annuali? Penali di uscita?
Benchmark
Come si confronta con alternative (incluse open source)?
4. Qualità e affidabilità
Criterio
Domanda chiave
SLA
Quali sono gli SLA reali (non quelli marketing)?
Uptime
Qual è lo storico di uptime? Esistono status page pubbliche?
Model versioning
Come vengono gestiti gli aggiornamenti del modello? Posso restare su una versione?
Performance
Esistono benchmark indipendenti su latenza e qualità output?
Support
Che tipo di supporto è incluso? Tempi di risposta reali?
5. Compliance e sicurezza
Criterio
Domanda chiave
Certifications
ISO 27001, SOC 2, GDPR compliance documentata?
AI Act
Il vendor ha una posizione chiara rispetto all’AI Act?
Audit
È possibile fare audit (o audit di terze parti) dell’infrastruttura?
Incident response
Esiste una procedura documentata di incident response?
Vulnerability disclosure
Esiste un programma di responsible disclosure?
Red flag comuni
Come procedere
Definire i requisiti prima di parlare con i vendor (non il contrario)
Valutare almeno 2-3 alternative per ogni servizio (incluse opzioni open source)
Usare i criteri sopra come griglia strutturata di valutazione
Documentare le decisioni e i trade-off accettati
Definire un’exit strategy prima di firmare
Per un assessment indipendente su vendor specifici: