C’è una verità che ogni imprenditore dovrebbe tenere scolpita in testa: la tua azienda non finisce alla porta del tuo ufficio. Continua nei computer dei tuoi fornitori, nei server dei consulenti esterni, nei cloud che usano senza dirtelo, persino nel salotto o nella baita di montagna da cui un loro dipendente fa smart working.

I dati sono ovunque

È lì che i tuoi dati vivono e spesso si espongono. Ed è lì che molti imprenditori, troppo presi da ordini e fatture, smettono di guardare e di farsi domande quasi esistenziali

Chi sceglie i subfornitori dei tuoi fornitori? Nella pratica quotidiana, spesso è una decisione delegata: l’ufficio acquisti cerca il prezzo migliore, il responsabile IT individua chi sa mettere mano a un sistema, l’amministrazione prende chi “ha già lavorato con noi”. Raramente l’imprenditore chiede quali garanzie sul trattamento dei dati verranno date, chi avrà accesso ai sistemi, da dove e con quali dispositivi. È un errore strategico: scegliere un fornitore esterno non è mai solo una questione di prezzo o competenza, ma di fiducia regolata e blindata da obblighi scritti.

Che garanzie chiedere e pretendere di inserire nei contratti? Non basta una clausola generica “rispettare le leggi vigenti”. Bisogna scendere nei dettagli. Il contratto deve stabilire come vengono trattati i dati, dove vengono conservati, chi li può vedere, da quali device. Deve dire se lo smart working è ammesso e a quali condizioni: non basta autorizzarlo, bisogna prevedere reti sicure, sistemi aggiornati, password robuste, monitoraggio. Deve imporre controlli periodici e prevedere responsabilità precise se qualcosa va storto. Perché, se il fornitore sbaglia, a rispondere davanti al Garante e ai clienti sei tu.

La NIS2 si applica? La norma lo ha reso chiaro: anche chi non è destinatario diretto delle nuove regole è comunque coinvolto nella catena. La sicurezza non riguarda solo i big player, ma tutta la filiera. Se un anello si spezza, non cade solo il fornitore, cadi anche tu. È per questo che le aziende più attente hanno iniziato a trattare la scelta di un partner come si tratterebbe la selezione di un dirigente: con verifiche, controlli e, soprattutto, con obblighi scritti nero su bianco.

Approfondisci > Il Framework Legale di Conformità per la NIS2: Un Passaggio Obbligato

Non possiamo fare i guardiani che sorvegliano ogni mossa dei nostri partner, è vero. Non possiamo controllare da dove si collega ogni dipendente di un subfornitore. Ma possiamo, e dobbiamo, scrivere regole chiare nei contratti, nelle lettere di incarico, nelle istruzioni operative. Perché il rischio non è teorico: è quotidiano. Oggi il dipendente di un fornitore lavora da un ufficio sicuro, domani da un Airbnb, dopodomani da una baita di montagna. E in ognuno di quei luoghi possono passare i dati della tua azienda.

Potrebbe interessarti > La gestione della catena esterna della Data Protection

Conclusioni

La sicurezza non è più confinata al tuo perimetro. È diffusa, fluida, condivisa. Per questo devi “pensare diverso”: non limitarti a proteggere la tua casa, proteggi anche la strada che porta alla tua porta. Scegli i fornitori non solo per quello che sanno fare, ma per come lo fanno. Pretendi clausole chiare, istruzioni vincolanti, verifiche periodiche. E non accettare il silenzio o la vaghezza: il silenzio, in questi casi, è un invito aperto all’incidente.

La verità è brutale: il futuro della tua azienda lo scrivono anche i tuoi partner. Lo scrivono con le loro regole, o con le loro dimenticanze. Sta a te decidere se affidarti a chi prende la sicurezza sul serio o a chi considera i dati un dettaglio secondario. Perché la tua reputazione non sopravvive a un fornitore negligente. E quando i clienti scoprono che a tradirli non è stato il concorrente ma il tuo partner, non faranno differenze: se ne andranno e basta.

Per questo serve una lezione semplice: la sicurezza non è solo tecnologia, è governance. E la governance si scrive nei contratti.