Domande sulla conformità, con risposta

Veracly è un servizio di monitoraggio della conformità dei siti web rivolto alle piccole e medie imprese. Analizza il tuo sito rispetto alle regole digitali che si applicano ai tuoi visitatori — accessibilità (Atto europeo sull’accessibilità (EAA) / BFSG, ADA, UK Equality Act, AODA), privacy (GDPR e le regole sui cookie ePrivacy) e gli obblighi di trasparenza dell’articolo 50 del Regolamento UE sull’IA — e ti fornisce poi un report in linguaggio chiaro, ordinato per gravità, con una correzione pronta da copiare e incollare per ogni rilievo.

Veracly esegue la scansione delle tue pagine, applica il motore di accessibilità axe-core al DOM renderizzato e registra ogni richiesta di rete, cookie e scrittura in memoria che avviene prima che un visitatore interagisca con il tuo banner dei cookie. Associa poi ogni rilievo alle giurisdizioni applicabili e ne assegna un punteggio. Ogni rilievo è riproducibile da te negli strumenti per sviluppatori (DevTools) del tuo browser — il report ti mostra esattamente come.

La scansione gratuita verifica una singola pagina e ti invia via email un PDF firmato in circa cinque minuti — stesso motore, stesso punteggio, stessa firma crittografica del piano a pagamento. I piani a pagamento aggiungono il monitoraggio continuo su più pagine, tutte le giurisdizioni in un unico report, ri-scansioni programmate, avvisi di regressione e uno storico datato di attestazioni che puoi condividere.

No — ed è una scelta deliberata. Veracly è un servizio indipendente di monitoraggio e reportistica: ti indica con precisione cosa correggere e come, ma non vende l’intervento di correzione. La conformità si raggiunge quando il tuo sviluppatore corregge i problemi individuati; nessuno strumento può rendere conforme un sito web da solo. È proprio il restare indipendente che permette ai rilievi di Veracly di essere credibili agli occhi di un’autorità di controllo, di un revisore o di un legale.

No. Un report di Veracly è una scansione tecnica di conformità, generata da software automatizzato. Ha valore puramente informativo — non è consulenza legale, non è un parere di un’autorità di controllo e non è un audit ai sensi del § 317 HGB / ISA. È pensato per essere consegnato al tuo legale, che può agire sui rilievi nella tua giurisdizione.

L’Atto europeo sull’accessibilità — Direttiva (UE) 2019/882 — richiede che un’ampia gamma di prodotti e servizi digitali venduti ai consumatori dell’UE sia accessibile. Ogni Stato membro lo recepisce nel diritto nazionale; in Germania è il Barrierefreiheitsstärkungsgesetz (BFSG). In pratica, la conformità si misura rispetto alla norma EN 301 549, che rinvia ai criteri di successo WCAG 2.1 AA.

Le regole nazionali dell’EAA si applicano dal 28 giugno 2025. Da tale data, le imprese rientranti nell’ambito di applicazione che vendono ai consumatori dell’UE sono tenute a soddisfare i requisiti di accessibilità. Alcuni Stati membri prevedono periodi transitori limitati per i contratti di servizio esistenti, ma i nuovi servizi digitali sono già coperti.

Si applica alle imprese che offrono prodotti e servizi coperti ai consumatori dell’UE — tra cui e-commerce, banche, e-book, trasporti e telecomunicazioni. Esiste un’agevolazione per le microimprese per i fornitori di servizi con meno di 10 dipendenti e un fatturato annuo o un totale di bilancio pari o inferiore a 2 milioni di €, ma è circoscritta e non riguarda i prodotti. Se vendi online ai consumatori dell’UE, presumi di rientrare probabilmente nell’ambito di applicazione e confermalo con un legale.

Le WCAG (Web Content Accessibility Guidelines) sono lo standard del W3C per i contenuti web accessibili, organizzato nei livelli A, AA e AAA. AA è il livello a cui rinvia la maggior parte delle normative. Veracly valuta il tuo sito rispetto alle WCAG 2.2 AA — la versione attuale — e riporta anche il punteggio della soglia legale minima (WCAG 2.1 AA per EAA, ADA e UK Equality Act; WCAG 2.0 AA per AODA) così puoi vederli entrambi.

Per la maggior parte delle imprese private, i tribunali statunitensi hanno applicato l’Americans with Disabilities Act (Titolo III) ai siti web tramite la giurisprudenza, come Robles v. Domino’s e Gil v. Winn-Dixie, misurando generalmente rispetto alle WCAG 2.1 AA. Per i siti dei governi statali e locali, la regola del Titolo II del DOJ del 2024 fissa esplicitamente le WCAG 2.1 AA. Se hai visitatori statunitensi, l’ADA rappresenta un’esposizione concreta.

L’UK Equality Act 2010 (§20) impone ai fornitori di servizi il dovere di adottare adeguamenti ragionevoli affinché le persone con disabilità possano utilizzare un servizio — che i tribunali e l’EHRC ritengono comprendere i siti web. Le WCAG 2.1 AA sono il parametro pratico utilizzato per dimostrare che tali adeguamenti sono stati adottati.

L’Accessibility for Ontarians with Disabilities Act (AODA) richiede alle organizzazioni dell’Ontario di rendere accessibili i propri contenuti web. Il suo Integrated Accessibility Standards Regulation (O. Reg. 191/11, §14) rinvia alle WCAG 2.0 AA come soglia legale minima. Veracly valuta l’AODA rispetto a tale soglia 2.0, mostrando al contempo anche la visione più ampia 2.2 per confronto.

Ai sensi della Direttiva ePrivacy (Art. 5(3)) e del GDPR, i cookie e i tracker non essenziali — analitici, pixel pubblicitari e simili — possono essere installati solo dopo che il visitatore ha prestato un consenso preventivo, informato e liberamente espresso. I cookie strettamente necessari sono esentati. Il problema più comune che Veracly rileva sono i tracker che si attivano al caricamento della pagina, prima di qualsiasi interazione con il banner.

Il § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) è il recepimento tedesco dell’Art. 5(3) della Direttiva ePrivacy. Richiede il consenso prima di memorizzare o leggere informazioni sul dispositivo di un utente — ossia prima di installare cookie non essenziali o di usare la memoria locale/di sessione per il tracciamento. A differenza del BFSG, non prevede alcuna esenzione per le microimprese.

Un tracker pre-consenso è un cookie, una voce di memoria o una richiesta di terze parti che si attiva prima che il visitatore accetti il banner dei cookie. Poiché il consenso deve venire prima, questi sono tra i problemi di privacy più evidenti e riproducibili — puoi confermarli tu stesso nei DevTools (ad es. F12 → Rete, poi ricarica e osserva quali richieste si attivano prima di qualsiasi clic).

Le autorità di controllo (tra cui l’EDPB e diverse autorità nazionali) sostengono che rifiutare i cookie non essenziali debba essere facile quanto accettarli — di norma con un pulsante "Rifiuta tutto" ugualmente in evidenza accanto a "Accetta tutto" sul primo livello. Un banner che offre solo "Accetta" o che nasconde l’opzione di rifiuto è un rilievo comune e riproducibile.

L’articolo 50 del Regolamento UE sull’IA stabilisce obblighi di trasparenza: devi informare le persone quando interagiscono con un sistema di IA (come un chatbot), e i contenuti generati o manipolati dall’IA (testo, immagini, audio, video) devono essere contrassegnati come tali. È un dovere di trasparenza, distinto dalle regole dell’Atto sui sistemi di IA ad alto rischio.

Gli obblighi di trasparenza dell’articolo 50 si applicano in tutta l’UE dal 2 agosto 2026. Se il tuo sito utilizza un chatbot o pubblica contenuti generati dall’IA per i visitatori dell’UE, è questa la data entro cui essere pronti.

Sì — ai sensi dell’articolo 50(1), quando un visitatore interagisce con un sistema di IA come un chatbot o un assistente di IA, devi rendere chiaro che non sta parlando con un essere umano (a meno che non sia ovvio dal contesto). Veracly rileva i widget di chat/assistente più comuni e verifica se è presente una chiara informativa sull’IA.

Veracly esegue una verifica di prontezza alla trasparenza per l’articolo 50 — segnala un chatbot non dichiarato o un avviso mancante sull’uso dell’IA, così puoi affrontarli prima della scadenza. È un segnale di prontezza, non una determinazione che il tuo sito sia "conforme al Regolamento sull’IA", e non copre i requisiti di governance dei sistemi di IA ad alto rischio previsti dall’Atto.

Ogni report è firmato crittograficamente (Ed25519) e ancorato al registro di audit di Veracly. La firma copre il PDF esatto, quindi qualsiasi manomissione è rilevabile. Il report riporta un ID di verifica e un URL di verifica, così la sua provenienza può essere confermata in modo indipendente.

Sì. Chiunque sia in possesso del PDF può visitare il link di verifica e riconciliare la firma con la chiave pubblica di Veracly, pubblicata su veracly.app/.well-known/veracly-signing-key.json. La verifica avviene nel suo browser — senza account Veracly e senza alcun server Veracly nel percorso di fiducia — ed è ciò che la rende credibile per un terzo.

Un report della scansione gratuita resta scaricabile per 60 giorni, e il suo record di verifica crittografica viene conservato per lo stesso intervallo; il report stesso non scade mai una volta che hai salvato il PDF. I report a pagamento restano disponibili nel tuo account, e i loro ancoraggi al registro di audit persistono, così il report resta verificabile in modo indipendente nel tempo.

Sì — è proprio ciò per cui è costruito. Poiché il report è verificabile in modo indipendente senza dover dare fiducia a Veracly, puoi consegnarlo a un legale, a un revisore, a un’autorità di controllo o a un acquirente che svolge la due diligence, e potranno confermare che è autentico e non alterato. I siti a pagamento possono inoltre condividere una timeline di attestazioni datata e in tempo reale.

Una scansione di una pagina è gratuita. I piani a pagamento sono fatturati mensilmente per sito e variano in base al numero di pagine e siti che monitori; i livelli e i prezzi attuali sono nella sezione prezzi di veracly.app. Non c’è alcun costo per eseguire la scansione gratuita e vedere prima un report completo e firmato.

I piani a pagamento aggiungono il monitoraggio continuo e programmato su più pagine; tutte e cinque le giurisdizioni più la verifica del Regolamento UE sull’IA in un unico report; avvisi di regressione quando compare un nuovo problema; uno storico di attestazioni datato e verificabile in modo indipendente; e report PDF firmati che puoi condividere con un legale o con gli acquirenti.

Veracly scansiona solo ciò che caricherebbe il browser di un normale visitatore: il contenuto pubblico della pagina, le richieste di terze parti effettuate dalle tue pagine e i cookie e la memoria che esse scrivono. Rileva il tracciamento lato client; i flussi di dati lato server (come le API pixel da server a server) sono al di fuori dell’ambito e segnalati come tali nel report.

I risultati delle scansioni e i report generati sono conservati solo per il tempo necessario al servizio e poi eliminati secondo un calendario prestabilito — i report della scansione gratuita per 60 giorni, con intervalli più lunghi per i dati di scansione a pagamento e per gli ancoraggi al registro di audit che mantengono verificabili i report. I periodi di conservazione completi e attuali sono pubblicati nell’informativa sulla privacy di Veracly.

Veracly verifica la conformità ma non vende la correzione — quindi i suoi rilievi non comportano alcun conflitto di interessi. Uno strumento che ti vendesse anche l’intervento di correzione non potrebbe certificarlo in modo credibile. È questa indipendenza che rende un report di Veracly qualcosa che puoi presentare a un’autorità di controllo, a un revisore o a un acquirente.