Mai come negli ultimi anni il tema della supply chain è stato sotto ai riflettori. O meglio, delle supply chain. Se la catena di fornitura delle materie prime e dell’energia è stata protagonista delle cronache, riflettendo eventi di grande portata (dal Covid, alle guerre, ai dazi statunitensi), la filiera dell'informatica è questione di non secondaria importanza, perché da essa dipendono la sicurezza dei dati e anche la continuità operativa della aziende.
Di attacchi che intercettano uno o più anelli della catena di fornitura, generando effetti a cascata, abbiamo parlato con Marco Sartori, amministratore delegato di Kyp. Acronimo di Know Your Partner, l’azienda milanese è nata di recente e la sua promessa è di aiutare nella gestione dei rischi di supply chain e nella compliance.
Come è cambiato lo scenario della supply chain IT negli ultimi anni?
Dalla pandemia in poi la catena di fornitura IT è diventata più lunga, opaca e interdipendente. Il ricorso massivo a servizi esterni (cloud, SaaS, software open-source, logistica e assistenza offshore) ha aumentato l’esposizione a rischi “di filiera”, che non si fermano al primo fornitore ma coinvolgono subfornitori e dipendenze di quarto livello. Nel concreto vediamo soprattutto rischi cyber lungo la supply chain (compromissione del software/firmware, credenziali e accessi privilegiati di terze parti), rischi di continuità operativa (single point of failure, lock-in tecnologico, indisponibilità prolungata di servizi cloud), rischi legali e regolatori (legati a Nis2 e Dora, export control, trasferimenti dati), rischi finanziari e reputazionali del fornitore (frodi, insolvenze, contenziosi, Esg). L’elemento nuovo non è l’esistenza dei rischi, ma la loro combinazione e la propagazione a cascata.
L’affermazione diffusa di tecnologie come il cloud computing, l’IoT e l’intelligenza artificiale ha complicato o semplificato la gestione dei rischi di supply chain?
Queste tecnologie hanno semplificato alcuni aspetti, grazie a scalabilità, standardizzazione, telemetria centralizzata, aggiornamenti più rapidi, ma d’altro canto hanno anche ampliato la superficie d’attacco e la dipendenza da terze parti. Nel cloud cresce il rischio di concentrazione e di configurazioni errate; l’IoT introduce miliardi di endpoint eterogenei spesso difficili da aggiornare o inventariare; l’AI aggiunge nuove dipendenze (dataset, modelli, fornitori di API) e rischi non “tradizionali”, come data leakage, supply chain del modello e bias operativi. In sintesi: la tecnologia abilita efficienza, ma rende imprescindibile una governance strutturata. Senza strumenti e processi adeguati, la complessità supera i benefici.
Quali tecnologie, di contro, possono aiutare nella gestione dei rischi legati alla filiera dell’IT?
A mio parere tre fattori fanno la differenza: dati, automazione, monitoraggio continuo. Servono piattaforme che combinino fonti pubbliche e proprietarie per costruire profili di rischio dinamici del fornitore; integrazioni con procurement, legal e sicurezza per innescare controlli by design; telemetria che aggiorni gli indicatori senza attendere il prossimo audit. In pratica: inventory e mappatura relazionale dei fornitori e subfornitori, scoring continuo (cyber, finanziario, legale, reputazionale, Esg), verifica documentale automatizzata (certificazioni, polizze, SLA, clausole contrattuali), signal-based alerting (data breach, sanzioni, eventi negativi), sicurezza del software, flussi di remediation con priorità basate sul rischio. È l’approccio che adottiamo in Kyp: meno questionari statici, più evidenze oggettive e segnali real-time.
Marco Sartori, amministratore delegato di Kyp
In base al vostro punto di osservazione sul mercato, quali sono i principali punti di debolezza nelle aziende italiane?
Il primo tallone d’Achille è la visibilità: molte realtà non dispongono di una mappa completa dei fornitori IT critici né della loro catena a valle. Secondo, le valutazioni sono spesso one-shot in fase contrattuale e non continuative. Terzo, persistono distanze tra l’IT, il procurement, l’area legale e compliance e la sicurezza: il rischio di fornitura non ha un owner unico e i criteri non sono allineati. I settori più esposti che osserviamo sono Pubblica Amministrazione e sanità (caratterizzati da numerosi fornitori, budget e tempi stretti), manifattura e utility (rischi legati a OT e IoT e all’interconnessione con la supply chain fisica) e i servizi finanziari e assicurativi (per obblighi regolatori e terze parti critiche). I processi più impattati sono quelli di cybersecurity (identity/access per terze parti, gestione vulnerabilità), il procurement (valutazione e rinnovi) la contrattualistica (SLA, clausole Nis2 e Dora, audit rights) e la business continuity.
Gli obblighi previsti dalla direttiva Nis2 hanno prodotto o stanno producendo dei miglioramenti nella cosiddetta “postura di sicurezza” delle aziende, specie in riferimento alle supply chain IT?
Sì, Nis2 è un acceleratore: ha spostato l’attenzione dalla sola sicurezza interna alla responsabilità verso fornitori e subfornitori, introducendo requisiti di governance, controlli basati sul rischio, gestione incidenti e sanzioni più incisive. Di riflesso vediamo un aumento deciso di richieste di due diligence, clausole contrattuali più robuste, audit rights e monitoraggio documentale. La maturità però è disomogenea: le organizzazioni che sono entità “essenziali” o “importanti” stanno adeguandosi più rapidamente, mentre molte Pmi dell’ecosistema si stanno muovendo ora. L’effetto più tangibile è la standardizzazione di pratiche minime: valutazioni periodiche, tracciabilità decisionale, piani di remediation e l’adozione di piattaforme che misurano e documentano il rischio di terze parti in modo continuativo.
Che cosa distingue la vostra offerta da quella di vendor concorrenti?
Kyp nasce per dare visibilità operativa e misurabile sulla filiera IT con focus sull'affidabilità legale e fiscale: dalla qualifica iniziale del fornitore al monitoraggio continuo. Combiniamo fonti pubbliche, database proprietari e integrazioni per generare un profilo dinamico del rischio, sintetizzato in uno score oggettivo (Enhanced Shell Score) e in indicatori di diversa natura. La nostra soluzione si distingue per tre elementi chiave. Il primo è il continuous risk sensing, un sistema che rileva in tempo reale eventi critici (come contenziosi, sanzioni, cambi di governance o segnali finanziari) e li ordina in base alla loro rilevanza per il business. Il secondo è l’automazione documentale e contrattuale, che semplifica la raccolta e la verifica delle certificazioni, riducendo tempi e complessità. Infine, il modello è accessibile e scalabile: funziona in modalità pay-per-use con pacchetti a crediti, adatti tanto al singolo fornitore quanto a catene articolate, e pensati anche per Pmi e studi professionali. La piattaforma è già predisposta per API e integrazioni, così da inserirsi facilmente negli strumenti esistenti. In breve, Kyp non si limita a “fotografare” il rischio: lo monitora, lo spiega e lo rende gestibile, collegando ogni segnale a un’azione concreta (contrattuale, tecnica o organizzativa) e ad una priorità di intervento. Questo è il nostro differenziale rispetto a soluzioni frammentate o solo consulenziali.