La gestione dei fornitori non rappresenta più esclusivamente un’attività amministrativa o commerciale.
Le organizzazioni si trovano oggi ad operare in un contesto nel quale la protezione dei dati personali, la conformità normativa e la capacità di garantire adeguati livelli di sicurezza dipendono sempre di più anche dai soggetti esterni con cui vengono condivise informazioni, sistemi, piattaforme o attività operative: servizi cloud, software gestionali, consulenti informatici, sistemi documentali, provider di posta elettronica, servizi di hosting costituiscono elementi ormai strutturali dell’organizzazione moderna.
Ogni soggetto esterno che entra nella filiera aziendale può diventare un punto di esposizione sotto il profilo della protezione delle informazioni, della corretta gestione dei dati personali e, più in generale, della resilienza operativa dell’organizzazione.
È proprio per questo motivo che il GDPR introduce un principio molto preciso: l’art. 28 del Regolamento UE 2016/679 stabilisce infatti che il Titolare del trattamento possa ricorrere esclusivamente a Responsabili del trattamento che presentino “garanzie sufficienti” per mettere in atto misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati.
Nella pratica questo significa che la selezione del fornitore non può limitarsi a valutazioni economiche o tecniche sul servizio erogato, ma diventa necessario verificare concretamente il livello di affidabilità organizzativa e le misure di sicurezza implementate dal soggetto esterno.
Questo approccio assume oggi una rilevanza ancora maggiore anche alla luce della Direttiva (UE) 2022/2555 (NIS2), che rafforza il principio secondo cui la sicurezza aziendale non può essere limitata ai soli sistemi interni ma deve estendersi all’intera catena di fornitura digitale.
Un elemento preliminare riguarda la mappatura della supply chain: le organizzazioni devono conoscere quali fornitori trattano dati personali, quali dispongono di accessi ai sistemi aziendali, quali operano su infrastrutture critiche, quali utilizzano ulteriori subfornitori e quali attività possono generare un impatto sulla disponibilità, integrità e riservatezza delle informazioni. Una gestione efficace richiede quindi una conoscenza completa della filiera, dei rapporti di dipendenza operativa esistenti e delle interconnessioni tecnologiche che possono incidere sulla sicurezza complessiva dell’organizzazione.
Successivamente assume particolare rilevanza la fase di qualificazione del fornitore: l’affidabilità non può essere dimostrata attraverso una semplice dichiarazione di conformità o mediante documentazione standardizzata. Occorre verificare se il soggetto disponga di procedure formalizzate per la protezione delle informazioni, regole interne sulla gestione degli accessi, sistemi di controllo delle autorizzazioni, procedure per la gestione delle vulnerabilità tecnologiche, sistemi di backup e continuità operativa, meccanismi di monitoraggio degli eventi che possono incidere sulla sicurezza dei dati trattati.
Anche la gestione delle credenziali e degli accessi ai sistemi rappresenta un elemento centrale. I fornitori che operano sulle infrastrutture aziendali dovrebbero utilizzare utenze individuali, sistemi di autenticazione robusta, criteri di limitazione dei privilegi in funzione delle reali necessità operative e, ove necessario, sistemi di autenticazione multi-fattore. Le autorizzazioni devono essere periodicamente riesaminate e gli accessi non più necessari devono essere rimossi tempestivamente. Una corretta gestione delle autorizzazioni costituisce infatti una misura organizzativa fondamentale per ridurre esposizioni non necessarie e limitare il rischio derivante da accessi impropri o non più autorizzati.
Infine, particolare importanza assume il contratto con il fornitore. Il rapporto contrattuale non può limitarsi alla definizione delle prestazioni commerciali, ma deve disciplinare responsabilità, obblighi di riservatezza, modalità di trattamento dei dati, utilizzo di eventuali subfornitori, requisiti minimi di sicurezza, modalità di gestione degli incidenti, tempi di notifica delle anomalie, procedure di audit, modalità di restituzion o cancellazione delle informazioni al termine del rapporto e criteri di verifica del mantenimento dei livelli di affidabilità dichiarati.
La gestione della supply chain richiede oggi un approccio strutturato, documentato e verificabile; la qualificazione preventiva dei fornitori, la valutazione delle misure di sicurezza adottate, il controllo degli accessi, la corretta disciplina contrattuale e il monitoraggio nel tempo delle condizioni di affidabilità rappresentano elementi sempre più centrali nella costruzione di un sistema efficace di protezione dei dati personali, gestione del rischio aziendale e resilienza organizzativa.
Il Cost of Equity è la linea di confine tra investimenti che creano valore e investimenti che lo distruggono.
TRIBUNALE CATANIA, 19 FEBBRAIO 2026. EST. CORDIO.
