La supply chain oggi non è più soltanto una catena di contratti e rapporti: è una filiera di rischio. Ogni fornitore che entra nei sistemi, nei dati o nei processi di un’azienda non porta solo una prestazione, ma introduce una nuova superficie di esposizione, ed è qui che il contratto tradizionale mostra tutti i suoi limiti. Il modello tradizionale, fondato su oggetto, durata e corrispettivo funziona quando il rischio è statico, circoscritto, e ciò che può andare storto è legato alla qualità della prestazione o al mancato pagamento. 

Non è più così: il rischio è dinamico, sistemico ed esternalizzato. GDPR e NIS2 hanno reso evidente che i veri pericoli sono nella relazione che il contratto crea. L’oggetto non basta a proteggere, la scadenza non mette al sicuro e il prezzo non copre il danno potenziale, perché ciò che è in gioco non è la singola prestazione ma l’accesso, la dipendenza, la continuità.

Oltre l'oggetto e il prezzo: la nuova mappa dei rischi nella supply chain

Quando si guarda la supply chain con questo approccio, la prima cosa che emerge è la necessità di una vera mappa del rischio. Ogni fornitore va letto non per ciò che “fa”, ma per ciò che “tocca”. Dati? Sistemi? Processi critici? È il rischio di accesso, la perdita di controllo. Poi c’è il rischio di dipendenza: se quel fornitore si ferma, viene attaccato, fallisce o perde competenze, l’azienda è in grado di continuare a operare o diventa un single point of failure?

C’è poi il rischio di incidente vero e proprio, che si concentra in una domanda brutalmente semplice: se succede qualcosa, chi fa cosa nelle prime ventiquattro ore?
Qui non si misura la qualità del contratto, ma la qualità del governo aziendale. C’è il rischio normativo perché, se il fornitore non collabora alle notifiche, non fornisce evidenze o non conosce gli obblighi GDPR e NIS2, la sanzione ricade comunque sull’azienda cliente.

C’è il rischio della supply chain della supply chain: subfornitori, software terzi, cloud extra UE che creano un’esposizione invisibile e non controllata. E infine c’è il rischio reputazionale, perché ogni incidente non è mai solo tecnico: coinvolge clienti, media, autorità e fiducia, che è la prima vera infrastruttura immateriale dell’impresa.

Per approfondire > NIS2 e Gestione di Dipendenti e Collaboratori: la filiera interna come modello applicativo

Dal contratto punitivo al contratto "cybermetrico": le clausole essenziali

In questo scenario, continuare a usare contratti costruiti solo su prestazione, prezzo e durata, significa avere uno strumento solo giuridicamente corretto ma strategicamente cieco. Serve affiancare al contratto tradizionale un nucleo minimo di clausole che non siano punitive o burocratiche, ma “cybermetriche”, orientate alla misurazione e al governo del rischio, iniziando da una clausola di ruolo e perimetro, che chiarisce chi fa cosa davvero: attività svolte, sistemi coinvolti, livello di accesso, dati trattati o anche solo toccati. Serve a eliminare l’ambiguità ex post, quella che emerge sempre quando c’è un incidente. Occorre una clausola di sicurezza proporzionata, non la formula vuota delle “best practice”, ma misure adeguate al rischio reale, coerenti con GDPR e NIS2, perché la sicurezza non è assoluta, è sempre relazione tra rischio ed esposizione. Inserire forme di controllo e comunicazione è a dir poco essenziale.

Poi c’è la clausola di incident management, che è probabilmente la più importante di tutte: deve dire che cos’è un incidente, entro quanto tempo va segnalato, attraverso quali canali, con quali obblighi di cooperazione verso DPO, CSIRT e autorità. Questa clausola vale più di molte penali, perché governa il momento in cui l’azienda è più fragile. A questa si affianca la clausola di continuità operativa, che risponde a una sola domanda: se tu cadi, io come continuo? Backup, recovery, piani alternativi, supporto all’uscita dal contratto sono strumenti di sopravvivenza, non di stile.

Aggiungiamo una clausola sui subfornitori e sui software terzi che impedisca al rischio di trasformarsi in una “matrioska” incontrollabile, imponendo trasparenza, limiti e responsabilità estesa. Aggiungiamo audit e verifica non per spiare ma a dimostrare diligenza, capacità di controllo e difesa ex post e, infine, in un primo sommario elenco, una clausola di responsabilità intelligente, che non si limiti a porre limiti economici astratti, ma colleghi la responsabilità agli eventi realmente critici. Questo è il vero salto concettuale. Il contratto tradizionale dice: se qualcosa va storto, vedremo di chi è la colpa. Il contratto cybermetrico dice: come facciamo in modo che non vada storto, e come reagiamo se succede. Qui il contratto smette di essere strumento giuridico e diventa uno scudo di prevenzione, di governo e di misurazione dell’esposizione.

È per questo che oggi, parlando con imprenditori e manager, la frase più efficace non è tecnica ma strategica: il contratto non serve più solo a regolare una prestazione, serve a misurare e governare il rischio che quella relazione introduce. Tutte le clausole minime che affianchiamo, non servono a litigare meglio dopo, ma a ridurre la probabilità e l’impatto del danno prima. Ed è questa, oggi, la vera funzione evoluta del contratto nella supply chain.