Da controllo documentale a governo continuo e proattivo delle dipendenze esterne
Dove finisce davvero un’azienda? Per molto tempo la risposta è sembrata ovvia: ai propri confini organizzativi, ai propri processi, ai propri sistemi, ai propri stabilimenti. Oggi non è più così. Un’impresa finisce sempre più spesso dove finisce l’ultimo anello della sua supply chain. Finisce nei servizi affidati a un outsourcer, nei dati gestiti da un provider tecnologico, nei sistemi interconnessi con un partner, nei processi affidati a un fornitore critico, nelle vulnerabilità che si aprono lungo una catena di subfornitura non pienamente visibile.
È uno dei passaggi più rilevanti nella riflessione di Spindox sul risk management applicato alle imprese complesse: il rischio non resta dentro il perimetro aziendale. Si propaga lungo le relazioni. E proprio per questo non può più essere governato con strumenti pensati per un’impresa chiusa, autosufficiente, leggibile attraverso i soli confini interni.
Il Third-Party Risk Management nasce dentro questa trasformazione. Per anni il rischio di terze parti è stato trattato, nelle migliori ipotesi, come un presidio; nelle peggiori, come un adempimento. Una verifica iniziale, una sequenza di controlli documentali, qualche clausola contrattuale da rafforzare, un questionario periodico da aggiornare.
Oggi questa impostazione non basta più.
Non basta perché le organizzazioni sono diventate ecosistemi distribuiti. Non basta perché fornitori, outsourcer, partner tecnologici e subfornitori non presidiano più solo attività accessorie, ma processi critici, dati sensibili, servizi essenziali e snodi operativi da cui dipende la continuità stessa del business. Non basta, soprattutto, perché il quadro regolatorio ha reso esplicito ciò che sul piano manageriale era già evidente: esternalizzare un servizio non significa esternalizzare la responsabilità del rischio.
È qui che il TPRM smette di essere una disciplina di controllo e diventa una disciplina di governo. Come sintetizza RiskBridge, l’asset Spindox dedicato al TPRM, il punto non è solo presidiare ciò che è scritto nei contratti: il rischio si genera spesso tra i contratti, nello spazio meno visibile tra documenti, dipendenze operative, processi, responsabilità, dati, servizi e segnali esterni.
Il nuovo scenario regolatorio: DORA, EBA e oltre
Nel settore finanziario, questo cambio di paradigma è stato accelerato da DORA, il regolamento europeo sulla resilienza operativa digitale, applicabile dal 17 gennaio 2025. Il suo impianto è chiaro: la resilienza digitale non riguarda solo la robustezza dei sistemi interni, ma anche la capacità di presidiare in modo strutturato i rischi derivanti dai fornitori terzi di servizi ICT.
DORA richiede alle entità finanziarie di mantenere un Register of Information sulle relazioni contrattuali con fornitori ICT, classificare i servizi, valutare criticità e dipendenze, monitorare il ciclo di vita del rapporto, presidiare la subfornitura, definire strategie di uscita e gestire il rischio di concentrazione. In altre parole, il regolatore chiede alle organizzazioni di sapere non solo chi sono i fornitori, ma quanto contano, quali processi sostengono, quali rischi introducono e quali conseguenze produrrebbe una loro indisponibilità.
Il riferimento normativo, però, non si esaurisce in DORA. Le Linee guida EBA sull’outsourcing del 2019 avevano già posto le basi di questo approccio: definizione chiara di outsourcing, identificazione delle funzioni critiche o importanti, presidi di governance, monitoraggio delle concentrazioni, controllo della subfornitura, adeguata documentazione delle relazioni esternalizzate.
La traiettoria più recente conferma l’evoluzione in atto. Nel luglio 2025 l’EBA ha avviato una consultazione su nuove linee guida dedicate al sound management of third-party risk per i servizi non ICT. Il segnale è forte: il tema non riguarda più soltanto l’outsourcing tecnologico, ma il governo complessivo delle dipendenze esterne.
Questo è il punto manageriale più importante. Il TPRM non è più una sottocategoria della compliance. È una componente della resilienza operativa, della continuità del business e della capacità dell’impresa di decidere in condizioni di interdipendenza.
Il rischio di terze parti non è il rischio del fornitore
Uno degli errori più frequenti è pensare che il TPRM coincida con la valutazione del fornitore. In realtà, il rischio di terze parti non è semplicemente il rischio del fornitore. È il rischio che nasce dalla relazione tra il fornitore e l’organizzazione.
Un provider può essere solido in sé, ma critico per l’impresa perché sostiene un processo essenziale. Un servizio può apparire marginale sul piano contrattuale, ma diventare rilevante perché tratta dati sensibili o perché è integrato con sistemi core. Un fornitore può superare una due diligence iniziale, ma modificare nel tempo il proprio profilo di rischio a causa di cambiamenti societari, esposizioni cyber, dipendenze da subfornitori, tensioni geopolitiche, vulnerabilità operative o deterioramento della qualità del servizio.
Per questo il Third Party Risk Management non può essere ridotto a una fotografia iniziale. Deve diventare un ciclo continuo: onboarding, service classification, risk & compliance, analisi di amendment e gap contrattuali, enforcement, risk reporting, monitoring, Register of Information e reporting direzionale. Il valore non sta nella quantità di dati raccolti, ma nella capacità di trasformarli in priorità, responsabilità e decisioni.
La cultura del TPRM: meno silos, più responsabilità condivisa
La parte tecnologica è decisiva, ma non basta. Il TPRM è prima di tutto una questione culturale.
Nelle organizzazioni complesse, il rischio di terze parti tende a frammentarsi. Il procurement guarda al costo, alla continuità della fornitura e alla performance contrattuale. Il legal presidia clausole, responsabilità, recesso, audit right, subfornitura. La compliance verifica l’allineamento normativo. L’IT valuta sicurezza, integrazione, accessi e resilienza digitale. Il risk management misura esposizioni e criticità. Il business guarda alla continuità del servizio e all’impatto operativo.
Tutti vedono una parte del rischio. Il problema è che spesso nessuno lo vede per intero.
È in questa frattura che si crea la vulnerabilità più profonda. Non nella mancanza assoluta di controlli, ma nella loro dispersione. Questionari, assessment, contratti, registri, audit, KPI e report esistono già. Ma se restano separati, producono burocrazia più che governo.
Una cultura matura del TPRM richiede un cambio di sguardo: il fornitore non è solo un oggetto da qualificare, ma una dipendenza da comprendere. Il contratto non è solo un documento da archiviare, ma un presidio vivo. Il registro non è solo un obbligo, ma una mappa decisionale. Il monitoraggio non è solo una verifica periodica, ma una capacità di intercettare segnali prima che diventino incidenti.
Perché l’AI cambia il modo di gestire il rischio
È qui che l’AI può fare la differenza. Non perché sostituisca il giudizio umano, ma perché rende scalabile una capacità che, gestita solo manualmente, tende a diventare lenta, disomogenea e incompleta.
RiskBridge nasce proprio su questo punto: trasformare la gestione delle terze parti da controllo documentale a governo continuo e proattivo del rischio, integrando AI nativa lungo le diverse fasi del processo. Non una tecnologia appoggiata a valle, ma un’infrastruttura capace di leggere documenti, classificare servizi, individuare gap, attivare workflow, monitorare segnali e rendere il rischio leggibile per chi deve decidere.
Il primo livello è la lettura documentale. Contratti, allegati tecnici, policy, audit report, certificazioni, questionari, piani di continuità e documenti di sicurezza contengono informazioni rilevanti, ma difficili da confrontare in modo sistematico. L’analisi semantica può aiutare a individuare clausole mancanti, incoerenze, obblighi non presidiati, riferimenti a subfornitura, audit right, data location, exit strategy, business continuity, sicurezza, incident reporting e responsabilità operative.
Il secondo livello è la classificazione. Non tutti i fornitori hanno lo stesso impatto. Non tutti i servizi hanno la stessa criticità. L’AI può supportare la classificazione dei rapporti sulla base di criteri omogenei: tipo di servizio, dati trattati, livello di integrazione tecnologica, rilevanza per processi critici, sostituibilità, concentrazione, esposizione geografica, dipendenza da subfornitori, requisiti regolatori applicabili.
Il terzo livello è il monitoraggio. Il profilo di rischio di una terza parte cambia nel tempo. Cambia se peggiora la postura cyber. Cambia se emergono incidenti, contenziosi, problemi reputazionali, variazioni societarie, segnali finanziari critici, instabilità geopolitica, nuove vulnerabilità tecnologiche, modifiche nella catena di subappalto. Integrare fonti interne ed esterne permette di passare da una logica periodica a una logica più granulare e continuativa.
Il quarto livello è la prioritizzazione. In un portafoglio ampio di fornitori, non tutto può avere la stessa urgenza. La tecnologia può aiutare a costruire scoring, heatmap, alert, cruscotti e viste comparative che consentano al management di capire dove intervenire prima, quali remediation attivare, quali concentrazioni ridurre, quali contratti rinegoziare, quali piani di uscita aggiornare.
Il quinto livello è il workflow decisionale. Il TPRM non produce valore se si limita a segnalare un’anomalia. Produce valore quando collega il segnale a una responsabilità, a una soglia, a una procedura di escalation, a un’azione tracciabile. È questo il passaggio che trasforma il monitoraggio in governo.
La prospettiva Spindox: consulenza specialistica potenziata dalla tecnologia
L’approccio di Spindox al TPRM tiene insieme competenza di processo, presidio regolatorio, capacità tecnologica e supporto decisionale. Da un lato, la practice Advisory & Solutions porta conoscenza end-to-end dei processi, dall’onboarding al reporting, competenza verticale su DORA, NIS2, GDPR ed EBA e capacità di tradurre i requisiti in modelli operativi concreti. Dall’altro, la tecnologia rende quelle scelte misurabili, scalabili e aggiornabili nel tempo.
RiskBridge è progettato come asset, non come prodotto chiuso. Significa che ha un’identità e una value proposition riconoscibili, ma può essere declinato sul contesto dell’organizzazione: Financial Services e non Financial Services, sistemi legacy esistenti, workflow interni, regole di classificazione, modelli di assessment, questionari, responsabilità e processi di governo.
La soluzione è modulare e configurabile. Entra nell’organizzazione come strumento di supporto, non come sostituzione dei sistemi già presenti. Può integrarsi con applicativi di procurement, IT, risk e compliance, alimentarsi dalle anagrafiche fornitori esistenti e adattarsi all’evoluzione del quadro regolatorio senza richiedere una riprogettazione complessiva.
La base tecnologica è Ublique, la piattaforma modulare di Decision Intelligence & Composable AI di Spindox. Prediction, ottimizzazione decisionale, modelli di simulazione, computer vision e generative AI possono essere orchestrati in modo diverso a seconda del contesto, con l’obiettivo di supportare decisioni complesse e processi critici.
Dalla funzione di controllo alla leva competitiva
Il punto, allora, non è solo aumentare il numero dei controlli. È cambiare la qualità della decisione.
Un’organizzazione che conosce davvero le proprie terze parti è più veloce nel rispondere a una crisi, più precisa nel valutare un nuovo rapporto, più consapevole nel negoziare un contratto, più credibile nella relazione con la vigilanza, più solida nella gestione della continuità operativa.
La resilienza, in questa prospettiva, non è un attributo generico. È una capacità informativa e decisionale.
Il TPRM diventa così uno dei luoghi in cui si misura la maturità reale della governance aziendale: non perché consenta di eliminare la complessità, ma perché permette di renderla leggibile. E ciò che diventa leggibile può essere discusso, prioritizzato, presidiato, governato.
Rendere governabile la dipendenza
Il vero compito del TPRM, oggi, non è classificare fornitori. È rendere governabile la dipendenza.
Significa sapere quali terze parti contano davvero. Quali servizi sono critici. Quali contratti espongono l’organizzazione a rischi non presidiati. Quali subfornitori sono invisibili ma rilevanti. Quali concentrazioni si stanno formando. Quali segnali meritano un’escalation. Quali azioni devono essere attivate prima che una vulnerabilità esterna diventi un problema operativo, reputazionale o regolatorio.
In un’economia costruita su catene estese, piattaforme condivise, servizi esternalizzati e infrastrutture digitali interconnesse, la capacità di governo non può fermarsi ai confini dell’impresa.
È qui che il TPRM diventa una disciplina strategica. Ed è qui che l’AI, se progettata con metodo, governance e responsabilità, può trasformare il rischio da funzione di controllo a leva decisionale e competitiva.
