È una dinamica che i board faticano ancora a metabolizzare fino in fondo, perché mette in discussione un presupposto implicito della sicurezza aziendale: l’idea che il perimetro sia definito, controllabile, governabile. Oggi quel perimetro non solo è esteso, ma è fluido, dinamico, spesso invisibile. E soprattutto non coincide più con l’organizzazione.
Il rischio non è più confinato nei sistemi interni. Viaggia lungo la filiera.
La filiera digitale come nuovo perimetro di rischio
Ogni organizzazione moderna è, di fatto, un ecosistema distribuito. Fornitori, piattaforme SaaS, partner tecnologici, consulenti esterni: tutti contribuiscono al funzionamento operativo e alla generazione di valore, ma allo stesso tempo introducono un livello di esposizione che raramente viene gestito con la stessa disciplina applicata ai sistemi interni.
Non si tratta solo di accessi tecnici. Il punto è più profondo.
Quando un fornitore accede ai tuoi sistemi, non sta semplicemente eseguendo un servizio. Sta entrando, anche se temporaneamente, nel tuo modello di rischio. E spesso lo fa con privilegi elevati, con visibilità su dati critici, con capacità operative che, se compromesse, possono generare effetti a catena.
Il paradosso è evidente: mentre le aziende investono milioni per rafforzare il proprio perimetro interno, continuano a delegare porzioni sempre più rilevanti di infrastruttura e processi a soggetti esterni, senza una governance realmente proporzionata.
SaaS, outsourcing e supply chain: moltiplicatori di superficie d’attacco
Il passaggio al cloud e l’adozione massiva di soluzioni SaaS hanno accelerato questa trasformazione, rendendola strutturale. Ogni nuovo servizio attivato non è solo una funzionalità in più, ma un nuovo nodo nella rete di rischio.
Un CRM in cloud, una piattaforma HR, un sistema di ticketing, un tool di collaborazione: ognuno di questi introduce dipendenze, integrazioni, flussi di dati e, soprattutto, accessi.
Il rischio non è solo che il fornitore venga compromesso. È che la compromissione si propaghi.
Negli ultimi anni, gli attacchi più sofisticati hanno dimostrato come la supply chain sia diventata il vettore privilegiato per aggirare le difese più robuste. Non si colpisce direttamente l’azienda più protetta. Si entra da un attore meno presidiato, ma con accesso legittimo.
È una logica industriale applicata al cyber risk.
E in questo scenario, la domanda non è più se un fornitore rappresenti un rischio. La domanda è quanto quel rischio sia conosciuto, misurato e governato.
Il limite dei modelli tradizionali di vendor management
Molte organizzazioni continuano ad affrontare il tema con strumenti e logiche nate in un contesto completamente diverso.
Checklist statiche, questionari di sicurezza compilati una volta all’anno, clausole contrattuali standard: elementi necessari, ma profondamente insufficienti.
Il problema non è la presenza di questi strumenti, ma la loro natura, sono approcci fotografici in un contesto che è diventato cinematografico.
Un fornitore può essere compliant oggi e vulnerabile domani. Può rispettare tutti i requisiti formali e, allo stesso tempo, avere pratiche operative deboli. Può essere certificato, ma esposto attraverso una catena di subfornitori che nessuno ha realmente analizzato.
La sicurezza, in questo contesto, non può più essere verificata una tantum, deve essere osservata nel tempo e soprattutto deve essere integrata nei processi decisionali, non relegata a un adempimento.
Governance del rischio terze parti: da controllo a responsabilità strategica
Portare il tema del third-party risk a livello di board significa cambiare prospettiva non è più una questione tecnica, né esclusivamente di compliance. È una leva di governance.
La prima trasformazione riguarda la definizione dei requisiti. Non si tratta di chiedere ai fornitori di essere “sicuri” in senso generico, ma di stabilire in modo chiaro quali standard devono rispettare in funzione del livello di accesso e criticità.
Questo implica una classificazione dei fornitori basata sul rischio reale, non solo sul valore economico del contratto.
La seconda riguarda la gestione degli accessi. Ogni accesso concesso a un soggetto esterno deve essere giustificato, limitato nel tempo, monitorato. Il principio del minimo privilegio, spesso evocato, deve diventare operativo anche nella relazione con la filiera.
La terza dimensione è quella dell’audit. Non come esercizio formale, ma come strumento continuo di verifica e miglioramento. Audit che non si limitano alla documentazione, ma che entrano nei processi, nelle configurazioni, nelle pratiche operative.
Infine, il monitoraggio. In un contesto dinamico, la visibilità diventa centrale. Sapere chi accede, quando, a cosa, con quali comportamenti. E soprattutto essere in grado di individuare anomalie prima che diventino incidenti.
Non è un cambio di strumenti. È un cambio di mentalità.
Il nodo della fiducia: da presupposto a variabile da governare
La relazione con i fornitori si è sempre basata su un elemento implicito: la fiducia.Ma in un contesto digitale, la fiducia non può essere l’unico fondamento della sicurezza. Deve essere supportata da meccanismi verificabili.
Questo non significa costruire relazioni difensive o ostili, significa renderle mature. Un fornitore che accetta requisiti chiari, che gestisce in modo trasparente gli accessi, che si sottopone a verifiche continue, non è un fornitore sotto pressione. È un partner affidabile.
Al contrario, l’assenza di controllo non è sinonimo di fiducia. È, nella maggior parte dei casi, una forma di esposizione inconsapevole.
Il tema, quindi, non è ridurre la collaborazione, ma qualificarla.
Dalla gestione del rischio alla progettazione del rischio
C’è un passaggio ulteriore che le organizzazioni più evolute stanno iniziando a fare, non si limitano a gestire il rischio derivante dalle terze parti. Lo progettano.
Significa scegliere fornitori anche sulla base della loro maturità in termini di sicurezza. Disegnare architetture che riducano l’impatto di una eventuale compromissione. Segmentare accessi e dati in modo da contenere la propagazione.
In altre parole, integrare il rischio nella progettazione stessa dei sistemi e delle relazioni.
È un approccio che richiede visione, perché implica decisioni a monte, spesso meno visibili nel breve periodo ma determinanti nel lungo.
E richiede una collaborazione stretta tra IT, sicurezza, procurement e governance.
Il ruolo del board: visibilità, priorità, responsabilità
Portare il third-party risk al livello del board non significa entrare nel dettaglio tecnico, ma assumere una responsabilità chiara.
Il board deve avere visibilità su quali fornitori hanno accesso ai sistemi critici, su quali dipendenze esistono, su quali scenari di rischio sono plausibili.
Deve essere in grado di porre domande che vadano oltre la compliance formale, non si tratta di sapere se esiste una policy. Si tratta di capire se quella policy è efficace.
Non si tratta di verificare se un fornitore è certificato. Si tratta di comprendere cosa accadrebbe se quel fornitore fosse compromesso.
In questo senso, il third-party risk diventa un tema di resilienza organizzativa e come tale, deve essere trattato.
Una superficie invisibile che cresce ogni giorno
La trasformazione digitale ha reso le aziende più veloci, più flessibili, più interconnesse. Ma ha anche reso il rischio più diffuso, meno visibile, più difficile da delimitare.
Ogni nuovo contratto, ogni nuova integrazione, ogni nuovo servizio attivato amplia una superficie che spesso non viene percepita nella sua interezza.
Eppure è lì che si gioca una parte sempre più rilevante della sicurezza, non nel dato che proteggiamo, ma nel modo in cui lo condividiamo.
Non nei sistemi che controlliamo direttamente, ma in quelli a cui concediamo accesso.
Chi, fuori dall’azienda, ha accesso ai tuoi sistemi?
È una domanda che non può più essere lasciata alle funzioni operative è una domanda di governance e, sempre più, una domanda di strategia.
