Andrea Margiovanni .it
ITENFRDE
Una clessidra di vetro e ottone su una tavola di legno scuro. La sabbia chiara è quasi tutta nella parte inferiore. Il collo stretto al centro è la metafora del middle layer — il punto in cui il flusso si comprime, e da cui passa tutto.
Home / Tutti gli articoli / Compliance Mercato IT Advisory IT Sovranità Digitale ACN Numero № 65

La clessidra della compliance

Mappa del mercato italiano della compliance vista da dentro: l'advisory in alto, le piattaforme in basso, il middle layer schiacciato fra i due. E la specificità tutta italiana — ACN — che cambia le regole.

Andrea Margiovanni di Andrea Margiovanni
· 7 maggio 2026 · 8 min di lettura · 1.749 parole

Una mappa fatta da dentro

Un grande cliente del settore regolato ci ha chiesto, qualche mese fa, di mettere in sicurezza la piattaforma. La richiesta era posta nei termini consueti, sicurezza informatica e audit di conformità. Quello che alla fine si sono portati a casa è una DPA Appendice 2 articolata in diciannove sezioni, una gap analysis tecnica, una roadmap di remediation, una formalizzazione della catena di sub-processor scritta per reggere a un controllo serio. Non c’era una linea di codice nuova in quello che gli abbiamo consegnato, e nemmeno una piattaforma da licenziare. Carta strutturata e posizionamento contrattuale, prodotti in modo che fossero difendibili davanti a chiunque venisse a chiedere conto. La cosa interessante è che questo non era un’eccezione, era la regola che si è andata stabilendo nei nostri ultimi dodici mesi di lavoro.

Qualcuno potrebbe sostenere che la mappa di questo mercato esiste già e che basta leggere il Magic Quadrant di Gartner per i GRC tools, oppure consultare i report di Forrester sulle piattaforme di privacy management. Sarebbe una scorciatoia comoda e parzialmente fuorviante. Quei documenti fotografano il mercato globale delle piattaforme, dove ci sono ServiceNow, MetricStream, OneTrust, Drata, e Optro che ha appena rinominato AuditBoard nel marzo scorso. Il mercato italiano della compliance ha invece una struttura sua, plasmata dall’Agenzia per la Cybersicurezza Nazionale, dal recepimento di NIS2 con il decreto legislativo 138 del 2024, dal peso dominante della pubblica amministrazione sul totale degli acquisti, dalla velocità irregolare con cui le direttive europee vengono operativizzate dai clienti finali. Per leggerlo serve una mappa fatta da dentro.

In alto: l’advisory specialistica

Mi sembra utile guardarlo come una clessidra. In alto si è formato uno strato spesso di advisory specialistica. Le Big4, Deloitte, PwC, EY, KPMG, hanno practice GRC che ormai sono indistinguibili nelle proposte commerciali e si fanno concorrenza più sui nomi dei senior partner che sulle metodologie. Accanto a loro, e in alcuni casi a un livello qualitativamente superiore, operano le boutique italiane strutturate. P4I del gruppo Digital360 dichiara oltre centosessanta professionisti sul proprio sito e vende un brand metodologico chiamato Advisory Engine, con un prodotto a catalogo registrato come Compliance360. ICTLC ha consolidato il taglio legal-tech che oggi è di moda, ma quando ha cominciato non lo era. Spike Reply opera dentro il gruppo Reply mantenendo identità riconoscibile, e copre l’intero spettro della cybersecurity e della protezione dei dati con un peso significativo sui dossier financial e manifatturieri. Deda Tech ha scelto la strada del team multidisciplinare, dove legali ed economisti siedono accanto agli ingegneri, e nelle interviste pubbliche dichiara apertamente di non vendere soluzioni tecniche ma fiducia. La frase suona come marketing, e corrisponde al posizionamento reale.

Quello che questi soggetti vendono è interpretazione. Non un software che fa qualcosa, ma una persona riconoscibile, capace di tradurre una norma nei termini specifici della tua filiera e di sostenere il tavolo di negoziazione su un Data Processing Agreement con un cloud provider americano senza cedere quello che non si dovrebbe cedere. I margini sono alti e la scalabilità è bassa. La dipendenza dal singolo nome con la barba grigia o con il curriculum accademico è strutturale al modello. La crescita avviene per cooptazione, hiring di nomi pesanti, acquisizioni di studi più piccoli che portano in dote portafogli clienti consolidati. È un meccanismo che assomiglia più al mondo legale che al mondo del software.

In basso: le piattaforme

In basso si è formato lo strato delle piattaforme. Le proiezioni di IntelMarket Research valutano il mercato globale dei GRC platform a 16,7 miliardi di dollari nel 2024 con orizzonte 2032 a 32,8 miliardi e tasso composto del 9,9 per cento, e altre stime danno numeri sensibilmente diversi a seconda del perimetro che includono, ma la direzione è quella. ServiceNow GRC è il default per chi già utilizza ServiceNow per l’IT service management, e questo rappresenta una porzione significativa dell’enterprise italiano. MetricStream copre il segmento delle multinazionali con programmi GRC maturi. OneTrust ha trasformato il GDPR in prodotto e ora si sta riposizionando sull’AI governance. Drata e Vanta automatizzano SOC2 e ISO 27001 per startup e scale-up, con evidenza raccolta in continuo e prezzi SaaS che entrano nel budget di un CTO senza dover passare dal CFO. La parte italiana di questo strato è sottile. Il mercato italiano del software dedicato alla compliance non ha prodotto player di scala internazionale, e i tentativi locali restano confinati a singole verticali o a singoli clienti.

Il middle layer compresso

Tra questi due strati, dove la clessidra si stringe, si trova il middle layer, e qui sta la dinamica interessante. È lo strato del software custom per la compliance, dei gestionali GDPR fatti su misura, delle piattaforme verticali per ISO 27001 sviluppate da software house italiane di medie dimensioni. Per anni è stato uno strato confortevole. Il cliente non si fidava delle piattaforme americane per ragioni di sovranità del dato, le Big4 costavano troppo per il mid-market, e una software house locale che ti consegnasse il portale GDPR brandizzato era la soluzione naturale. Oggi questo strato è compresso da entrambi i lati simultaneamente. Da sotto perché Drata fa SOC2 a una frazione del costo di un gestionale custom, e le startup non hanno alcun motivo di farsi sviluppare nulla di proprietario per una funzione commodity. Da sopra perché quando il problema diventa serio, una DPIA difendibile o una negoziazione contrattuale con Microsoft che non lasci buchi, il cliente capisce che il software non basta e che gli serve una persona che parli la sua lingua e firmi documenti che reggano.

ACN, e il mercato dentro al mercato

Quello che rende la mappa italiana strutturalmente diversa da quella globale è ACN. Il Regolamento unico per le infrastrutture digitali e i servizi cloud, decreto direttoriale 21007 del 27 giugno 2024, in regime ordinario dal primo agosto dello stesso anno, ha creato un mercato dentro al mercato. La pubblica amministrazione può acquistare servizi cloud solo se qualificati QC1, QC2, QC3 o QC4, erogati su infrastrutture adeguate AI1 fino ad AI4, secondo una matrice che lega la classificazione del dato al livello di servizio ammesso. Aruba ha qualificato ai livelli più alti, Polo Strategico Nazionale gestisce i dati classificati come strategici, una manciata di altri provider sta riempiendo le caselle restanti del catalogo. Per i system integrator italiani che lavorano con la PA la scelta concreta diventa binaria. Si rivende il cloud qualificato di qualcun altro accettando margini compressi e un ruolo da implementer, oppure si costruisce un’advisory che orienti il cliente PA nella scelta architetturale capitalizzando la conoscenza del catalogo qualificato come asset distintivo. Quando ho preparato per Pescara Multiservice il proposal di hosting cloud ACN-qualificato basato su Aruba VPC al livello QC3, contro il listino reale ARB-11504-1 di 217,38 euro al mese, la parte di valore che il cliente comprava era il mio lavoro di traduzione tra le sue esigenze applicative e i requisiti del catalogo. L’infrastruttura era commodity. L’interpretazione no.

Cosa fanno gli system integrator

A questo punto si capisce cosa sta succedendo agli system integrator italiani e perché. I grandi, Reply, Engineering, Almaviva, NTT Data Italia, Accenture, hanno già practice GRC interne che competono direttamente con le Big4, e in alcuni casi le hanno superate sui contratti pubblici. Spike Reply è l’esempio canonico di questo movimento, ma non l’unico. I medi come Deda Tech, Var Group, Lutech costruiscono team multidisciplinari e rivendono la propria identità di trusted advisor con un linguaggio nuovo. Il fatturato di implementazione resta significativo, ma il margine alto si trova dove vendi giorni di interpretazione e non sprint di sviluppo. I piccoli si trovano davanti a una scelta più stretta. Possono diventare reseller di qualcun altro perdendo identità. Possono restare implementer specializzati su una verticale dove la profondità di dominio compensa la mancanza di scala. C’è poi una terza strada, più rischiosa delle altre, che è trasformarsi in advisory boutique e vendere conoscenza prima e implementazione dopo, rinunciando a una parte di fatturato certo in cambio di un posizionamento ancora incerto. La maggior parte non sta scegliendo, sta ricevendo passivamente il movimento del mercato. In Oltrematica la scelta l’abbiamo fatta verticalmente, sanità privata e pubblica amministrazione locale, con un investimento serio nella documentazione di compliance come prodotto. Quella DPA, la formalizzazione a cinque livelli per una catena di sub-processor che attraversa tre società dello stesso gruppo industriale, l’analisi del nuovo template DPIA che l’EDPB ha adottato il 10 marzo e pubblicato il 14 aprile in consultazione fino al 9 giugno, sono tutti pezzi di lavoro che cinque anni fa avremmo fatto come accessorio del progetto principale. Oggi sono il progetto principale, e il software viene dopo, ammesso che venga.

Dove migra il valore, e cosa non so del 2027-28

C’è una conseguenza di tutto questo che vale la pena rendere esplicita. Il valore nel mercato italiano della compliance sta migrando dai due estremi della clessidra. Le piattaforme internazionali spingono verso il basso il costo dell’evidenza, e questa pressione non si fermerà perché il loro modello di business dipende dall’automazione progressiva. Le boutique advisory e le practice GRC dei system integrator grandi spingono verso l’alto il prezzo dell’interpretazione, e non c’è un’innovazione tecnologica all’orizzonte che riduca il costo di un’opinione firmata da un nome riconoscibile. Quello che resta in mezzo, il software custom per la compliance, ha davanti una biforcazione. Può diventare specialistico dentro una verticale fino al punto di non essere più sostituibile dalle piattaforme generaliste, oppure può essere assorbito dentro un’offerta advisory come capability invece che come prodotto autonomo. Il dato del Politecnico di Milano che stima il segmento cyber e data protection italiano a 2,78 miliardi di euro nel 2025 con crescita del dodici per cento non distingue questi strati nelle sue rilevazioni, e questo è probabilmente uno dei motivi per cui le aziende del middle layer continuano a leggere i numeri come buone notizie quando invece dicono qualcosa di più sottile.

La frase più onesta che posso scrivere sulla configurazione di questo mercato nel 2027 e nel 2028, quando il Cyber Resilience Act sarà operativo e l’AI Act in piena enforcement, è che non lo so. Mi sembra plausibile che si formi un middle layer riconfigurato, dove strumenti come Claude Code, GitHub SpecKit e i loro derivati permetteranno a software house come la nostra di produrre artefatti di compliance trattati come codice, versionati, testati, generati da specifiche formali tracciabili. È una direzione su cui sto investendo personalmente e che racconto qui sopra da diversi mesi. Ma è anche possibile che il middle layer collassi del tutto e che il mercato italiano si polarizzi su due lati come è successo in altri mercati maturi prima del nostro. Tra dodici mesi questa mappa andrà rifatta. Sarà uno degli esercizi che farò.

Cosa ti porti a casa

  • Il mercato italiano della compliance ha la forma di una clessidra: advisory specialistica spesso in alto (Big4 più boutique come P4I, ICTLC, Spike Reply, Deda Tech), piattaforme globali (ServiceNow, OneTrust, Drata, Vanta) in basso, e un middle layer schiacciato dei gestionali custom italiani.

  • Quello che le boutique advisory vendono non è software, è interpretazione: una persona riconoscibile capace di tradurre una norma nei termini specifici della tua filiera e di tenere il tavolo su un Data Processing Agreement con un cloud provider americano senza cedere ciò che non si dovrebbe cedere. Margini alti, scalabilità bassa, dipendenza strutturale dai nomi pesanti.

  • Il middle layer del software custom è compresso da entrambi i lati. Dal basso perché Drata fa SOC2 a una frazione del costo di un gestionale su misura; dall’alto perché quando il problema diventa serio — una DPIA difendibile, una negoziazione contrattuale con Microsoft che non lasci buchi — il software non basta, serve una persona che firmi documenti che reggano davanti a chiunque venga a chiedere conto.

  • ACN, con il Regolamento unico per le infrastrutture digitali (decreto direttoriale 21007 del 27 giugno 2024) e la matrice QC1-QC4 / AI1-AI4, ha creato un mercato dentro al mercato. La PA può comprare cloud solo qualificato. Per gli system integrator italiani la scelta concreta diventa binaria: reseller a margini compressi, oppure advisory che capitalizza la conoscenza del catalogo come asset distintivo.

  • Il valore migra dai due estremi della clessidra. Le piattaforme spingono al ribasso il costo dell’evidenza, le boutique e le practice GRC dei grandi system integrator spingono al rialzo il prezzo dell’interpretazione. Quello che resta in mezzo si biforca: specializzazione verticale fino al punto di non essere sostituibile, oppure assorbimento dentro un’offerta advisory come capability invece che come prodotto autonomo.

Domande e risposte

Perché il Magic Quadrant di Gartner non basta a leggere il mercato italiano della compliance?

Quei documenti fotografano il mercato globale delle piattaforme: ServiceNow, MetricStream, OneTrust, Drata, Optro che ha appena rinominato AuditBoard nel marzo scorso. Il mercato italiano ha invece una struttura sua, plasmata dall’Agenzia per la Cybersicurezza Nazionale, dal recepimento di NIS2 con il decreto legislativo 138 del 2024, dal peso dominante della pubblica amministrazione sul totale degli acquisti, dalla velocità irregolare con cui le direttive europee vengono operativizzate dai clienti finali. Per leggerlo serve una mappa fatta da dentro.

Cos'è ACN, e perché ridisegna il mercato italiano del cloud?

L’Agenzia per la Cybersicurezza Nazionale, con il Regolamento unico per le infrastrutture digitali e i servizi cloud (decreto direttoriale 21007 del 27 giugno 2024, in regime ordinario dal primo agosto 2024), ha creato un mercato dentro al mercato. La pubblica amministrazione può acquistare servizi cloud solo se qualificati QC1, QC2, QC3 o QC4, erogati su infrastrutture adeguate AI1 fino ad AI4, secondo una matrice che lega la classificazione del dato al livello di servizio ammesso. Aruba ha qualificato ai livelli più alti, Polo Strategico Nazionale gestisce i dati strategici, una manciata di altri provider riempie le caselle restanti del catalogo. Per gli system integrator italiani la scelta concreta diventa binaria: rivendere cloud qualificato di altri con margini compressi, oppure costruire un’advisory che orienti il cliente PA nella scelta architetturale capitalizzando la conoscenza del catalogo come asset distintivo.

Perché il middle layer del software custom è compresso?

Per anni è stato uno strato confortevole. Il cliente non si fidava delle piattaforme americane per ragioni di sovranità del dato, le Big4 costavano troppo per il mid-market, e una software house locale che ti consegnasse il portale GDPR brandizzato era la soluzione naturale. Oggi è schiacciato da entrambi i lati. Da sotto perché Drata fa SOC2 a una frazione del costo di un gestionale custom, e le startup non hanno alcun motivo di farsi sviluppare nulla di proprietario per una funzione commodity. Da sopra perché quando il problema diventa serio — una DPIA difendibile, una negoziazione contrattuale con Microsoft che non lasci buchi — il cliente capisce che il software non basta e che gli serve una persona che parli la sua lingua e firmi documenti che reggano.

Quali scelte hanno davanti gli system integrator italiani piccoli?

Tre, con costi diversi. Possono diventare reseller di qualcun altro perdendo identità. Possono restare implementer specializzati su una verticale dove la profondità di dominio compensa la mancanza di scala. Oppure — terza strada, più rischiosa delle altre — possono trasformarsi in advisory boutique e vendere conoscenza prima e implementazione dopo, rinunciando a una parte di fatturato certo in cambio di un posizionamento ancora incerto. La maggior parte non sta scegliendo: sta ricevendo passivamente il movimento del mercato.

Cosa potrebbe succedere al middle layer nel 2027-28?

Non lo so. Mi sembra plausibile che si formi un middle layer riconfigurato, dove strumenti come Claude Code, GitHub SpecKit e i loro derivati permetteranno alle software house di produrre artefatti di compliance trattati come codice — versionati, testati, generati da specifiche formali tracciabili. È una direzione su cui sto investendo personalmente e che racconto qui sopra da diversi mesi. Ma è anche possibile che il middle layer collassi del tutto e che il mercato italiano si polarizzi su due lati come è successo in altri mercati maturi prima del nostro. Tra dodici mesi questa mappa andrà rifatta.

L'autore

Andrea Margiovanni

Andrea Margiovanni

Lavoro a fianco di team che disegnano sistemi sotto AI Act, CRA, NIS2, GDPR. La regola non è una checklist: è un vincolo architetturale, e va portato a bordo prima del design, non dopo.

Vai al percorso
Correlati
·10 MIN

L'umano è una posizione

Sono ateo, vengo dalla filosofia, lavoro nella compliance europea. La prima enciclica di Leone XIV sull'intelligenza artificiale non l'ho...

Intelligenza Artificiale · AI Act · Sovranità Digitale · Compliance · Etica · Filosofia Della Tecnica
·6 MIN

Dodici mestieri in cerca di mercato

Il primo standard nazionale europeo sui profili professionali dell'AI è uscito il 30 aprile. Vale la pena prenderlo sul serio, e vale anc...

AI Act · Intelligenza Artificiale · Compliance · Normative Europee · Mercato IT · Lavoro
·20 MIN

L'inganno del contratto

Sul perché il contratto di fornitura software, così come lo abbiamo conosciuto, ha smesso di essere lo strumento principale della relazio...

Compliance · PLD · AI Act · CRA · Diritto Digitale
© 2026 Andrea Margiovanni Realizzato con cura, a mano