Il vendor lock-in non è un concetto astratto da convegno. È la situazione concreta in cui ti trovi quando vuoi cambiare gestionale, cloud o consulente IT, e scopri che i tuoi dati sono in un formato proprietario, i processi sono stati costruiti attorno a quello specifico strumento, e il costo di uscita — in tempo, denaro e rischio operativo — è diventato proibitivo. A quel punto non sei più tu a scegliere: sei tu ad accettare.

Il problema italiano: il fornitore unico piace, ma ha un prezzo nascosto

Secondo una ricerca di Var Group ed Excellera Intelligence su 300 aziende europee, il 51% delle imprese italiane preferisce affidarsi a un unico fornitore IT per gestire tutta la propria infrastruttura digitale. In Germania e Spagna la tendenza è opposta: il 70% e il 67% delle aziende, rispettivamente, scelgono specialisti distinti per ogni area tecnologica.

Il fornitore unico ha un vantaggio reale: meno interlocutori, meno coordinamento, meno gare. È comprensibile, soprattutto per chi ha poche risorse interne da dedicare all'IT. Ma ha uno svantaggio strutturale: più dipendi da un solo soggetto, meno potere contrattuale hai nel tempo.

Il meccanismo è semplice. All'inizio il fornitore è competitivo, reattivo, motivato a conquistarti. Dopo due o tre anni, quando i tuoi processi sono costruiti su quella piattaforma, i prezzi salgono e la qualità del servizio si stabilizza al livello che il fornitore considera sostenibile per lui — non necessariamente accettabile per te. Cambiare, a quel punto, costa troppo. E lui lo sa.

I tre tipi di lock-in che non si vedono subito

Non tutti i lock-in sono uguali. Vale la pena distinguerli perché si affrontano in modi diversi.

  • Lock-in sui dati. I tuoi dati sono salvati in un formato che solo quel software sa leggere. Esportarli richiede lavoro tecnico, tempo e a volte la collaborazione del fornitore stesso — che non ha incentivi ad aiutarti ad andartene.
  • Lock-in sul fornitore di implementazione. Capita spesso con i gestionali ERP: il software in sé potrebbe anche essere cambiato, ma quella versione, con quelle personalizzazioni, funziona solo con quel rivenditore specifico. Se il rapporto si deteriora, sei in difficoltà anche se il contratto con il software house è regolare.
  • Lock-in sul cloud. Spostare workload da un provider cloud a un altro non è mai gratuito. Ci sono costi di uscita (egress fee), formati non compatibili e architetture pensate per funzionare bene solo in quell'ambiente. L'87% degli IT manager italiani considera la portabilità cloud una priorità assoluta — un dato che fotografa quanto il problema sia sentito anche da chi gestisce l'IT delle aziende più strutturate.

Cosa chiedere a un fornitore prima di firmare

La fase di selezione è l'unico momento in cui hai piena leva contrattuale. Una volta firmato, il potere si sposta. Usa quel momento per fare domande scomode — e valuta le risposte con attenzione.

  • In che formato posso esportare i miei dati, e quanto costa farlo? Se la risposta è vaga o il fornitore sembra sorpreso dalla domanda, è un segnale.
  • Posso cambiare partner di implementazione senza cambiare software? Fondamentale per i gestionali. Se la risposta è no, il lock-in è doppio.
  • Cosa succede al mio servizio se la tua azienda viene acquisita o chiude? Le PMI spesso lavorano con fornitori piccoli. Non è catastrofismo: è prudenza.
  • Quali standard aperti usa la tua soluzione? Un fornitore che lavora su standard aperti (API documentate, formati interoperabili) rende molto più semplice un'eventuale migrazione futura.
  • Hai certificazioni verificabili? ISO 27001, ISO 9001, qualificazione ACN: sono criteri oggettivi che il Voucher Cloud e Cybersecurity 2026 del MIMIT usa già per selezionare i fornitori abilitati. Se il tuo fornitore non ne ha nessuna, chiediti perché.
Un fornitore che risponde male alle domande sull'uscita è un fornitore che non vuole che tu esca. Prima lo sai, meglio stai.

Il caso ERP: dove il lock-in fa più danni

Circa il 49% delle PMI italiane usa un ERP strutturato. Per il resto, la gestione aziendale si regge su Excel, fogli separati e software non integrati. Entrambe le situazioni nascondono rischi.

Chi ha un ERP, però, si trova spesso in una posizione peggiore di quanto immagini: le stime indicano che la maggioranza delle implementazioni ERP nelle PMI non raggiunge gli obiettivi prefissati, e i costi reali tendono a superare significativamente il preventivo iniziale. La causa principale, nella maggior parte dei casi, non è il software in sé: è la scelta del fornitore e il modo in cui è stato strutturato il progetto.

Immagina di aver personalizzato il tuo ERP in modo massiccio nel corso degli anni. Ogni modifica è stata fatta da quel fornitore specifico, con quella logica specifica. Cambiare, ora, non significa solo migrare i dati: significa ricostruire anni di personalizzazioni. È qui che il lock-in diventa economicamente paralizzante.

La prevenzione è più semplice della cura: limitare le personalizzazioni al minimo indispensabile, documentarle e verificare periodicamente che il fornitore non sia l'unico a conoscerle.

Sicurezza e lock-in: il rischio che si moltiplica

C'è un aspetto del lock-in che viene spesso trascurato: il suo impatto sulla sicurezza informatica. Il Rapporto Clusit 2025 ha documentato un aumento significativo degli attacchi informatici gravi in Italia, con le PMI tra i bersagli più colpiti — in parte proprio perché meno protette delle grandi organizzazioni.

Un fornitore che ti tiene legato a soluzioni proprietarie non aggiornabili, o che gestisce la sicurezza come un servizio accessorio non trasparente, aumenta concretamente la tua esposizione al rischio. Se non puoi verificare come vengono gestiti i tuoi dati, se non hai accesso ai log di sicurezza, se gli aggiornamenti dipendono dalla buona volontà del fornitore — stai affidando la tua sicurezza a qualcuno senza la possibilità di controllarlo.

La regola pratica è questa: un buon fornitore IT non dovrebbe mai essere l'unico a sapere cosa sta succedendo sulla tua infrastruttura. Trasparenza e accesso ai dati operativi non sono optional — sono una condizione minima.

Criteri pratici per una scelta più solida

Non esiste il fornitore perfetto. Ma esistono criteri che riducono il rischio in modo misurabile. Eccoli in ordine di priorità:

  1. Verifica le certificazioni. ISO 27001 e ISO 9001 sono uno standard minimo accettabile per chi gestisce dati aziendali. Non sono garanzie assolute, ma sono verificabili da terze parti.
  2. Chiedi referenze specifiche nel tuo settore. Un fornitore che ha lavorato con aziende simili alla tua — per dimensione, settore, modello operativo — ha meno probabilità di sorprenderti negativamente.
  3. Leggi il contratto con attenzione alla clausola di uscita. Dove sono i tuoi dati? In quanto tempo te li consegnano alla fine del rapporto? In che formato? Questi tre punti valgono più di qualsiasi SLA sulla disponibilità del servizio.
  4. Separa il consulente dall'implementatore, quando puoi. Chi ti consiglia quale strumento scegliere non dovrebbe essere lo stesso soggetto che poi ti vende l'implementazione. Il conflitto di interesse è evidente.
  5. Preferisci contratti con revisione annuale. Un impegno pluriennale blindato riduce la tua capacità di reagire se il servizio peggiora. Meglio un contratto rinnovabile annualmente, anche se costa leggermente di più.

Nessuno di questi criteri elimina il rischio completamente. Ma applicarli insieme riduce la probabilità di trovarsi, tra tre anni, a dover scegliere tra un fornitore insoddisfacente e un cambiamento impossibile.

La dipendenza tecnologica è inevitabile: usi strumenti esterni, e questo è normale e spesso conveniente. Il punto è che quella dipendenza deve essere scelta consapevolmente, con uscite praticabili — non costruita per default da chi ha tutto l'interesse a tenerti dentro.