Ogni grande organizzazione è circondata da un ecosistema di fornitori, partner, subappaltatori e provider tecnologici. Ognuno rappresenta un tassello importante nella catena del valore ma contemporaneamente un rischio potenziale: di compliance, di sicurezza, reputazionale, operativo. Con normative come DORA e l’AI Act, che estendono esplicitamente la responsabilità dell’organizzazione principale ai comportamenti dei propri fornitori, la gestione del rischio di terze parti ha assunto rango strategico.
Le grandi organizzazioni e gli istituti bancari non sono all’anno zero: molti processi di gestione dei fornitori sono già digitalizzati. Tuttavia, l’arrivo di normative come l’Ai Act e DORA agisce come uno “stress test” su sistemi nati per una gestione documentale standard, non per un’analisi dinamica del rischio.
L’AI Contract Agent: da ‘giorni’ a ‘ore’ per le verifiche contrattuali
I sistemi di analisi contrattuale basati sull’intelligenza artificiale stanno trasformando radicalmente questo processo. Un GRC Contract Agent con NLP avanzato analizza un contratto complesso, anche di centinaia di pagine, in pochi minuti, identifica automaticamente le clausole rilevanti, le confronta con i requisiti normativi applicabili (DORA, AI Act, GDPR, NIS2) e segnala i gap con priorità e suggerimenti di remediation.
I tempi di onboarding dei fornitori si riducono del 75%, passando da tre giorni a circa un’ora per contratto. Una trasformazione con impatti diretti sui costi operativi e sulla capacità dell’organizzazione di muoversi rapidamente in un mercato competitivo.
Monitoraggio continuo: il rischio del fornitore cambia nel tempo
La due diligence non si esaurisce con la firma del contratto. Un fornitore affidabile dodici mesi fa potrebbe oggi essere sotto indagine, in difficoltà finanziaria, o aver subito una violazione della sicurezza. Il monitoraggio continuo del rischio di terze parti, alimentato da fonti esterne come report finanziari, database di sanzioni e social media, aggiorna in tempo reale lo score di rischio di ogni fornitore e attiva processi di escalation prima che un problema diventi una crisi.
L’obbligo di audit: come documentare la conformità delle terze parti
DORA richiede alle istituzioni finanziarie di includere nei contratti con i fornitori ICT critici clausole che garantiscano il diritto di audit. Esercitarlo in modo efficiente e documentato richiede workflow strutturati per la raccolta automatica delle evidenze, la generazione dei report e la tracciabilità di ogni fase del processo.
Nel 2026, automatizzare la due diligence di terze parti è una priorità operativa, con ricadute dirette su costi, velocità e solidità della governance.
Go GRC Platform è il sistema tecnologico avanzato sviluppato da Deda Bit per centralizzare la gestione dei rischi, della conformità normativa e dei processi di audit aziendale. Certificata dall’ACN nel Marketplace Cloud italiano e basata sul modello OCEG, la piattaforma offre moduli integrabili per Corporate Governance, Internal Audit, Operational & IT Risk e Line Controls.
Scopri come Go GRC Platform può automatizzare la Gestione Terze Parti e la verifica delle clausole contrattuali ai fini DORA.
