Nell’esperienza dei CIO italiani trovare il fornitore ideale resta un compito complesso. Se la controparte è rappresentata da “Big Tech”, la garanzia di qualità e sicurezza è solitamente indubbia, ma il potere negoziale è limitato: gli aumenti dei prezzi possono essere cospicui e improvvisi (è accaduto di recente con alcuni software di virtualizzazione) e la personalizzazione delle soluzioni spesso non è possibile.
Con i vendor più piccoli, il dialogo diretto è più semplice e l’assistenza locale, ma non sempre la qualità, la sicurezza e la scala sono garantite. Come districarsi?
Per Stefano Bombara, Responsabile Servizio Sistemi Tecnici Crédit Agricole Vita e Crédit Agricole Assicurazioni, il criterio che fa la differenza tra un fornitore e l’altro è la capacità di anticipare le esigenze del cliente: «I CIO non vogliono un vendor che si adagia nel contratto di fornitura: il partner deve portare sempre nuove proposte su tecnologie, casi d’uso e approcci metodologici. Ci aspettiamo la proattività nei processi, soprattutto da parte dei fornitori che hanno con noi un rapporto da lungo tempo».
Perciò il vero primo passo di una buona scelta da parte del CIO è conoscere a fondo la propria azienda: mappare le necessità, le competenze e gli obiettivi strategici permette di indirizzarsi verso il vendor che potrà soddisfare quelle esigenze.
Indice degli argomenti
Vendor o partner? La scelta cruciale del CIO
«Bisogna conoscere le proprie caratteristiche», conferma Alan Girard, IT & Cybersecurity manager di Nital, azienda che importa, rappresenta e commercializza in Italia circa un centinaio di brand di tecnologia di consumo. Ma anche «mantenere all’interno le decisioni strategiche», prosegue il manager. «Il rischio che si corre nel dare al fornitore un ruolo troppo ampio è di diventare dipendenti o legarsi alle sue tecnologie o anche di seguire dei consigli che non fanno tanto il bene dell’azienda quanto quello del business del fornitore».
Girard chiarisce: il contraltare è un allungamento dei tempi dei progetti, perché mantenere il controllo interno, anche quando ci sono poche risorse nell’IT aziendale, genera delle code di workload. Ma è il modo di procedere che l’IT manager di Nital ha scelto come più opportuno: «Compriamo regolarmente prodotti e competenze, ma solo se sono verticali», spiega. «Al contrario, un compito come revisionare le politiche di cybersicurezza va svolto internamente».
Secondo Girard, questo approccio ha il vantaggio di accrescere il valore dell’azienda stabilendo obiettivi chiari e stimolando gli interni del team con opportunità ed esperienze dirette. Se, poi, si instaura un vero rapporto di fiducia col fornitore, allora questo si trasforma in un vero partner e gli si può permettere di agire, almeno in parte, in modo autonomo. Ma dovrà dimostrare di sapersi fare carico dei problemi del cliente.
«Se un mio problema è anche un problema del fornitore allora posso considerarlo un partner, diversamente sarà complicato instaurare un rapporto di fiducia duraturo», afferma Girard.
Che cosa cambia con la NIS2
La NIS2 ha spinto ancor più le organizzazioni a guardare oltre la soluzione tecnologica e a interrogarsi sulla qualità del rapporto col fornitore, sulla resilienza della filiera e sulla capacità di scegliere partner davvero coerenti con i propri bisogni e con il proprio livello di responsabilità. Ma il vero punto, nota Barbara Marmello, Direttore IT e associata AUSED, è culturale.
«Può capitare di lavorare in contesti aziendali dove la trasformazione digitale convive con una cultura organizzativa tradizionale», spiega Marmello. «In questi contesti la scelta dei partner diventa più delicata: non si tratta semplicemente di acquistare una tecnologia, ma di costruire un rapporto che regga nel tempo, sotto il profilo operativo, organizzativo e di responsabilità».
La NIS2, in questo scenario, rappresenta un acceleratore. «Alcuni aspetti non sono più negoziabili», afferma la CIO. «Gestione dei dati, cybersecurity, tracciabilità delle responsabilità: non possiamo dare per scontato che un fornitore, solo perché vende tecnologia, gestisca correttamente i dati propri e dei clienti. Lo scenario digitale stava già evolvendo verso un rafforzamento della protezione dei dati, ma la NIS2 ha spinto a una maggiore accountability».
La legge europea sulla cybersicurezza impone, infatti, di interfacciarsi con il fornitore su temi come l’accesso ai dati e le modalità di gestione e chiarisce che tutto questo non può più essere fatto in modo informale: deve essere messo nero su bianco nel contratto ed essere sottoposto a continue verifiche.
«È una direttiva che serve», dichiara Marmello, «perché gli attaccanti vanno a colpire proprio gli anelli deboli della catena e i fornitori fanno parte di questa catena. La NIS2 comporta una consapevolezza più strutturata nel momento della scelta: il CIO deve valutare se il partner offre davvero le garanzie di cui l’organizzazione ha bisogno».
La compliance non è l’unico criterio, ovviamente: il fornitore deve garantire anche “classici” elementi come qualità, servizio, proattività. La differenza è che oggi questi fattori si integrano con requisiti di governance e responsabilità molto più stringenti.
Per questo, durante una selezione, Marmello condivide chiaramente con la controparte le sue aspettative: regole di governance, modalità operative, responsabilità reciproche. La trasparenza iniziale diventa uno strumento di efficienza.
«Non dobbiamo per forza lavorare insieme. A volte scoprirlo prima è il risultato migliore per entrambi», dichiara la CIO. «Mi piace avviare nuove relazioni partendo da due punti fermi: racconto cosa la mia organizzazione può garantire e dove, invece, abbiamo bisogno di supporto. Se una collaborazione non può funzionare, meglio capirlo subito. Così quelle che nascono poggiano su basi sincere e durano molto di più. Val la pena dedicare un po’ di tempo in più a valutare se esiste un vero “fit” con un possibile fornitore».
Le competenze necessarie per interagire con i fornitori
Anche il tema delle competenze interne è centrale. Chi si interfaccia con il fornitore? Il CIO o i colleghi delle vendite? O magari la funzione commerciale o legale? La risposta è che servono tutte queste competenze: tecniche, legali e di negoziazione.
«La sinergia tra funzioni negli acquisti tecnologici è essenziale, anche quando il confronto tra più parti sembra allungare i tempi di scelta», osserva Marmello. «Ma nel medio periodo si raccolgono i vantaggi: le aspettative sono più chiare, i contratti più solidi e le responsabilità meglio definite».
Al tempo stesso, i tavoli congiunti con i colleghi non scaricano il CIO dalla necessità di ampliare le sue competenze in modo da essere preparato in prima persona sui fronti legale e negoziale. Non sempre, infatti, queste funzioni sono presenti in azienda o strutturate: in alcuni casi è il CIO stesso a doversene fare carico. Per esempio, negli anni in cui è uscito il GDPR, Marmello lavorava in un’azienda dove non c’erano esperti interni ma solo consulenti e questi non erano sempre a disposizione né possedevano la profonda conoscenza del business aziendale che aveva la CIO. Il risultato? La CIO si è messa a studiare per formarsi sulla legge europea per la protezione dei dati.
Il filtro di ingresso del CIO: personalizzazione e sicurezza
Anche Massimo Marabese, CIO e Advisor, pensa che un fornitore dovrebbe condividere rischi, obiettivi e orizzonte temporale dell’azienda, comprendendone il contesto, e non limitarsi a vendere prodotti e servizi.
«È chiaro che il system integrator guarda ai suoi obiettivi economici, ma per le aziende qualità, personalizzazione, affidabilità e sicurezza sono ormai imprescindibili. Garanzie in ottica NIS2 e competenze reali sono diventate il filtro di ingresso nella scelta del CIO», afferma Marabese. «Nell’implementazione di una soluzione non conta tanto il blasone del vendor o del prodotto, ma la capacità dell’integratore di cucire la tecnologia addosso all’organizzazione», prosegue il manager. «Se l’implementazione è superficiale, anche il miglior prodotto non riesce a portare valore in azienda e non cambia il business».
Insomma, il prodotto non va semplicemente reso funzionante. Occorre capire la roadmap, gli obiettivi, le competenze e maturità dell’IT interni.
«Oggi tutti offrono tecnologia in quantità, per cui la differenza sta nella qualità, ovvero nella personalizzazione per il cliente. Non è facile trovarla, ma è il vero game changer: il CIO è soddisfatto quando trova qualcuno che fa l’interesse della sua azienda», afferma Marabese.
Anche la NIS2 incide nella scelta del CIO e Marabese ribadisce l’importanza per i fornitori, anche piccoli, di fornire certificazioni come la ISO 27001, in quanto parte integrante della selezione: «Chi non porta evidenze oggettive di sicurezza è fuori partita ancora prima del preventivo».
Altro elemento chiave nella scelta di un vendor sono le competenze: le aziende vogliono essere seguite in tutte le fasi da figure specializzate. I junior andrebbero sempre affiancati da senior certificati in grado di gestire le implementazioni perché le hanno già vissute nella loro esperienza professionale e sanno guidare le attività di troubleshooting, le integrazioni, l’hardening delle soluzioni IT e il change management.
Il fornitore giusto è quello che diventa un partner strategico
In definitiva, i CIO cercano fornitori che sappiano gestire i progetti e tradurre eventuali rischi in opportunità.Se non hanno queste caratteristiche non possono proporsi come partner strategici. Come puntualizza Marabese, «Oggi nulla può essere lasciato all’improvvisazione. Come Fractional Manager di Stead Consulting mi è capitato persino di vedere contratti generici per acquisti di prodotti tecnologici, privi del Bill of Materials e senza clausole. Le aziende devono e possono esigere di più, ne va del contributo del valore che l’IT porta in azienda».
I provider vengono preferiti quando offrono approcci integrati tra sicurezza, governance e operazioni IT e hanno la capacità di gestire regolamentazioni complesse (AI, privacy, dati), come è emerso dal recente IDC Marketscape sui fornitori di soluzioni e servizi di governance, risk e compliance (GRC). Inoltre, con la crescita degli investimenti IT e dell’AI (Gartner prevede una spesa globale che supererà 6000 miliardi di dollari nel 2026), i CIO cercano provider capaci di supportare innovazione continua, con forti competenze su AI, architetture cloud e multi-cloud e capacità di sviluppare modelli e servizi digitali innovativi.
Il fornitore – non dimentichiamolo – ha un canale privilegiato in azienda. E in tempi in cui non solo la tecnologia è sempre più specializzata e complessa, ma anche la normativa più stringente e il contesto globale più rischioso, la fornitura cui guarda il CIO non può coincidere con un mero acquisto. Il prezzo e la tecnologia “pura” non bastano: la decisione è strategica e multidimensionale e integra innovazione, sicurezza, governance e rischio geopolitico.
