Supply chain due diligence: il contributo di consulenza, processi e Intelligenza Artificiale

La gestione dei rischi legati a fornitori e controparti è oggi una componente sempre più importante della continuità operativa delle imprese. Il tema è stato al centro della tavola rotonda “Supply chain due diligence: continuità e sicurezza della filiera per contenere il rischio aziendale”, che si è svolta l’11 giugno nell’ambito della Credit Week 2026.

Moderato da Debora Bionda, caporedattrice di CreditNews, il confronto ha coinvolto, tra gli altri relatori, anche Davide de Nittis, Partner di Excellence Edge, chiamato a illustrare come le società di consulenza possano supportare le organizzazioni nella gestione del rischio di controparte e quali opportunità possano derivare dall’impiego della tecnologia e dell’Intelligenza Artificiale.

Perché le aziende hanno bisogno di supporto nella gestione delle terze parti
Nel corso del primo giro di interventi, Debora Bionda ha chiesto a Davide de Nittis in che modo le società di consulenza possano sostenere concretamente le imprese nella gestione del rischio di controparte.
Prima di descrivere il contributo della consulenza, de Nittis ha evidenziato alcune criticità che rendono particolarmente complesso il governo delle terze parti e la prima riguarda la frammentazione dei processi.
Nelle banche, così come nelle grandi aziende e nelle utility, la gestione dei fornitori coinvolge generalmente più funzioni: Procurement, Risk Management, Compliance e Legal. Ciascuna di esse opera spesso attraverso strumenti, tempistiche e criteri propri, rendendo difficile costruire una visione unitaria del rischio.

De Nittis ha richiamato, a questo proposito, un dato secondo cui circa la metà delle aziende gestirebbe ancora le proprie terze parti attraverso fogli Excel e strumenti frammentati; una situazione che può rendere complesso integrare le informazioni e ottenere una fotografia completa e aggiornata delle relazioni con i fornitori.

Una seconda criticità riguarda quello che il Partner di Excellence Edge ha definito come il “vuoto dopo l’onboarding”.
La due diligence viene infatti concentrata prevalentemente nella fase precedente alla sottoscrizione del contratto, solo che — dopo l’avvio del rapporto — il monitoraggio rischia invece di diventare episodico o reattivo, attivandosi soltanto in seguito a un incidente o all’emergere di una criticità.
Il profilo di rischio di un fornitore può tuttavia cambiare nel tempo, anche rapidamente, in conseguenza di tensioni geopolitiche, attacchi informatici, difficoltà operative o nuovi obblighi normativi. Per questa ragione, ha spiegato de Nittis, la valutazione iniziale deve essere accompagnata da un controllo continuativo durante l’intero rapporto.

Il terzo elemento evidenziato riguarda la progressiva convergenza normativa.

La gestione strutturata del rischio legato alle terze parti è stata a lungo un’esigenza particolarmente rilevante per il settore bancario, anche in relazione alle linee guida EBA e al regolamento DORA. Oggi, con normative come NIS2, CSDDD e CSRD, logiche analoghe si stanno estendendo anche alle imprese appartenenti ad altri settori.
 Secondo de Nittis, molte realtà corporate si trovano quindi nella condizione di dover costruire rapidamente framework e processi che il settore finanziario ha sviluppato e consolidato nel corso degli ultimi anni.

Il ruolo della consulenza: metodologia, compliance e processi digitali
Dopo aver illustrato le principali aree di criticità, de Nittis ha spiegato che il supporto di una società di consulenza può svilupparsi su tre livelli.
 Il primo è quello metodologico.
Excellence Edge ha sviluppato un framework di Third Party Risk Management che accompagna l’intero ciclo di vita della relazione con la terza parte, dalla manifestazione del fabbisogno fino al reporting direzionale e alla definizione di un’eventuale exit strategy.

Il modello è articolato in nove fasi operative, all’interno delle quali vengono definiti ruoli, responsabilità, risultati attesi e criteri di escalation. Il risk assessment viene effettuato attraverso questionari e dimensioni di analisi che permettono di elaborare uno scoring ponderato, distinguendo il rischio inerente, le misure di mitigazione adottate e il rischio residuo.
 Il framework comprende inoltre una matrice che mette in relazione i servizi erogati dai fornitori con le funzioni aziendali interessate, consentendo di valutare l’impatto sulle attività critiche e di individuare eventuali rischi di concentrazione.

Il secondo livello riguarda la compliance by design.
De Nittis ha spiegato che i requisiti normativi non dovrebbero essere aggiunti al processo in un momento successivo, ma incorporati direttamente nella sua progettazione. La struttura metodologica può rimanere sostanzialmente stabile nei diversi contesti, mentre possono cambiare i parametri e i requisiti di riferimento: DORA ed EBA nel settore finanziario, NIS2 e CSDDD nel mondo corporate.

Il terzo livello è rappresentato dalla costruzione di un processo tech by design.
Il ruolo della consulenza non si esaurisce, quindi, nella definizione di un modello teorico. Occorre costruire anche il processo operativo e digitale che permetta di applicarlo concretamente attraverso workflow con più responsabili, basi dati condivise, tracciamento degli stati, alert automatici e audit trail.

È questo passaggio, ha sottolineato de Nittis, a trasformare un framework metodologico in un processo effettivamente eseguibile, misurabile e verificabile.

La tecnologia funziona soltanto se il processo è ben costruito
Nel secondo giro di interventi, Debora Bionda ha chiesto a de Nittis dove e in che modo la tecnologia possa essere impiegata efficacemente nella gestione dei rischi della supply chain.
 Il Partner di Excellence Edge ha aperto la propria risposta chiarendo innanzitutto dove la tecnologia rischia di non funzionare.

Uno strumento tecnologico, anche se particolarmente avanzato, non può compensare l’assenza di un processo o correggere automaticamente un modello organizzativo frammentato. Come spiegato durante il confronto, la tecnologia agisce come un acceleratore e moltiplica la qualità del processo sottostante; per questa ragione, nell’approccio di Excellence Edge, non rappresenta il punto di partenza, ma l’abilitatore di un framework metodologico e operativo definito a monte.

È in questa prospettiva che deve essere interpretato il principio del tech by design: la tecnologia viene progettata insieme al processo, anziché essere sovrapposta successivamente.

Le tre aree di maggiore impatto
De Nittis ha quindi indicato tre ambiti nei quali la tecnologia, e in particolare l’Agentic AI, può offrire un contributo significativo.

Il primo riguarda l’analisi documentale e la classificazione dei servizi.
Le aziende che lavorano con centinaia o migliaia di fornitori devono gestire una grande quantità di contratti, allegati tecnici, certificazioni e questionari di due diligence.

L’Intelligenza Artificiale può supportare la lettura e la classificazione di questi documenti, ricondurre i servizi a una tassonomia predefinita, individuare eventuali clausole mancanti e segnalare possibili non conformità rispetto ai requisiti normativi.

Il secondo ambito è quello del risk assessment quantitativo e scalabile.
Quando il numero di fornitori e di dimensioni da analizzare aumenta, la difficoltà principale riguarda la capacità operativa di raccogliere, normalizzare e confrontare i dati. Questionari digitali, scoring predefiniti, calcoli automatizzati e heatmap aggiornate in tempo reale possono rendere il processo più rapido, ma soprattutto più standardizzato e comparabile. In questo modo diventa possibile confrontare fornitori differenti attraverso criteri e scale di valutazione comuni.

Il terzo ambito riguarda il monitoraggio continuo e l’alerting predittivo.
L’integrazione di fonti esterne, come rating ESG, indicatori di rischio Paese, liste sanzionatorie e informazioni relative al rischio cyber, può consentire di aggiornare nel tempo lo scoring del fornitore. L’obiettivo è individuare tempestivamente il deterioramento di un profilo di rischio, prima che questo si traduca in un incidente o in un’interruzione operativa.
Si passa così da una valutazione effettuata in un preciso momento a un modello continuativo, coerente con l’evoluzione richiesta dai più recenti framework normativi.

Sei agenti specializzati a supporto del processo
De Nittis, infine, ha presentato l’approccio sviluppato da Excellence Edge attraverso una piattaforma proprietaria che integra sei agenti di Intelligenza Artificiale specializzati.
Ciascun agente è progettato per supportare una specifica fase del processo: dall’analisi dei contratti alla classificazione dei servizi, dalla gap analysis rispetto ai requisiti normativi all’individuazione dei finding, fino alla compilazione dei registri regolamentari.

Le diverse attività vengono coordinate all’interno di un workflow digitale articolato in cinque step, caratterizzato da responsabilità multiple, tracciamento degli avanzamenti e audit trail.

De Nittis ha concluso sottolineando come non si tratti di applicare un sistema di Intelligenza Artificiale generalista alla compliance, ma di sviluppare agenti specializzati, fondati sulla conoscenza dei processi di risk management e dei relativi framework normativi.

Dal confronto è quindi emersa la necessità di considerare la supply chain due diligence come un processo continuativo e integrato, nel quale metodologia, governance, compliance e tecnologia concorrano a proteggere la continuità operativa e a rafforzare la capacità delle organizzazioni di gestire i rischi legati alle proprie terze parti.