beehind

  • Due diligence: come proteggere il valore aziendale

La scelta di esternalizzare i servizi IT rappresenta un passaggio cruciale e complesso nella gestione di un’azienda, poiché implica una serie di considerazioni strategiche e operative. Nonostante ciò, molte organizzazioni si avventurano in questa decisione senza condurre un’analisi approfondita dei rischi e delle opportunità connesse. È fondamentale comprendere che la due diligence nell’ambito dell’outsourcing IT non deve essere vista come una semplice formalità burocratica; al contrario, essa costituisce un approccio strategico essenziale.

Attraverso una valutazione accurata e sistematica, le aziende possono trasformare un potenziale fallimento in un vantaggio competitivo duraturo, garantendo così non solo la sicurezza dei propri dati e processi, ma anche l’ottimizzazione delle risorse e l’allineamento con gli obiettivi aziendali a lungo termine.

L’importanza strategica della due diligence

Il 40% dei progetti di outsourcing IT affronta sfide significative a causa di una valutazione inadeguata del fornitore nella fase preliminare. Quando tali problematiche si traducono in violazioni dei dati, il costo medio per un’azienda europea può raggiungere i 4,45 milioni di euro, con il 60% di questa somma direttamente riconducibile a una scelta errata del fornitore durante il processo di selezione.

Nel contesto normativo del 2025-2026, in cui il DORA (Digital Operational Resilience Act), applicabile dal 17 gennaio 2025 al settore finanziario europeo, rende la due diligence obbligatoria nel settore finanziario e si afferma come standard di riferimento in tutti i settori, è fondamentale strutturare la due diligence in modo efficace.

Le tre aree fondamentali della due diligence

Una valutazione approfondita di un fornitore IT deve necessariamente considerare tre dimensioni interconnesse, ognuna delle quali presenta implicazioni strategiche uniche e significative per l’organizzazione.

Sicurezza informatica

La sicurezza informatica è un elemento fondamentale. Un fornitore affidabile deve presentare i report dei test di penetrazione recenti (preferibilmente effettuati negli ultimi 12 mesi), implementare l’autenticazione multifattore per gli accessi sensibili e garantire un monitoraggio continuo del sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM).

Le vulnerabilità critiche devono essere risolte entro 90 giorni. Se il potenziale partner non è in grado di fornire tali documenti, questo rappresenta un segnale di allerta significativo.

Infrastruttura IT

L’infrastruttura IT deve garantire una robustezza operativa, evitando punti critici di fallimento. È consigliabile verificare un’affidabilità storica superiore al 99,9% (nei report degli ultimi 12 mesi) e disporre di piani di recupero in caso di emergenza testati regolarmente, con tempi di ripristino (RTO) inferiori a 4 ore e obiettivi di recupero dei dati (RPO) inferiori a un’ora per i servizi essenziali.

Un’infrastruttura inadeguata può comportare costi elevati: il fermo non programmato per una piccola o media impresa europea può costare in media 5.600 euro al minuto.

Qualità del codice

La qualità del codice influenza direttamente la manutenibilità futura. Un fornitore affidabile deve dimostrare code coverage superiore al 70%, implementare code review obbligatori e automatizzare i test. Questi indicatori suggeriscono che il fornitore costruisce software sostenibile nel tempo, non soluzioni usa-e-getta.

Proprietà intellettuale

La gestione della proprietà intellettuale rappresenta un aspetto cruciale, spesso sottovalutato. È opportuno richiedere una Software Bill of Materials (SBOM) dettagliata delle dipendenze, effettuare una scansione automatica delle licenze open source utilizzando strumenti come FOSSA o Black Duck, e garantire chiarezza riguardo alla titolarità del codice sviluppato.

L’integrazione errata di una singola libreria GPLv3 può compromettere la commercializzazione del prodotto.

Due diligence finanziaria: garantire la continuità e la stabilità del partner

Un fornitore con elevate competenze tecniche ma una situazione finanziaria precaria rappresenta un rischio significativo. Durante la due diligence, è fondamentale considerare le seguenti metriche finanziarie:

  • Margine EBITDA: dovrebbe superare il 20% per le aziende software e il 10% per i fornitori di servizi.
  • Flusso di cassa libero: deve essere positivo e in crescita; un’azienda che consuma liquidità non potrà investire né nell’innovazione né nella stabilità operativa.
  • Rapporto debito/EBITDA: dovrebbe rimanere al di sotto di 3,0x (idealmente sotto 2,0x); superare questo limite riduce notevolmente la flessibilità dell’azienda in caso di crisi.

Inoltre, la concentrazione dei clienti è un indicatore spesso trascurato, ma di fondamentale importanza. Se un fornitore dipende da un singolo cliente per il 20-30% dei ricavi, gli incentivi possono distorcersi, portando a compromessi sulla qualità.

È consigliabile richiedere bilanci certificati degli ultimi tre anni e analizzare le tendenze, non solo i dati assoluti. Un’azienda che incrementa il proprio margine EBITDA dal 15% al 22% rispetto all’anno precedente è più solida rispetto a una che mantiene un margine del 25% ma in declino.

Due diligence operativa

La qualità dei processi di Quality Assurance (QA) è fondamentale per identificare i difetti prima del rilascio in produzione. È consigliabile richiedere informazioni sulla percentuale di test automatizzati, sulla frequenza con cui vengono eseguiti e sugli SLA per la risoluzione dei difetti critici.

La data governance è essenziale per la conformità GDPR. I dati devono essere classificati (pubblici, interni, confidenziali, restricted), crittografati TLS 1.2+ in transito e AES-256+ a riposo. Dove risiedono fisicamente i dati? Chi può accedervi?

Il team dedicato rappresenta un rischio spesso sottovalutato. È opportuno richiedere i CV dei membri del team assegnato, la loro anzianità sul progetto e identificare la persona chiave senza la quale il progetto non può proseguire. Se l’architetto principale lascia il progetto dopo sei mesi, questo costituisce un rischio significativo.

DORA: lo standard che sta ridefinendo la due diligence

Il Digital Operational Resilience Act (DORA) si applica dal 17 gennaio 2025 al settore finanziario europeo e stabilisce dieci aree di valutazione precontrattuale che stanno rapidamente diventando lo standard in tutti i settori. Queste aree comprendono:

  • Solvibilità economica del fornitore
  • Localizzazione fisica dei dati e governance
  • Diritti di audit e ispezione
  • Misure di sicurezza ICT
  • Governance del rischio ICT del fornitore
  • Certificazioni valide
  • Capacità di gestione degli incidenti con tempi di notifica
  • Piani di continuità operativa con RTO/RPO testati
  • Reporting operativo strutturato
  • SLA specifici con penalità chiare

L’impatto di DORA si estende oltre il settore finanziario. I principali fornitori di cloud, come AWS, Azure e Google Cloud, hanno già aggiornato i loro processi di approvvigionamento per richiedere la conformità al DORA ai fornitori. Anche le aziende B2B SaaS, come Salesforce, SAP e Oracle, forniscono documentazione conforme a DORA ai propri clienti.

Pertanto, anche se un’azienda non opera nel settore finanziario, se i clienti lo fanno, è fondamentale che i fornitori siano conformi a DORA. DORA diventerà lo standard industriale per la due diligence entro il 2026.

Valutazione finale: l’investimento strategico nella due diligence

La due diligence nell’ambito dell’outsourcing IT deve essere considerata non come un semplice costo amministrativo, ma piuttosto come un’assicurazione strategica fondamentale. Investire in una valutazione approfondita (€20.000-50.000) può prevenire:

  • Violazioni di sicurezza, che costano in media 4,45 milioni di euro
  • Fallimento completo dell’outsourcing, con costi di uscita che superano il 200% del prezzo iniziale
  • Sanzioni normative GDPR fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, se superiore

Un’azienda che investe in una due diligence approfondita trasforma l’outsourcing da un rischio calcolato a un vantaggio competitivo duraturo. Seleziona partner finanziariamente solidi, tecnicamente competenti, conformi alle normative vigenti e operativamente maturi. Si sviluppano così partnership durature fondate su trasparenza e fiducia reciproca.

Nel 2025-2026, le aziende che saltano questa fase non stanno risparmiando—stanno scommettendo contro i propri interessi strategici.

SCOPRI I PROFILI DI BEEHIND

Vorresti maggiori informazioni o hai bisogno di una consulenza? Parla con noi!

Condividi su:

ARTICOLI CORRELATI

Non perdere nessun aggiornamento da Beehind

Iscriviti alla nostra newsletter e ricevi i migliori profili disponibili selezionati per te

Non perdere nessun aggiornamento da

Iscriviti alla nostra newsletter e ricevi i migliori
profili disponibili selezionati per te

VOGLIO ISCRIVERMI