Governance IT Management IT PMI Outsourcing IT Strategia IT

Gestire l'IT senza un CTO: struttura minima per PMI sotto i 50 dipendenti

Gestire l'IT senza un CTO: struttura minima per PMI sotto i 50 dipendenti

Il 7 febbraio 2025 sono stato invitato a un incontro preliminare dal titolare di un'azienda veronese che gestisce una distribuzione specialistica di materiali per ristrutturazione edilizia - fatturato annuo di circa 11 milioni di euro, 38 dipendenti fra magazzino, amministrazione, vendita e ufficio tecnico, due punti vendita fisici più un e-commerce B2B. L'azienda aveva conquistato una crescita stabile del 12-14% annuo negli ultimi cinque anni puntando su qualità del servizio e consulenza tecnica specialistica al cliente finale. Il titolare mi ha descritto con molta chiarezza il suo dilemma: l'infrastruttura IT dell'azienda era cresciuta organicamente in 15 anni, gestita principalmente da un consulente esterno storico che era stato affidabile ma aveva annunciato l'intenzione di andare in pensione entro 18 mesi, e in azienda non c'era nessuno con un minimo di competenza tecnica sufficiente per coordinare l'evoluzione del sistema informativo. I suoi clienti stavano chiedendo funzionalità nuove (tracking ordini online, integrazioni con gestionali esterni, dashboard commerciali), i fornitori tecnologici proponevano strategie contraddittorie fra loro, e il titolare aveva la sensazione crescente di non essere più in grado di valutare quali investimenti IT facessero davvero senso per la sua azienda e quali fossero solo marketing di venditori.

Il dilemma del titolare veronese è esattamente il dilemma di una larghissima maggioranza di PMI italiane nella fascia 20-80 dipendenti: troppo piccoli per permettersi un Chief Technology Officer interno (il cui salario totale si aggira realisticamente fra 90 e 140 mila euro l'anno, più oneri e benefit), ma troppo grandi e troppo tecnologicamente dipendenti per accontentarsi di "mettere tutto in mano al consulente di fiducia" sperando che le scelte siano giuste. La soluzione che ho proposto al titolare dopo una valutazione di quattro ore, e che replico poi in forma simile su circa il 70% dei miei clienti PMI italiane, è un modello di governance IT ibrido - un CTO frazionale esterno (10-15 giornate al trimestre in media) che ricopre il ruolo strategico, un fornitore cloud gestito che ricopre il ruolo operativo-infrastrutturale, e una persona interna dedicata (un office manager IT o figura equivalente, non necessariamente tecnico senior) che coordina la comunicazione quotidiana. In tre mesi di implementazione distribuiti da marzo a maggio 2025 abbiamo costruito il modello, definito i processi, identificato i fornitori giusti, e avviato l'operatività. Al momento della retrospettiva di novembre 2025 (dieci mesi dal go-live), l'azienda ha completato tre progetti IT strategici senza overrun di budget, ha mantenuto operatività stabile dell'infrastruttura esistente senza incidenti significativi, e il titolare ha riacquistato la sensazione di controllo sulle decisioni tecnologiche della sua azienda.

Questo articolo descrive il modello di governance IT per PMI italiane sotto i 50 dipendenti, basato sull'esperienza di circa 30 implementazioni simili negli ultimi cinque anni. Il principio guida è uno: non tutte le PMI hanno bisogno di un CTO, ma tutte le PMI dipendenti dalla tecnologia hanno bisogno di una figura di governance tecnologica definita e responsabile. Assenza di governance esplicita significa che la governance viene fatta per default dal fornitore con più fatturato - una posizione in conflitto di interessi che nel lungo periodo costa molto cara.

Perché "chiamo il mio tecnico di fiducia quando serve" non è più un modello sostenibile nel 2026

Il modello storicamente adottato dalle PMI italiane fino agli anni 2010 - "abbiamo un consulente di fiducia che chiamiamo quando serve" - ha funzionato benissimo in un'epoca in cui la tecnologia aziendale era sostanzialmente un elemento di supporto (contabilità, gestionale ERP, email, sito vetrina). In quel contesto, la tecnologia era un cost center da minimizzare, e il consulente esterno che faceva il minimo necessario per tenere in piedi i sistemi era una scelta razionale. Nel 2026, per la stragrande maggioranza delle PMI italiane, questo modello è strutturalmente inadeguato per tre motivi convergenti.

Primo motivo: la tecnologia è diventata strategica per il modello di business. Anche un distributore specialistico come quello veronese non può più separare "IT" e "vendite" - l'e-commerce è il principale canale di acquisizione di nuovi clienti, l'integrazione con i gestionali dei clienti è un fattore competitivo, la velocità di risposta alle richieste del cliente dipende dall'efficienza dei sistemi interni. Quando la tecnologia è strategica, la governance della tecnologia deve essere strategica; non può essere delegata a un fornitore operativo. Secondo motivo: il panorama tecnologico è esploso in complessità. Nel 2010 le scelte IT di una PMI erano semplici (quale marca di server, quale gestionale locale, quale provider internet). Nel 2026 includono cloud vs on-premise, stack applicativo, strategia di backup, compliance GDPR/NIS2, integrazione AI, cybersecurity, mobile-first, API integrations. Nessun consulente singolo può avere competenza adeguata su tutto questo spettro, e affidare le decisioni al fornitore di turno produce incoerenza architetturale nel medio termine. Terzo motivo: il rischio regolamentare e di sicurezza è cresciuto enormemente. Sanzioni GDPR, requisiti NIS2, responsabilità civile per breach di dati, conseguenze reputazionali di incidenti pubblici - tutti questi rischi richiedono una governance che non può essere "risolta" dal consulente chiamato ad hoc. Se arriva un'istruttoria del Garante, avere una struttura di governance documentata è la differenza fra archiviazione e sanzione significativa.

L'alternativa che molte PMI considerano è assumere un CTO interno. Nella mia esperienza, questa scelta ha un punto di breakeven che si colloca mediamente intorno ai 60-80 dipendenti e ai 15-20 milioni di fatturato. Sotto quelle soglie, il CTO interno è sovradimensionato rispetto al volume reale di lavoro: la figura passa 30-40% del suo tempo produttivo in attività amministrative o in progetti "inventati per giustificare il ruolo", con ROI negativo sulla prima annualità. Sopra quelle soglie, il CTO interno diventa giustificato perché il volume di decisioni strategiche e di coordinamento operativo raggiunge massa critica. In mezzo - la PMI da 30-70 dipendenti - serve un modello intermedio, ed è esattamente quello che descrivo in questo articolo.

Se stai valutando la governance IT della tua PMI e vuoi un'analisi indipendente prima di prendere decisioni di assunzione strategiche, nel mio profilo professionale trovi il dettaglio dei progetti di consulting strategico e CTO frazionale che ho condotto su PMI italiane, con approccio calibrato sulla reale dimensione e complessità tecnologica del cliente.

Il modello a tre ruoli: CTO frazionale esterno, cloud gestito, office manager IT interno

Il modello di governance che ha funzionato sul cliente veronese - e su circa 30 altri clienti simili negli ultimi cinque anni - si basa su tre ruoli distinti con responsabilità chiaramente separate e modalità di ingaggio diverse. Il punto critico è che i tre ruoli non si sovrappongono e non possono essere collassati in uno solo: tentare di farlo è l'errore più comune ed è quello che porta al fallimento del modello.

Ruolo 1 - CTO Frazionale Esterno (10-15 giornate per trimestre). Questa figura è un consulente senior esterno con esperienza architetturale, di sicurezza e di strategia tecnologica, impegnato formalmente con contratto di consulenza trimestrale. Le sue responsabilità sono: definizione della roadmap tecnologica a 12-24 mesi, decisione degli standard e delle policy (quale cloud provider, quale stack di base, quale livello di compliance target), valutazione delle proposte dei fornitori prima della firma di contratti significativi, risposta ai problemi strategici imprevisti (incidente di sicurezza, richiesta compliance di cliente enterprise, valutazione M&A), produzione di documentazione formale per audit e conformità. Il CTO frazionale non fa operazioni quotidiane, non gestisce tickets di supporto, non amministra server - quel lavoro è del fornitore cloud gestito. Il CTO frazionale decide, il fornitore esegue. Il costo per il cliente è mediamente fra 24.000 e 40.000 euro l'anno in base al volume di giornate - significativamente inferiore al costo di un CTO interno ma adeguato al vero volume strategico di lavoro di una PMI di quella dimensione.

Ruolo 2 - Fornitore Cloud Gestito (continuous service). Questa figura è un'azienda specializzata in managed services che gestisce l'operatività quotidiana dell'infrastruttura cloud, dell'applicazione core aziendale, della sicurezza operativa. Le sue responsabilità sono: amministrazione di server e cloud (Hetzner, Digital Ocean, AWS, Azure), gestione backup e disaster recovery, monitoring 24/7, patch management, supporto L1 e L2 per problemi operativi, SLA contrattualmente definito per tempi di risposta e risoluzione. Il fornitore cloud gestito non prende decisioni strategiche - lavora dentro gli standard definiti dal CTO frazionale. Per il cliente veronese ho selezionato un fornitore con sede in Italia che gestisce l'infrastruttura su Hetzner (mantenendo GDPR compliance e costi contenuti), con canone mensile di circa 2.800 euro/mese che include hosting, monitoring e L1-L2 support. Il pattern è coerente con i principi che ho descritto nel mio articolo sull'amministrazione di sistema Linux per PMI senza DevOps dedicato, dove l'approccio è esternalizzare l'operatività ripetitiva mantenendo internamente il controllo strategico.

Ruolo 3 - Office Manager IT Interno (20-30% di una persona a tempo pieno). Questa figura è un dipendente dell'azienda - non necessariamente un tecnico senior - che coordina la comunicazione quotidiana fra l'azienda, il CTO frazionale esterno e il fornitore cloud gestito. Le sue responsabilità sono: raccogliere richieste e problemi dai colleghi, tradurli in ticket strutturati per il fornitore, escalare al CTO frazionale quando emergono questioni strategiche, tenere traccia dei progetti in corso, curare la documentazione operativa interna (procedure di accesso, lista fornitori, contatti di emergenza). Sul cliente veronese, questo ruolo è stato attribuito alla responsabile amministrativa con background contabile - persona già presente in azienda, con competenze relazionali e organizzative solide, disponibile per formazione tecnica di base. Il suo carico effettivo stimato è circa 8-10 ore a settimana, integrabile con le altre sue responsabilità, e l'investimento formativo iniziale è stato di circa 20 ore di training guidato da me nei primi due mesi di operatività.

Processi operativi: tre routine che tengono insieme il modello senza burocrazia eccessiva

Il modello a tre ruoli funziona bene solo se supportato da processi operativi leggeri ma strutturati. Nei miei clienti ho standardizzato tre routine che insieme coprono il 90% delle esigenze operative di governance in una PMI di questa dimensione, senza cadere nella trappola del process theater dove la burocrazia supera il valore prodotto.

Prima routine: stand-up trimestrale strategico (90 minuti). Ogni trimestre mi riunisco in presenza o videoconferenza con il titolare/CEO, l'office manager IT interno, e (se necessario) il referente del fornitore cloud. Il format è fisso: primi 20 minuti review dei risultati del trimestre precedente (cosa è stato fatto, cosa è slittato, impatti sul business), successivi 30 minuti analisi dei temi strategici emergenti (nuove richieste del mercato, rischi emersi, opportunità tecnologiche rilevanti), successivi 30 minuti definizione delle tre priorità del trimestre entrante con assegnazione di owner e deadline, ultimi 10 minuti questioni operative pendenti. Output: un documento di 2-3 pagine che il titolare firma digitalmente e che diventa il contratto di governance per il trimestre successivo.

Seconda routine: weekly operativo (30 minuti, via email o videoconferenza breve). Ogni venerdì mattina l'office manager IT manda un riepilogo standard a me e al fornitore cloud con lo stato della settimana: ticket aperti vs chiusi, progetti in corso, incidenti registrati, metriche di base dell'infrastruttura (uptime, performance, spazio disco residuo, stato backup). Se tutto è normale, il riepilogo è informativo e non richiede azione. Se ci sono anomalie, io o il fornitore interveniamo nelle 24 ore successive per discutere e decidere il piano di azione. Questo meccanismo cattura i problemi prima che diventino crisi, senza richiedere sessioni settimanali sincrone pesanti.

Terza routine: incident response procedure (attivata on-demand). Ogni incidente significativo - interruzione di servizio, sospetto security breach, indisponibilità di fornitore critico, minaccia regolatoria - attiva una procedura documentata che specifica: chi chiamare per primo (il fornitore cloud per operativo, io per strategico), quali informazioni raccogliere nei primi 15 minuti, chi notificare nelle prime 2 ore (titolare, DPO, clienti impattati), come documentare l'incidente per post-mortem, quali lezioni estrarre per prevenzione futura. Il documento è scritto una volta in fase di setup iniziale, aggiornato dopo ogni incidente reale, e vive nell'ambito del piano di disaster recovery documentato per la continuità operativa PMI che ho descritto in un articolo dedicato, che è il riferimento complessivo per la resilienza operativa.

Budget IT realistico: come si distribuiscono i costi in una PMI ben governata

Un tema che il titolare veronese mi ha chiesto esplicitamente in fase di valutazione preliminare era: quanto costa davvero questo modello, in termini aggregati, e come si confronta con le alternative? La risposta è necessariamente approssimativa perché ogni azienda ha esigenze specifiche, ma la struttura dei costi in una PMI ben governata di 30-50 dipendenti è abbastanza standardizzabile. Il budget IT annuo tipico si distribuisce così. Costo del CTO frazionale esterno: 24.000-40.000 euro. Canone fornitore cloud gestito comprensivo di hosting, monitoring, backup, L1-L2 support: 24.000-45.000 euro l'anno. Licenze software aziendali (gestionale ERP, CRM, office suite, cybersecurity tool): 15.000-35.000 euro l'anno. Progetti di sviluppo ad-hoc (integrazioni, nuove feature, ottimizzazioni): 20.000-60.000 euro l'anno in base all'intensità di evoluzione. Office manager IT interno: parte di costo del dipendente già in azienda, tipicamente 10-15.000 euro di allocazione del suo tempo. Totale aggregato: 93.000-195.000 euro l'anno in funzione della dimensione e complessità.

Il confronto con l'alternativa "CTO interno a tempo pieno" è il seguente: un CTO senior interno costa tipicamente 110-160.000 euro l'anno fra RAL, oneri e benefit. Mangia tutto quel budget senza coprire i costi infrastrutturali o di sviluppo, che restano in aggiunta. Il modello ibrido produce risultati equivalenti o superiori a costo inferiore del 30-45%, con il beneficio secondario che il know-how del CTO frazionale è continuamente aggiornato su decine di clienti paralleli - cosa che un CTO interno singolo non può mantenere. Il modello cambia convenienza sopra i 60-80 dipendenti, ma per la fascia sotto questa soglia è strutturalmente superiore.

Il risultato finale del cliente veronese a dieci mesi dal go-live è stato il seguente. Tre progetti IT strategici completati entro budget e tempi: integrazione con i gestionali dei due clienti enterprise più importanti (valore contrattuale mantenuto: 180.000 euro l'anno), deploy dell'e-commerce B2B con tracking ordini real-time (impatto sulle vendite online: +34% nei primi sei mesi), adeguamento completo di conformità GDPR con documentazione DPO-ready. Zero incidenti operativi significativi nei dieci mesi di operatività. Costo totale aggregato IT: circa 120.000 euro, inferiore del 15% rispetto al budget storico pre-intervento (che era distribuito su fornitori frammentati senza coordinamento). Il titolare ha dichiarato in fase di retrospettiva che per la prima volta in cinque anni sentiva di "capire davvero" cosa stava succedendo nell'IT della sua azienda, e di poter prendere decisioni strategiche informate senza dipendere dalla proposta del fornitore di turno.

Se guidi una PMI italiana nella fascia 20-80 dipendenti e stai valutando come strutturare la governance IT della tua azienda - sia che tu sia all'inizio del percorso, sia che tu stia cercando di razionalizzare un setup che è cresciuto disordinatamente - il modello a tre ruoli che ho descritto è probabilmente il più pragmatico ed efficace disponibile oggi sul mercato italiano. Non richiede assunzioni significative, non richiede rivoluzioni organizzative, non richiede stravolgimenti del parco fornitori esistente. Richiede disciplina nella definizione dei ruoli e coerenza nell'esecuzione dei processi di governance, e in cambio produce controllo strategico e coerenza tecnologica. Se vuoi confrontarti sul tuo caso specifico con una valutazione indipendente del tuo attuale modello di governance IT e ricevere una proposta di evoluzione calibrata sulla tua dimensione aziendale, contattami per una consulenza preliminare: in una sessione di analisi guidata produciamo insieme una mappatura del tuo attuale assetto, una stima realistica dei costi e benefici di evoluzione verso il modello ibrido, e un piano di implementazione gradualmente adottabile senza interruzioni operative del tuo business.

Ultima modifica: