← Blog

Rischio e Conformità: Costruire Programmi Evidence-First

Pubblicato: 2026-05-13
risk and compliance operational resilience DORA compliance NIS2 directive GRC
Rischio e Conformità: Costruire Programmi Evidence-First

Se il tuo team sa rispondere solo a “Siamo pronti per l’audit?” poche settimane prima di una verifica esterna, il tuo modello di rischio e conformità sta già fallendo.

Questa domanda appartiene all’era della burocrazia documentale. Le normative moderne come DORA, NIS2 e GDPR si aspettano qualcosa di più rigoroso. Si aspettano che le organizzazioni dimostrino che i controlli importanti sono operativi, che le responsabilità sono chiare e che le evidenze esistono prima che qualcuno le chieda. In pratica, questo significa che la conformità deve funzionare come una disciplina ingegneristica, con input definiti, controlli operativi, output verificabili e decisioni tracciabili.

La maggior parte dei programmi deboli si basa ancora sulla raccolta puntuale. Qualcuno gestisce un foglio di calcolo. Qualcun altro esporta schermate. I documenti di policy restano in una cartella, separati dai sistemi che dovrebbero governare. Questo modello si rompe sotto la complessità normativa, le piattaforme condivise, le dipendenze di terze parti e il cambiamento frequente. I programmi forti funzionano in modo diverso. Trattano le evidenze come parte delle operazioni quotidiane, non come un artefatto della stagione di audit.

Ripensare Rischio e Conformità per le Normative Moderne

Una domanda utile non è “Supereremo il controllo?” ma “Possiamo dimostrare il controllo in qualsiasi momento?”

Questo cambio è importante perché l’ambiente di rischio non separa più il fallimento tecnico dal fallimento normativo. Secondo il riepilogo del 2025 global risk survey summary di Aon, gli attacchi informatici o le violazioni dei dati sono al primo posto e i cambiamenti normativi o legislativi al quarto tra i principali rischi globali. Per una funzione IT regolamentata, questi non sono flussi di lavoro separati. Lo stesso outage, misconfiguration, failure di accesso o debolezza di un vendor può creare sia un incidente operativo sia un problema di conformità.

Perché il vecchio modello si rompe

La conformità tradizionale presume stabilità. Le policy vengono scritte ogni anno. I controlli vengono rivisti periodicamente. Gli audit sono trattati come eventi. Questo approccio funzionava abbastanza bene quando gli ambienti cambiavano lentamente e le evidenze vivevano in un numero limitato di sistemi.

Non funziona bene per infrastrutture cloud, servizi esternalizzati, piattaforme multi-tenant o team di engineering distribuiti. Il cambiamento avviene in modo continuo. La titolarità dei controlli si sposta tra security, platform, legal, privacy, procurement e operations. Se le evidenze vengono raccolte manualmente, saranno incomplete, in ritardo o scollegate dal controllo che dovrebbero dimostrare.

La conformità non è un insieme di documenti. È un’affermazione su come opera l’organizzazione, e le affermazioni hanno bisogno di prove.

La stessa logica emerge anche fuori dalla sicurezza. I team che gestiscono obblighi occupazionali affrontano problemi di coordinamento simili tra policy, operations e conservazione delle evidenze. Il lavoro su Managing UK HR legislation è utile qui perché mostra lo stesso principio generale. La conformità regge solo quando gli obblighi sono collegati ai processi operativi quotidiani.

Come appare un programma moderno

Un modello di rischio e conformità più robusto presenta alcuni tratti riconoscibili:

  • I controlli sono collegati ai sistemi: La policy non è lo stato finale. Lo è il controllo tecnico o operativo.
  • Le evidenze vengono generate continuamente: Log, approvazioni, stati di configurazione, record di accesso e output dei test esistono come sottoprodotti normali del lavoro.
  • La titolarità è esplicita: Qualcuno è responsabile dell’intento della policy, qualcuno dell’esecuzione del controllo e qualcuno della qualità dell’evidenza.
  • Gli audit verificano il sistema: Non dovrebbero costringere il sistema a un ordine temporaneo.

Per una visione pratica di come la governance colleghi questi livelli, l’GRC operating model overview è un utile punto di riferimento.

Distinguere la Gestione del Rischio dagli Obblighi di Conformità

Molte organizzazioni usano ancora “rischio” e “conformità” come se significassero la stessa cosa. Non è così. Confonderli crea una cattiva prioritizzazione e spreco di effort.

A hand-drawn diagram comparing risk management and compliance obligations with key operational activities for each.

La gestione del rischio chiede: “Cosa potrebbe impedirci di raggiungere i nostri obiettivi e cosa dovremmo fare a riguardo?” La conformità chiede: “Cosa siamo obbligati a fare e possiamo dimostrare di farlo?” La prima è guidata dall’incertezza e dal giudizio aziendale. La seconda è guidata dall’obbligo.

Un’analogia pratica

Pensa alla costruzione di un ponte.

La gestione del rischio è la disciplina ingegneristica. Esamina carico, vento, corrosione, traffico, modalità di guasto, intervalli di manutenzione e tolleranze. Accetta che alcuni rischi possano essere ridotti, altri trasferiti, altri monitorati e altri accettati entro il risk appetite.

La conformità è il codice edilizio. Stabilisce obblighi minimi non opzionali. Se il codice richiede un particolare standard di sicurezza, non “accetti” la non conformità perché un altro progetto ha un valore strategico più alto. Ti conformi, oppure ne porti le conseguenze.

Questa distinzione conta negli ambienti tecnologici. Un team di sicurezza può decidere che un controllo possa essere compensato da un altro perché il rischio residuo è accettabile. Un obbligo legale o normativo potrebbe non consentire questa flessibilità, a meno che il framework non permetta esplicitamente un approccio di controllo equivalente.

Cosa va storto quando i team confondono i due piani

Quando rischio e conformità confluiscono in un unico contenitore, le organizzazioni tendono a commettere uno di tre errori:

  • Sovracontrollano le aree a basso valore: I team accumulano evidenze e approvazioni su questioni minori perché tutto viene etichettato come “conformità”.
  • Sottocontrollano gli obblighi obbligatori: Un requisito viene trattato come una decisione di rischio discrezionale e si trascina.
  • Riferiscono male verso l’alto: I dirigenti sentono che un rischio è “gestito” quando l’obbligo sottostante non è ancora soddisfatto.

Le conseguenze finanziarie non sono teoriche. Nel 2024, le multe GDPR per violazioni della privacy hanno raggiunto 1,2 miliardi di euro, come riassunto nella panoramica delle statistiche di conformità di Zluri. Quelle multe si sommano al costo operativo dell’incidente stesso. È il promemoria più chiaro che un fallimento di conformità e un fallimento di sicurezza possono sovrapporsi ma devono comunque essere governati in modo diverso.

Un trattamento più dettagliato di questa distinzione merita di essere letto in questo articolo su risk management and compliance.

Un semplice test operativo

Usa questo test quando decidi come gestire un problema:

Domanda Se sì Se no
Esiste un obbligo vincolante legale, normativo o contrattuale? Trattalo come requisito di conformità con prova definita Valutalo attraverso i normali metodi di rischio
La leadership può scegliere di accettare il gap? Di solito no, a meno che il framework non consenta un’alternativa giustificata Forse sì, in base al risk appetite
È richiesta un’evidenza per dimostrare l’operatività? Presumi sempre di sì Spesso è comunque utile, ma non sempre obbligatoria

Una breve discussione tecnica può aiutare i team a fare questa distinzione nella pratica:

Regola pratica: Gestisci il rischio in base al risk appetite. Soddisfa gli obblighi di conformità in base al requisito. Non scambiare una logica con l’altra.

Costruire un Framework di Governance Integrato

Un framework di governance è utile solo se collega l’intento del board all’operatività quotidiana dei controlli. Molti non lo fanno. Producono librerie di policy, risk register e verbali di comitato, ma lasciano una debole tracciabilità tra questi artefatti e ciò che le persone fanno.

A diagram illustrating an integrated governance framework connecting risk management, compliance obligations, and operational activities within an organization.

Un modello integrato è più semplice di quanto suggeriscano la maggior parte delle presentazioni GRC. Ha bisogno di quattro livelli collegati: decisioni di governance, intento della policy, controlli operativi ed evidenze. Se un livello è scollegato, l’intero sistema diventa difficile da difendere.

La catena che conta

Una catena di governance funzionante appare così:

  1. Obbligo o requisito di business
    Può derivare da una normativa, da un contratto, da una policy interna o da un’esigenza operativa.

  2. Dichiarazione di policy
    L’organizzazione afferma ciò che deve essere vero. Per esempio, l’accesso ai dati regolamentati è limitato, rivisto e revocato tempestivamente.

  3. Progettazione del controllo
    I team definiscono il meccanismo reale. Potrebbe trattarsi di role-based access control, di un workflow joiner-mover-leaver, di regole di approvazione e di una revisione periodica degli accessi.

  4. Esecuzione operativa
    Persone e sistemi eseguono il controllo. Le richieste di accesso vengono inviate, approvate, implementate, registrate, riviste e rimosse.

  5. Evidenze e review
    I record mostrano che il controllo ha operato come previsto, che le eccezioni sono state gestite e che la titolarità era attiva.

Molti programmi falliscono al passaggio tre. Si fermano al linguaggio della policy e presumono che i team operativi dedurranno il resto. È lì che inizia l’ambiguità.

La titolarità deve essere esplicita

La governance migliora quando la titolarità viene suddivisa per funzione anziché confondersi in un generico label di “control owner”.

Un modello pratico di solito distingue:

  • Policy owner: responsabile della regola e del suo significato normativo
  • Control owner: responsabile della progettazione e dell’operatività
  • Evidence owner: responsabile della qualità, conservazione e reperibilità della prova
  • Reviewer o approvatore: responsabile della challenge e della supervisione

Sembra amministrativo, ma previene una modalità di fallimento comune. Durante un audit, un team può sapere che il controllo esiste ma nessuno riesce a spiegare chi lo valida, chi approva le eccezioni o chi garantisce che le evidenze restino complete nel tempo.

Se la titolarità non può essere nominata al livello di un singolo ruolo, il controllo probabilmente non è abbastanza maturo.

La governance è un sistema di feedback

Un framework integrato non è a senso unico. Una buona governance prende feedback da incidenti, test falliti, eccezioni ai controlli, findings dell’internal audit e problemi di terze parti, quindi aggiorna la policy o la progettazione del controllo.

È qui che molti team migliorano la propria postura di rischio e conformità senza acquistare nulla di nuovo. Riducendo la distanza tra operations e oversight. Quando appare un’eccezione ricorrente, non la archiviano soltanto. Decidono se la policy è irrealistica, il controllo è debole o il processo è sottofinanziato.

Un modo compatto per valutare il proprio framework è chiedersi:

  • Possiamo tracciare ogni obbligo principale fino a un controllo?
  • Possiamo tracciare ogni controllo chiave fino a una titolarità nominata?
  • Possiamo produrre evidenze senza ricostruire la storia a mano?
  • Un reviewer può vedere eccezioni e risposte, non solo i casi di successo?

Se la risposta è incoerente, il problema di solito non è l’impegno. È l’architettura.

Progettare un Sistema Operativo Evidence-First

La maggior parte dei programmi di conformità tratta ancora le evidenze come un output raccolto a posteriori. È l’approccio sbagliato. Le evidenze dovrebbero far parte del sistema operativo stesso.

A diagram showing an operational system supported by layers of evidence for processes, decisions, and outputs.

Se un controllo è importante, l’evidenza di quel controllo dovrebbe essere generata vicino al lavoro. Le revisioni degli accessi dovrebbero produrre approvazioni datate ed eccezioni. Le modifiche alle policy dovrebbero portare una cronologia delle versioni e l’identità dell’approvatore. Il monitoraggio della sicurezza dovrebbe produrre log collegabili ai workflow di risposta. Le valutazioni dei fornitori dovrebbero lasciare un record verificabile di richieste, invii e decisioni.

L’evidenza parte dalla fonte

La domanda giusta non è “Cosa chiedono di solito gli auditor?” ma “Quali record dimostrano naturalmente che questo controllo sta funzionando?”

Questo cambia il modo in cui i team progettano i processi. Invece di chiedere a engineer o amministratori di creare manualmente le evidenze, si usano output nativi quando possibile:

  • System log per autenticazione, attività amministrativa e cronologia delle modifiche
  • Snapshot di configurazione per le impostazioni di baseline e la verifica del drift
  • Record di workflow per approvazioni, eccezioni e azioni di remediation
  • Cronologia delle versioni per policy, procedure e descrizioni dei controlli
  • Output dei test per validazione dei controlli, simulazioni e follow-up

Molti team platform e DevOps hanno già un vantaggio. Sono abituati a lavorare da pipeline, commit, cronologie di review e controlli automatici. Ecco perché una buona guida alla documentazione CI/CD è rilevante oltre la delivery software. Le stesse abitudini che migliorano la tracciabilità ingegneristica migliorano anche la qualità delle evidenze di conformità.

Il giudizio qualitativo non basta

I team maturi usano ancora il giudizio esperto, ma non si fermano lì. Un risk workshop che etichetta i problemi come rosso, ambra o verde può essere utile per la discussione, ma spesso è troppo vago per prioritizzare i controlli o giustificare gli investimenti.

Un approccio più solido usa la quantificazione dove aiuta il decision-making. Una analisi 2025 di Concertium ha rilevato che le aziende IT che usano valutazioni quantitative del rischio per prioritizzare i controlli hanno ridotto il rischio residuo fino al 40% rispetto alle aziende che si affidano solo a valutazioni qualitative. Il valore non sta nella formula in sé. Il valore sta nel fatto che il pensiero quantificato costringe i team a esprimere perché un controllo conta più di un altro e quale esposizione residua rimane dopo l’implementazione.

Costruire un ciclo di vita controllo-evidenza

Un sistema evidence-first segue di solito un ciclo di vita ripetibile:

  1. Definire l’obiettivo del controllo
    Dichiarare cosa il controllo deve prevenire, rilevare o dimostrare.

  2. Identificare le fonti di evidenza autorevoli
    Usare i record dei sistemi che eseguono il controllo, non screenshot di comodità se non necessario.

  3. Stabilire le regole di raccolta
    Decidere cosa viene catturato automaticamente, cosa richiede revisione umana e cosa deve essere conservato.

  4. Mappare le evidenze alle asserzioni del controllo
    Ogni artefatto dovrebbe supportare un’affermazione specifica. Evita di riversare file non correlati in una cartella condivisa.

  5. Verificare integrità e contesto
    Evidenze senza timestamp, ownership o spiegazione spesso generano più domande che risposte.

  6. Conservare ed esportare in forma utilizzabile
    Gli auditor devono vedere prove organizzate, non il tuo caos interno.

Per i team che stanno affinando questa disciplina, il materiale su audit evidence design è spesso più utile dell’ennesima checklist generica di conformità.

Una buona evidenza è specifica, attribuibile, time-bound e collegata a una dichiarazione di controllo. Se uno qualsiasi di questi elementi manca, aspettati contestazioni.

Cosa non funziona

Tre abitudini minano regolarmente team altrimenti capaci:

  • Raccolta massiva vicino al periodo di audit: Questo crea lacune, naming incoerente e provenienza debole.
  • Assurance basata solo sulla policy: Una policy firmata non dimostra l’operatività.
  • Evidenze senza narrativa: Gli export grezzi hanno bisogno di abbastanza contesto perché un reviewer capisca cosa sta guardando.

L’obiettivo pratico è semplice. Un reviewer dovrebbe poter passare dall’obbligo al controllo, dal controllo all’evidenza e dall’evidenza all’ownership senza aver bisogno di conoscenza implicita.

Tooling Pragmatico per un Controllo Dimostrabile

Un processo solido può sopravvivere per un po’ a tooling debole. Non può però scalare con tooling debole. Una volta che l’ambiente include più team, fornitori esterni, dati regolamentati e review ricorrenti, il system of record conta.

A hand-drawn illustration showing a step-by-step sequence of tools leading to the word CONTROL.

L’obiettivo non è comprare una “GRC platform” solo perché la categoria esiste. L’obiettivo è assemblare capacità funzionali che rendano difendibili le affermazioni sull’operatività dei controlli.

Capacità che risolvono problemi reali

Alcuni requisiti sono obbligatori negli ambienti regolamentati.

Immutable audit trail

Se le evidenze possono essere alterate senza che ciò venga registrato, non reggeranno bene a un esame accurato. Gli audit trail devono mostrare chi ha fatto cosa, quando e in relazione a quale record o controllo. Devono inoltre preservare sequenza e cronologia.

Questo conta durante eccezioni, remediation e cambi di ownership. Uno snapshot pulito dello stato attuale è utile, ma un investigatore o un auditor spesso ha bisogno di vedere come si è evoluto lo stato.

Strong encryption per le evidenze archiviate

Le evidenze spesso contengono dati di configurazione sensibili, dati personali, registri contrattuali o materiale relativo agli incidenti. Proteggere tali evidenze non è solo una buona pratica di sicurezza. Fa parte del mantenere un processo di conformità affidabile.

La crittografia è particolarmente importante quando le evidenze vengono esportate, condivise tra funzioni o conservate per lunghi periodi. I team dovrebbero sapere quali record richiedono una gestione più rigorosa e quali utenti sono autorizzati ad accedervi.

Role-based access control

RBAC è il punto in cui la responsabilità incontra l’enforcement tecnico. Senza di esso, troppe persone possono caricare, modificare, approvare o esportare materiale. Questo indebolisce l’integrità del controllo.

Un modello maturo limita le azioni per ruolo. I policy owner non hanno bisogno di tutti i permessi di export. I contributor delle evidenze non devono poter approvare i propri invii. I reviewer hanno bisogno di visibilità che gli operatori potrebbero non avere.

Versioning

Il versioning è spesso sottovalutato perché sembra amministrativo. Non lo è. Risponde a domande base dell’audit: quale versione era in vigore, quando è cambiata, chi ha approvato il cambiamento e quali evidenze si allineano a quella versione?

Senza versioning, i team discutono sulla memoria. Non è mai una posizione forte.

Le evidenze di terze parti sono di solito il punto debole

I controlli interni sono già abbastanza difficili. I controlli di terze parti lo sono ancora di più perché dipendi da tempi esterni, sistemi esterni e disciplina esterna.

Secondo i dati 2025 di PwC citati in questa analisi, il 62% dei fallimenti di audit IT nelle aziende regolamentate era riconducibile a lacune nella gestione del rischio di vendor e terze parti. Questo coincide con ciò che molti professionisti osservano sul campo. Le organizzazioni possono gestire bene le librerie di policy interne e poi fallire nell’ottenere evidenze affidabili da processor, service provider o partner operativi esternalizzati.

Un processo efficace per terze parti di solito richiede:

  • Workflow sicuri di richiesta: Le parti esterne devono sapere esattamente cosa è richiesto e per quando.
  • Cronologia verificabile degli invii: Serve prova di ciò che è stato ricevuto, non solo catene di email.
  • Accesso controllato agli artefatti condivisi: Le evidenze sensibili non dovrebbero circolare in modo informale.
  • Collegamento a obblighi e controlli: Le evidenze del vendor devono mappare il tuo ambiente di controllo, non restare in un repository di procurement scollegato dalla preparazione all’audit.

Il tool conta meno del record che preserva. Se un fornitore invia un file, hai bisogno di provenienza, contesto e un tracciato decisionale attorno a quel file.

Il tooling dovrebbe ridurre l’ambiguità, non nasconderla

Alcune piattaforme falliscono perché ottimizzano per le dashboard invece che per la tracciabilità. Valutano i controlli, colorano i rischi e generano riepiloghi attraenti, ma rendono difficile rispondere a domande specifiche su ownership, eccezioni o lineage dell’evidenza.

Un tooling utile fa il contrario. Rende visibili le relazioni. Quale policy richiede questo controllo? Quale controllo dipende da questo team? Quale vendor ha fornito questa evidenza? Quale eccezione è stata approvata, da chi e per quanto tempo?

Questo è l’aspetto del controllo dimostrabile nella pratica. Non presentazione. Integrità del record.

Prepararsi agli Audit come Verifica del Sistema

Se la preparazione all’audit continua a creare disruzione tra engineering, security, legal e operations, il modello operativo sta segnalando un problema di progettazione.

Un approccio migliore tratta l’audit come una verifica periodica di un sistema che già funziona. Le evidenze dovrebbero già esistere. L’ownership dovrebbe già essere assegnata. Le eccezioni dovrebbero già essere documentate. La preparazione all’audit diventa quindi il lavoro di selezionare, impacchettare e spiegare i record, non di crearli da zero.

Perché l’agilità conta

Questo è uno dei motivi per cui l’agilità di audit è diventata una questione pratica, non una soft aspiration. Un report ENISA 2025 citato in questa analisi ha rilevato che il 68% delle organizzazioni fatica con l’agilità di audit e solo il 22% utilizza sprint brevi compartmentalised per i processi IT ad alto rischio. Questo divario conta perché il lavoro di assurance moderno è raramente lineare. Una review DORA o NIS2 può innescare rapidamente richieste di follow-up, walkthrough di incidenti, campionamenti dei controlli e domande sui fornitori.

I team che riescono a lavorare in cicli brevi e controllati si adattano meglio. Non aspettano un enorme esercizio annuale. Validano regolarmente le aree ad alto rischio, migliorano continuamente la qualità delle evidenze e trattano la mancanza di tracciabilità come un difetto operativo.

La readiness per l’audit appare diversa nella pratica

Un programma evidence-first cambia la meccanica della preparazione:

  • Lo scope è già definito: Sai quali entità, sistemi, controlli e fornitori rientrano nel perimetro dell’audit.
  • Gli owner possono rispondere rapidamente: Le richieste vengono indirizzate a ruoli responsabili e non a mailing list generiche.
  • I pacchetti di evidenze sono curati, non improvvisati: Gli export riflettono un system of record controllato.
  • Le simulazioni diventano utili: Le esercitazioni sugli incidenti e i gap check testano le stesse strutture che supportano il lavoro formale di audit.

Questo stile operativo assomiglia a una buona validazione ingegneristica. Il punto non è solo affermare che qualcosa dovrebbe funzionare. È verificare che funzioni davvero. La distinzione è simile a quella discussa in how startup teams ship better software, dove verification e validation sono trattate come discipline separate ma collegate. La conformità beneficia della stessa disciplina. Convalidi l’intento di progettazione attraverso la policy e la definizione del controllo, poi verifichi l’operatività attraverso le evidenze.

Gli audit scorrono meglio quando confermano una realtà organizzata invece di mettere in luce una realtà improvvisata.

Il risultato pratico è meno drama. Non perché la regolamentazione sia diventata più leggera, ma perché l’organizzazione ha smesso di trattare l’assurance come un evento stagionale e ha iniziato a considerarla parte delle operations.

AuditReady è costruito per i team che vogliono questo tipo di modello operativo. Aiuta le organizzazioni regolamentate a organizzare le evidenze, mappare l’ownership, collegare le policy ai controlli, raccogliere in modo sicuro gli invii di terze parti e produrre pacchetti pronti per l’audit senza trasformare la preparazione all’audit in una caccia ai documenti. Se ti serve un sistema pratico per il lavoro su DORA, NIS2 o GDPR, AuditReady merita uno sguardo.