Third Party Risk Management (TPRM) nel 2026: quando il rischio entra dalla porta dei fornitori
C’è un paradosso al cuore della sicurezza informatica contemporanea: le organizzazioni investono risorse crescenti per proteggere il proprio perimetro, ma continuano a subire violazioni che entrano da una porta laterale, quella dei fornitori. Il Third Party Risk Management (TPRM), ovvero la gestione strutturata dei rischi provenienti da terze parti, è diventato uno degli ambiti più critici e, al tempo stesso, più sottovalutati della cybersecurity aziendale. Non è una questione di strumenti mancanti né di consapevolezza assente: è una questione di complessità che si moltiplica più rapidamente della capacità di governarla.
Il perimetro che non esiste più
L’impresa digitale moderna non ha confini netti. Ogni organizzazione è immersa in una rete di dipendenze fatta di software as a service, fornitori cloud, integratori di sistema, partner logistici e consulenti esterni, elementi che rendono il concetto stesso di perimetro di sicurezza quasi obsoleto. Secondo il TPRM Impact Report 2025 di Whistic, basato su interviste a oltre 500 decision-maker della sicurezza informatica in organizzazioni con almeno 500 dipendenti, la media aziendale gestisce oggi 286 fornitori, un incremento del 21% rispetto all’anno precedente.
Di queste organizzazioni, il 70% ha subito una violazione dei dati negli ultimi tre anni, e in ben il 77% dei casi l’origine era riconducibile a una terza parte. Il costo medio di un data breach ha raggiunto i 4,88 milioni di dollari secondo il rapporto IBM Cost of a Data Breach 2024, un dato che tende ad amplificarsi quando si aggiungono le ricadute reputazionali e le sanzioni regolamentari.
Il quadro che emerge non è semplicemente preoccupante: è strutturalmente instabile. Secondo lo stesso rapporto Whistic, le organizzazioni hanno aggiunto in media tre dipendenti full-time alla funzione TPRM nel corso del 2024, a un costo medio di 109.000 dollari ciascuno, ma il 94% dichiara comunque di non riuscire a valutare tutti i fornitori che vorrebbe. Il tempo dedicato agli assessment è aumentato a 37,4 ore settimanali, quattordici ore in più rispetto all’anno precedente, senza che ciò si traduca in un miglioramento proporzionale della copertura del rischio. Si spende di più, si fa di più, ma si riesce a meno. È la fotografia di un modello operativo che ha raggiunto i propri limiti strutturali.
La catena che si rompe dove è più debole
L’ENISA Threat Landscape 2025, pubblicato in ottobre e basato sull’analisi di 4.875 incidenti registrati tra luglio 2024 e giugno 2025, fornisce una prospettiva di taglio europeo altrettanto severa. Gli attacchi alla supply chain rappresentano il 10,6% di tutte le minacce censite, ma il loro peso specifico va oltre la mera statistica: ogni compromissione di un fornitore chiave produce effetti a cascata su decine o centinaia di organizzazioni a valle.
Un caso emblematico, documentato direttamente dall’ENISA, riguarda l’Italia. Nel marzo 2025 la violazione di Plus Service, fornitore esterno che gestisce la piattaforma Telemaco per conto di numerose aziende di trasporto italiano, ha comportato l’esfiltrazione non autorizzata di dati verso un repository remoto. Il risultato immediato è stato la paralisi dei sistemi di biglietteria di Mobilità di Marca per due giorni, con migliaia di pendolari coinvolti. Non è stata attaccata una singola organizzazione: è stato compromesso il nodo da cui dipendevano tutte le altre. Questa è la logica degli attacchi alla supply chain nella sua forma più pura, attaccare il fornitore per colpire i clienti, ed è una logica che gli avversari hanno interiorizzato con precisione industriale.
L’Operation Digital Eye, campagna di cyberespionage che nel 2024 ha preso di mira i principali provider IT del Sud Europa con l’obiettivo di infiltrare le catene di fornitura, conferma che questo non è un fenomeno episodico. ENISA segnala che i gruppi statali e para-statali, tra cui il gruppo nordcoreano Lazarus, sfruttano sistematicamente le dipendenze digitali, compresi i repository npm e le estensioni browser, per mantenersi all’interno degli ecosistemi aziendali senza essere rilevati. La sofisticazione non risiede soltanto nell’attacco in sé, ma nel fatto che questo si nasconde dietro la fiducia che le organizzazioni ripongono nei propri fornitori.
Il rischio dell’Nth-party: quando non sai nemmeno chi sono i tuoi fornitori
La complessità del TPRM non si ferma ai fornitori diretti. La Third Party Risk Association, nel suo State of the Industry 2026 pubblicato nel dicembre 2025, sintetizza con precisione un fenomeno già avvertito nel corso dell’anno precedente: quello del rischio Nth-party. I fornitori dipendono a loro volta da sub-fornitori, che dipendono da altri ancora, in catene che si estendono per tre, quattro, cinque livelli di profondità. Come osservato nel rapporto AuditBoard TPRM Trends for 2025, la crescente dipendenza da terze parti, intensificata dall’adozione dell’intelligenza artificiale, ha espanso non solo il numero di fornitori ma l’intera gamma dei rischi correlati. Non stiamo più gestendo il rischio di terze parti: stiamo gestendo il rischio di ecosistema.
Ciò pone un problema di visibilità che è prima di tutto epistemologico. La maggior parte delle organizzazioni non sa, e non può sapere con i soli strumenti manuali, chi siano effettivamente tutti i soggetti che accedono, anche indirettamente, ai propri dati e sistemi. La SecurityScorecard ha rilevato che la maggior parte delle organizzazioni che si dichiarano “fiduciose” nella propria gestione del rischio di terze parti non ha visibilità nemmeno sul 50% dei propri vendor. È la fiducia come sostituto della conoscenza: un punto cieco che gli avversari conoscono bene.
Il quadro normativo europeo: dal vincolo alla strategia
Il 2025 ha segnato un punto di non ritorno nella regolamentazione europea del rischio di terze parti. Con DORA, il Digital Operational Resilience Act, pienamente applicabile dal 17 gennaio 2025, le istituzioni finanziarie dell’UE sono ora soggette a requisiti dettagliati e prescrittivi sulla gestione del rischio ICT, incluse le dipendenze da fornitori terzi.
La normativa impone agli enti finanziari di costituire e mantenere un Register of Information dettagliato su tutti i fornitori di servizi ICT e i relativi accordi contrattuali. I registri erano da consegnare alle rispettive autorità competenti nazionali, con le European Supervisory Authorities che li hanno raccolti dalle autorità nazionali entro il 30 aprile 2025. Le stesse ESA hanno avviato la valutazione dei Critical Third-Party Providers (CTPP), con notifiche di classificazione previste entro luglio 2025. DORA introduce inoltre l’obbligo di strategie di uscita per i fornitori ICT critici: se un vendor non è sostituibile, diventa un rischio sistemico da dichiarare e gestire.
La NIS2, dal canto suo, estende questi obblighi al di là del settore finanziario, imponendo agli enti essenziali e importanti misure esplicite di sicurezza della supply chain ai sensi dell’Articolo 21(d). Sebbene l’iter di recepimento nazionale risulti ancora frammentato, poiché al 30 giugno 2025 soltanto 14 Stati membri su 27 avevano completato la trasposizione e la Commissione Europea il 7 maggio 2025 ha avviato procedure di infrazione nei confronti di 19 di essi, l’obbligo sostanziale è chiaro: la sicurezza dei fornitori è una responsabilità diretta dell’organizzazione committente.
Il recepimento italiano è avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024, che ha attribuito all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di Autorità Nazionale Competente NIS. ACN ha successivamente adottato le Determinazioni attuative n. 333017/2025 e n. 379907/2025, che definiscono i requisiti specifici di sicurezza e le modalità operative per i soggetti NIS italiani.
L’articolazione tra NIS2 e DORA segue il principio della lex specialis: DORA prevale sulle disposizioni NIS2 per il rischio ICT nel settore finanziario, ma le previsioni NIS2 non coperte da DORA restano applicabili. Per le organizzazioni che si trovano all’intersezione dei due regimi, tipicamente i fornitori di servizi tecnologici che operano nel settore finanziario, la sfida di compliance si moltiplica. ENISA e le ESA hanno firmato un Memorandum of Understanding per rafforzare la cooperazione e garantire un approccio armonizzato, ma la convergenza reale tra framework regolatori resta un cantiere aperto. Su questo tema è disponibile anche una analisi della convergenza normativa pubblicata su queste pagine, che esamina le implicazioni operative per le imprese italiane soggette a più regimi contemporaneamente.
L’intelligenza artificiale: amplificatore di rischio e leva di resilienza
L’AI occupa un posto duplice e paradossale nel panorama TPRM del 2025. Da un lato è emersa come il secondo rischio TPRM per importanza secondo il State of Third-Party Risk Management 2025 di Venminder/Ncontracts, con il 49% delle organizzazioni che ha subito un incidente cyber legato a terze parti nel corso del 2024 e il 40% che ha già inserito nei contratti clausole specifiche sull’uso dell’AI da parte dei vendor. Dall’altro, l’AI è la principale tecnologia abilitante per superare i limiti strutturali dei programmi TPRM tradizionali.
Il paradosso si chiarisce disaggregando i due piani. Sul versante del rischio, i fornitori che adottano modelli AI introducono nuove variabili: qualità e provenienza dei dati di addestramento, potenziale di model poisoning, opacità dei processi decisionali automatizzati, esposizione a prompt injection e adversarial attacks. Valutare la maturità AI di un fornitore è oggi una componente necessaria del processo di due diligence, e la maggior parte dei framework di assessment non è ancora attrezzata per farlo in modo sistematico.
Sul versante della resilienza, l’AI applicata ai programmi TPRM consente di automatizzare fino al 90% delle fasi di valutazione, dalla compilazione dei questionnaire all’analisi documentale, dal risk scoring al monitoraggio continuo, riducendo drasticamente i tempi e aumentando la copertura. La tecnologia è allo stesso tempo la fonte del problema e la chiave per affrontarlo.
Maturità operativa: tra modelli ibridi e automazione
Il survey Venminder/Ncontracts 2025, alla sua nona edizione con rispondenti provenienti da servizi finanziari, fintech, sanità e IT in organizzazioni di tutte le dimensioni, registra segnali incoraggianti di maturazione dei programmi TPRM. Il 52% delle organizzazioni ha adottato un modello operativo ibrido, una crescita del 41% in termini relativi rispetto all’anno precedente, segnale di una comprensione più sofisticata della complessità della gestione del rischio di terze parti.
L’utilizzo di piattaforme TPRM dedicate è aumentato del 19%, raggiungendo il 64% dei rispondenti, mentre il ricorso a spreadsheet manuali è diminuito del 29%. Il mercato globale del TPRM è stimato a circa 9,54 miliardi di dollari nel 2024, con proiezioni di crescita a tassi compresi tra il 14 e il 16% annuo fino al 2033: numeri che riflettono un’urgenza diffusa, non una moda.
Eppure la maturità tecnica non basta da sola. Il survey Ncontracts specificamente dedicato alle istituzioni finanziarie rileva che il 73% di esse gestisce il rischio fornitori con due o meno dipendenti full-time, nonostante oltre la metà supervisioni più di 300 vendor. Il 97% delle organizzazioni dichiara che farebbe valutazioni più approfondite se avesse le risorse per farlo. Il vincolo non è la volontà né la consapevolezza: è la sproporzione tra la complessità del rischio e la capacità organizzativa di governarlo. È qui che il salto verso l’automazione intelligente non è una scelta ma un’esigenza strutturale.
Verso un TPRM sistemico: oltre la checklist
La riflessione che emerge dall’insieme di questi dati non è tecnica ma strategica. Il TPRM tradizionale, fondato su assessment periodici, questionnaire standardizzati e revisioni contrattuali, è strumento necessario ma non più sufficiente. Il rischio di terze parti non è più un problema di compliance da gestire a cadenza annuale: è una variabile dinamica che cambia con ogni aggiornamento software di un fornitore, con ogni nuovo sub-contractor ingaggiato, con ogni modifica nella supply chain di un partner critico.
Il modello di governance che si profila per il 2026 e oltre è quello del TPRM come funzione di intelligenza continua: monitoraggio in tempo reale, mappatura Nth-party, integrazione con i team di threat intelligence, allineamento strutturale tra acquisti, compliance, sicurezza e vertici aziendali. Le organizzazioni che si sono distinte nel 2025, come osserva il rapporto TPRA, condividono una caratteristica: la collaborazione interfunzionale. La cybersecurity è uscita dai confini dell’IT per diventare una variabile di governance d’impresa.
La regolamentazione europea, con DORA, NIS2 e il Cyber Resilience Act in corso di piena implementazione, sta accelerando questa transizione, imponendo obblighi che trasformano il TPRM da buona pratica volontaria a requisito legale esigibile. Non è un onere aggiuntivo da assorbire: è, se letto correttamente, un’opportunità per costruire una resilienza che il mercato e gli avversari stanno già testando ogni giorno.
La porta dei fornitori è aperta. La domanda non è se qualcuno entrerà, ma se saremo in grado di accorgercene in tempo.
