Il mercato digitale italiano continua a crescere trainato dai servizi IT, segno che le imprese investono in forme evolute di outsourcing, come system integration, managed services, cloud gestito, cybersicurezza e outsourcing infrastrutturale.
Gli ultimi dati Anitec-Assinform fissano l’espansione a +4,8% nel 2025 e +5% nel 2026. Ma quanto è “corretto” spostare la strategia IT dall’acquisto di tecnologia e competenze alla delega a fornitori esterni?
È una domanda cui tutti i CIO devono essere preparati a dare una risposta, anche se molto dipende da quanto l’IT è visto come strategico o solo come costo dalla loro azienda. Sicuramente, con la rapida evoluzione di tecnologie e modelli di business e l’annosa carenza di competenze, coprire internamente tutte le esigenze è complesso. Di qui il ricorso diffuso all’outsourcing.
Tuttavia, «quando si dipende dai consulenti si rischia di perdere conoscenze e controllo», osserva Angela Buonavita, consulente IT ed ex IT Manager di una multinazionale. «C’è sempre necessità di una figura interna che coordina i fornitori, tiene la governance e prende le decisioni importanti. Alcune competenze chiave vanno tenute in azienda. Questo richiede anche un’attività di tutela, alimentazione e condivisione del know-how».
L’IT, evidenzia Buonavita, non è solo il “ferro”, ma è costituto soprattutto di applicativi, dati e intelligenza – ed è qui l’equilibrio tra competenze interne e outsourcing è cruciale. «Un rebuild della macchina non è solo un intervento hardware: occorre regolare gli accessi, l’organizzazione della macchina, e così via. Conoscere i processi, le strategie e le regole è essenziale. Il fornitore non può entrare al cento per cento nell’organizzazione interna», puntualizza la manager.
Indice degli argomenti
Quando e che cosa conviene esternalizzare
D’altro lato, il mantra del “fare tutto in casa” può essere limitante.
«In molte aziende c’è ancora la convinzione che internamente significhi più controllo e risparmi, ma è vero solo in parte», osserva Francesco Sammarco, IT Manager di Ferrino. «Avere competenze interne è fondamentale, ma il paradosso nasce quando il fare tutto in casa diventa un dogma. Ho visto team IT passare più tempo a rincorrere aggiornamenti, gestire attività a basso valore e tenere in piedi soluzioni improvvisate che a lavorare su ciò che conta davvero: processi, strategia, innovazioni».
Il valore sta, dunque, nel capire che cosa tenere in casa perché è core e che cosa si può affidare a partner specializzati.«Outsourcing non significa perdere controllo», prosegue Sammarco. «Significa usare meglio competenze, tempo ed energie. Non esiste una regola valida per tutti, se non il buon senso. Ogni azienda è un ecosistema a sé: la dimensione, gli anni di vita, il posizionamento sul mercato, la complessità dei processi e gli obiettivi del management hanno influenza sulla scelta. Ci si deve muovere di conseguenza».
Per esempio, una piccola azienda con pochi dipendenti spesso non può permettersi di assumere un IT Manager e la scelta del fractional management può rivelarsi valida. Anche un’azienda rimasta indietro nella digitalizzazione, con poche competenze interne, è spesso costretta a rivolgersi all’esterno, mantenendo magari la governance nelle mani dell’AD. Un altro scenario è quello delle aziende con grande deficit tecnico e assenza di pianificazione, che perdono molto tempo nella manutenzione e nelle fix e dove non è raro trovare figure senior che conoscono tutto il sistema IT ma non hanno trasferito ad altri il loro know-how.
«In un caso come questo io demanderei esternamente la parte di sviluppo, ripensando la relazione azienda-dipendente», afferma Sammarco.
Tuttavia, «L’analisi dei flussi e dei processi non si può demandare, così come non si possono demandare la vision, la governance e gli obiettivi (a meno che non ci sia il fractional manager che si occupa anche di questi aspetti)», chiarisce il manager. «Il resto si può esternalizzare».
Dati sensibili: quando l’insourcing è “obbligato”
Da parte sua Massimo Anselmo, Direttore del Sistema Informativo Karol Strutture Sanitarie, tende a privilegiare il controllo interno rispetto all’esternalizzazione. Non è una posizione ideologica, ma una strategia conseguente alla natura del business dell’azienda: i servizi sanitari. I dati dei pazienti (personali e diagnostici) sono al centro dell’attività di Karol Strutture Sanitarie e vanno sia tutelati a livello di privacy e cybersicurezza sia resi disponibili in tempo reale ogni volta che se ne presenta la necessità.
«Per me il sistema gestionale è strategico e sensibile e va tenuto all’interno», sottolinea Anselmo. «Ciò che non è core business, invece, può andare benissimo all’esterno. Per esempio, abbiamo portato la funzione HR in cloud, come servizio SaaS, non perché non sia importante, ma perché non è nel core business. ll SaaS ci offre vantaggi di costi, accessibilità e gestione self-service da parte del personale. Con lo stesso ragionamento, però, la gestione dei dati dei pazienti la manteniamo su server proprietari. Il backup, invece, lo teniamo sul cloud, quindi all’esterno, ma tramite un provider italiano. Non lo faremmo con un fornitore USA che non ci dà le stesse garanzie sulla protezione dei dati. Per noi conta molto la conformità alle normative, come la NIS2».
Anche la sicurezza è un’attività che, secondo Anselmo, si può efficacemente affidare all’esterno, per esempio con un SOC, per avere copertura 24/7, o comunque rivolgendosi a partner specializzati. Sull’AI, la posizione del manager è cauta: i servizi non core possono andare sui prodotti in cloud – per esempio, il sistema per le prenotazioni online – ma, se sono coinvolti dati medici, per Anselmo la scelta dovrebbe essere quella dello sviluppo e gestione interna.
«Le soluzioni di AI in ambito sanitario sono sicuramente utili, ma devono essere gestite su un server proprietario, nel rispetto della normativa sull’AI Act», precisa Anselmo.
L’hybrid IT operating model
La decisione tra internalizzare o esternalizzare le tecnologie o le competenze resta un tema complesso e delicato, conferma Marco Colizzi, Senior Manager IT Italia di Olympus.
«Io misuro innanzitutto il valore aggiunto portato all’azienda dalla scelta di tenere un processo all’interno rispetto a esternalizzarlo, e viceversa. Tendenzialmente quello che non dà un valore, oppure gli ambiti in cui non si possiedono competenze, credo che vadano affidati a partner esperti e specializzati», afferma il manager.
“Partner” per Colizzi è la parola chiave: «Quando parliamo di outsourcing per me gli elementi centrali sono la collaborazione, il dialogo aperto, la misurazione delle performance e il feedback continuo e bilaterale. La decisione di un’eventuale esternalizzazione deve essere corredata da un’analisi approfondita dei costi comparando quelli interni – come assunzioni, infrastrutture e formazione – con quelli esterni presenti nei contratti. Ci sono poi modelli che, a mio avviso, sono molto validi, ovvero le soluzioni ibride, dove si può pensare di affidare un primo livello ai partner, ottenendo delle finestre di supporto più ampie, e poi tenere team interni per attività più specialistiche».
Il modello operativo ibrido dell’IT (hybrid IT operating model) sta, in effetti, riscuotendo consensi nelle imprese ed è messo in evidenza da diverse società di analisi. Kearney ha scritto che ormai non è più efficiente gestire l’IT con una scelta manichea tra insourcing e outsourcing, soprattutto se la valutazione si basa sul mero calcolo economico e non sul valore strategico delle attività.
Secondo gli analisti, l’azienda dovrebbe mantenere internamente tutte e attività che contribuiscono direttamente al vantaggio competitivo o che richiedono un forte controllo (per esempio, la strategia tecnologica, l’architettura dei sistemi, la governance della sicurezza informatica) e, più in generale, le decisioni che determinano la direzione futura del sistema informativo.
Queste attività sono strettamente legate al business e richiedono una conoscenza profonda dell’organizzazione, delle sue priorità e dei suoi rischi. Se venissero completamente esternalizzate, l’azienda perderebbe non solo il controllo, ma anche la capacità di sviluppare competenze critiche e di guidare l’innovazione.
Al contrario, le attività più standardizzate, ripetitive e operative sono più adatte all’outsourcing. Nell’ambito IT questo include, per esempio, la gestione dell’infrastruttura, le operazioni di supporto agli utenti, la manutenzione ordinaria delle applicazioni o lo sviluppo di componenti non strategici. Esternalizzarle consente di accedere a competenze specialistiche, aumentare la flessibilità e adattarsi più rapidamente ai cambiamenti tecnologici, senza dover sostenere i relativi costi e complessità operative.
La gestione degli accessi: chi è l’amministratore?
Tra le attività strategiche che dovrebbero essere tenute all’interno, Buonavita mette in evidenza la gestione dei domini aziendali. L’esternalizzazione pone problemi di sicurezza, osserva la manager: «Soprattutto le multinazionali tendono ad affidare questa attività a terze parti, ma l’outsourcing fa perdere di vista chi siano gli amministratori e come distribuiscono gli accessi alla rete, anche perché i consulenti cambiano spesso personale. Sono questioni di grande rilevanza per le imprese, anche in termini di compliance a norme come il GDPR, soprattutto con accessi single-sign-on e se il consulente non è in UE».
Prosegue Buonavita: «Pensiamo ai fornitori dell’India, ormai il maggior collettore di servizi IT all’esterno, o dell’Asia Pacifico: non è questione di competenze, ma ci sono elementi fuori dalla nostra percezione, sia in termini di gestione dei dati che di sostenibilità del lavoro. Nella mia carriera ho visto subappalti anche di livello 3-4, in cui l’ultimo anello della catena diventa un mero esecutore ignaro di rischi e regole, che spesso lavora per 12 ore al giorno per un guadagno minuscolo. Questo ha un impatto etico e di sicurezza per le aziende: non sappiamo chi esegue il lavoro, interviene sulla profilazione e gestisce i nostri dati».
Il rischio di perdita di conoscenza
Un altro rischio, secondo Buonavita, è creato dal fatto che i fornitori tendono a non condividere le informazioni tecniche dei sistemi, considerandolo il valore aggiunto del proprio servizio. Ma le imprese perdono consapevolezza di ciò che succede al loro interno e questo è un rischio e un costo che impatta sull’operatività.
«Basta un cambiamento nella configurazione di rete di cui nessuno ha percezione e i tempi di recupero si allungano, con perdita di dati e incapacità di lavorare», sottolinea Buonavita. «Esternalizzare non può diventare perdita di conoscenza. Le aziende si dovrebbero cautelare chiedendo ai fornitori la documentazione tecnica a supporto dei propri processi e ciò si può fare solo se c’è una figura interna che segue questi temi».
Un altro problema dell’esternalizzazione portata all’estremo è lo svuotamento della cultura dell’IT aziendale.
«Le aziende dovrebbero garantirsi delle figure interne che fungono da interfaccia tra utenti e IT e sono coordinate dall’IT Manager o CIO. Questi, a sua volta, lavora con i fornitori e conosce tutte quelle attività di cui l’utente non ha consapevolezza, come la manutenzione e i test per garantire la continuità operativa», prosegue Buonavita.
La manager sottolinea come il CIO sia l’anello fondamentale e irrinunciabile tra utente e fornitore. Quello che la proprietà o il board può vedere come costo viene ampiamente coperto se si pensa a quanto costa, invece, non avere la risorsa interna che gestisce l’IT e quanto si perde in termini cultura, uso dei dati, fermo dell’operatività, rischi e reputazione.
«Se un gestionale non funziona l’azienda deve sapere perché. Il costo del ripristino di un problema che l’interno non conosce è alto», puntualizza Bonavita.
Come procedere secondo i CIO
Buonavita ritiene che tutta l’installazione e la configurazione di base delle macchine si possa dare all’esterno. Invece gli accessi, la gestione del data warehouse, la Business Intelligence e i dati aziendali richiedono un controllo interno, perché si tratta di asset strategici, ovvero di quel patrimonio informativo che è rischioso esporre. Anche la gestione degli apparati di rete è preferibile che resti interna, perché la segmentazione e segregazione del traffico è strategica dal punto di vista della sicurezza.
Anche nelle PMI occorrerebbe almeno una figura di supervisione interna per prendersi carico delle decisioni e interloquire con il fornitore: «L’esterno non può avere campo libero, anche l’azienda piccola può esporsi a rischi ed esporre a rischi i clienti», sottolinea la manager.
Naturalmente, ci sono competenze molto specialistiche che possono essere cercate con le consulenze, ma i CIO e i loro team devono comunque essere formati e aggiornati. Il segreto è un «mix intelligente tra insourcing e outsourcing», ribadisce Buonavita.
Il CIO è chiamato a farsi carico, con consapevolezza, della definizione di questo delicato bilanciamento. Afferma Sammarco, «L’T Manager deve decidere come procedere lavorando sull’analisi delle esigenze interne e poi scegliendo che cosa affidare all’esterno. Le PMI tendono a pensare che fare tutto in casa costi meno, ma non tengono in mente i vari fattori di perdita delle risorse esperte. D’altro lato, chi sostiene un’esternalizzazione spinta spesso non sa vedere che l’IT è strategico, lo considera solo un costo o una necessità. Ma così si perdono le competenze e i punti di riferimento interni, e anche questo può rivelarsi un errore».
Senza un presidio interno, in definitiva, si crea un ostacolo alla digitalizzazione. Questo richiede alle aziende di comprendere il valore strategico dell’IT e il suo ruolo rinnovato: non più una funzione che esegue direttamente tutte le attività tecniche, ma una funzione di governo e coordinamento.
L’IT interno è l’orchestratore di un ecosistema composto senz’altro da più fornitori e consulenti, ma non può perdere la capacità di definire la strategia, stabilire gli standard, selezionare i partner, gestire i contratti, monitorare le prestazioni e assicurare che tutti i servizi esterni siano coerenti con gli obiettivi dell’organizzazione. Outsourcing, come sottolineano gli analisti, non può tradursi in uno svuotamento dell’IT ma in un suo ruolo molto più da “core business”.
