← Indice pacchetto onboarding

Policy di Procurement IT di Gruppo

Pacchetto onboarding IT Gonzato · Fase P2 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Definire chi approva cosa negli acquisti IT del Gruppo Gonzato / Ind.i.a SpA (~24 società, split societario), introdurre soglie di spesa, un iter di acquisto tracciabile e una firma contratti centralizzata. Obiettivo dichiarato: fermare gli acquisti "a relazione personale" (fornitore scelto per conoscenza, senza confronto né contratto), che generano lock-in, spesa non censita e rischio audit/compliance.

Principio guida

Nessun acquisto IT (hardware, software, licenze, servizi cloud, MSP, connettività, consulenze) parte senza: (1) richiesta tracciata, (2) approvazione secondo soglia, (3) contratto/ordine scritto. Nessuna eccezione "urgenza" senza sanatoria a posteriori entro 5 giorni lavorativi.

Soglie di approvazione (starter — da validare con CdA)

Soglia (importo annuo o una tantum)Chi approvaVincoli
< €1.000Team IT (referente di funzione)Registrazione a registro acquisti · no contratto pluriennale
€1.000 – €10.000Responsabile IT di Gruppo (Aldo)Almeno 1 preventivo alternativo consigliato · DPA se tratta dati
> €10.000CdA / Direzione (con istruttoria Responsabile IT)Min. 2-3 preventivi · contratto firmato · valutazione NIS 2 supplier
Qualsiasi importo con dato personale/OT criticoResponsabile IT + [da compilare: DPO/referente privacy]DPA obbligatorio · assessment fornitore (vedi nis2-supplier-assessment.md)
Rinnovo automatico software esistenteResponsabile IT (verifica)Va comunque censito in license-compliance-check.md

Nota split societario: la soglia si applica per singola società acquirente, ma la centralizzazione richieste passa dal Responsabile IT di Gruppo per evitare acquisti duplicati tra le [da compilare: N] società.

Iter di acquisto (workflow standard)

  1. Richiesta — chi ha bisogno compila la scheda richiesta (sotto) e la invia al referente IT.
  2. Istruttoria IT — verifica se esiste già licenza/contratto (rischio doppio acquisto), stima costo annuo reale (non solo primo anno).
  3. Preventivi — raccolti secondo soglia (0 / 1+ / 2-3).
  4. Approvazione — firma secondo tabella soglie.
  5. Contratto/ordine — firmato prima dell'attivazione. Nessun servizio parte in produzione senza contratto.
  6. Censimento — voce inserita in registro licenze/asset + dpa-register.md se tratta dati.
  7. Review annuale — vedi sla-review-template.md per fornitori critici.

Scheda richiesta acquisto (template)

CampoValore
Richiedente / funzione[da compilare]
Società acquirente[da compilare]
Cosa (prodotto/servizio)[da compilare]
Fornitore proposto[da compilare]
Esiste già in Gruppo? (sì/no)[da compilare — controllare registro licenze]
Costo primo anno / a regime[da compilare]
Tratta dati personali? (sì/no)[da compilare → se sì, DPA]
Fornitore critico NIS 2? (sì/no)[da compilare → se sì, assessment]
Soglia / approvatore[da compilare]

Firma contratti

Regola anti "relazione personale"

Un fornitore storico non è esente dall'iter. Alla prima occasione utile ogni fornitore "a relazione" (nessun contratto scritto, scelto per conoscenza del responsabile IT attuale o del team IT) va: censito, contrattualizzato, e messo a confronto almeno una volta con un'alternativa. Elenco fornitori da regolarizzare: [da compilare durante discovery].

Da compilare in azienda