Policy di Procurement IT di Gruppo
Pacchetto onboarding IT Gonzato · Fase P2 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Definire chi approva cosa negli acquisti IT del Gruppo Gonzato / Ind.i.a SpA (~24 società, split societario), introdurre soglie di spesa, un iter di acquisto tracciabile e una firma contratti centralizzata. Obiettivo dichiarato: fermare gli acquisti "a relazione personale" (fornitore scelto per conoscenza, senza confronto né contratto), che generano lock-in, spesa non censita e rischio audit/compliance.
Principio guida
Nessun acquisto IT (hardware, software, licenze, servizi cloud, MSP, connettività, consulenze) parte senza: (1) richiesta tracciata, (2) approvazione secondo soglia, (3) contratto/ordine scritto. Nessuna eccezione "urgenza" senza sanatoria a posteriori entro 5 giorni lavorativi.
Soglie di approvazione (starter — da validare con CdA)
| Soglia (importo annuo o una tantum) | Chi approva | Vincoli |
|---|---|---|
| < €1.000 | Team IT (referente di funzione) | Registrazione a registro acquisti · no contratto pluriennale |
| €1.000 – €10.000 | Responsabile IT di Gruppo (Aldo) | Almeno 1 preventivo alternativo consigliato · DPA se tratta dati |
| > €10.000 | CdA / Direzione (con istruttoria Responsabile IT) | Min. 2-3 preventivi · contratto firmato · valutazione NIS 2 supplier |
| Qualsiasi importo con dato personale/OT critico | Responsabile IT + [da compilare: DPO/referente privacy] | DPA obbligatorio · assessment fornitore (vedi nis2-supplier-assessment.md) |
| Rinnovo automatico software esistente | Responsabile IT (verifica) | Va comunque censito in license-compliance-check.md |
Nota split societario: la soglia si applica per singola società acquirente, ma la centralizzazione richieste passa dal Responsabile IT di Gruppo per evitare acquisti duplicati tra le [da compilare: N] società.
Iter di acquisto (workflow standard)
- Richiesta — chi ha bisogno compila la scheda richiesta (sotto) e la invia al referente IT.
- Istruttoria IT — verifica se esiste già licenza/contratto (rischio doppio acquisto), stima costo annuo reale (non solo primo anno).
- Preventivi — raccolti secondo soglia (0 / 1+ / 2-3).
- Approvazione — firma secondo tabella soglie.
- Contratto/ordine — firmato prima dell'attivazione. Nessun servizio parte in produzione senza contratto.
- Censimento — voce inserita in registro licenze/asset +
dpa-register.mdse tratta dati. - Review annuale — vedi
sla-review-template.mdper fornitori critici.
Scheda richiesta acquisto (template)
| Campo | Valore |
|---|---|
| Richiedente / funzione | [da compilare] |
| Società acquirente | [da compilare] |
| Cosa (prodotto/servizio) | [da compilare] |
| Fornitore proposto | [da compilare] |
| Esiste già in Gruppo? (sì/no) | [da compilare — controllare registro licenze] |
| Costo primo anno / a regime | [da compilare] |
| Tratta dati personali? (sì/no) | [da compilare → se sì, DPA] |
| Fornitore critico NIS 2? (sì/no) | [da compilare → se sì, assessment] |
| Soglia / approvatore | [da compilare] |
Firma contratti
- Contratti IT firmati solo dai soggetti autorizzati per soglia (no firme "di cortesia" da chi non ha delega).
- Repository contratti centralizzato: [da compilare: cartella/DMS condiviso, es. area riservata Gruppo].
- Ogni contratto deve avere: durata, condizioni di recesso, clausola dati (se applicabile), SLA (se servizio critico).
Regola anti "relazione personale"
Un fornitore storico non è esente dall'iter. Alla prima occasione utile ogni fornitore "a relazione" (nessun contratto scritto, scelto per conoscenza del responsabile IT attuale o del team IT) va: censito, contrattualizzato, e messo a confronto almeno una volta con un'alternativa. Elenco fornitori da regolarizzare: [da compilare durante discovery].
Da compilare in azienda
- ☐ Validare soglie €1k/€10k con CdA e realtà spesa Gruppo
- ☐ Mappare fornitori "a relazione" esistenti senza contratto
- ☐ Definire repository contratti centralizzato
- ☐ Nominare referente privacy/DPO per soglia dati