Definition

Il rapporto SOC 2 arriva al revisore quasi sempre dopo che la pianificazione è già chiusa. Il cliente ne ha uno, il fornitore cloud lo pubblicizza sul sito, e qualcuno nel team di audit lo allega al fascicolo come "evidenza dei controlli IT". Il problema è che il SOC 2 non è uno standard di revisione: è una dichiarazione volontaria del fornitore secondo i criteri AICPA "trust services". La responsabilità di stabilire se quei controlli rispondono ai rischi identificati nel cliente resta in capo al revisore, sempre.

Come funziona, e perché il fascicolo lo usa

Un'organizzazione di servizi (data center cloud, processore di pagamenti, piattaforma SaaS) incarica un service auditor indipendente di esaminare i controlli interni e produrre il rapporto. Il fornitore sceglie quali dei cinque criteri AICPA includere nello scope: i fornitori cloud generici si fermano spesso a sicurezza e disponibilità, escludendo privacy e integrità di elaborazione perché non rilevanti per il modello di servizio.

Il Tipo I fotografa il design dei controlli a una data specifica, di solito la chiusura del rapporto. Dice "questi controlli esistono" ma non "questi controlli funzionano". Il Tipo II copre un periodo continuativo di almeno sei mesi, testa l'operatività e dichiara se i controlli sono stati efficaci durante il periodo. Per un fascicolo di revisione che ha bisogno di reliance sui controlli, il Tipo I non basta. Lo IFAC e gli ISA hanno la stessa logica: il design è il punto di partenza, non l'evidenza.

Il revisore che valuta un rapporto SOC 2 deve verificare quattro cose. Che il service auditor sia indipendente e qualificato. Che il periodo di copertura del Tipo II sia adeguato (idealmente sei-dodici mesi che si sovrappongono all'esercizio del cliente). Che i controlli descritti coprano effettivamente i rischi identificati nel memorandum di pianificazione (è qui che cade la maggior parte dei fascicoli). Che la data di chiusura del rapporto non si distanzi dalla data di valutazione del revisore di più di tre-sei mesi. Oltre questa soglia serve una bridging letter o procedure aggiuntive presso il fornitore.

Il SOC 2 non è un sostituto della valutazione di conformità normativa. Un fornitore può avere un SOC 2 perfetto e non rispettare il GDPR. Sono universi separati: il SOC 2 attesta che i controlli funzionano secondo i criteri AICPA scelti dal fornitore; il GDPR è una norma vincolante che richiede controlli specifici (data processing agreement, breach notification entro 72 ore, gestione dei diritti dell'interessato). Il fascicolo che tratta il SOC 2 come surrogato della conformità GDPR sbaglia bersaglio.

Esempio pratico: valutazione di un SOC 2 con gap GDPR

Cliente: Innovazioni Digitali S.r.l., e-commerce con sede a Milano, FY2024, ricavi EUR 18M. Utilizza la piattaforma cloud statunitense CloudServe Inc. per dati cliente, transazioni di pagamento e registri di inventario.

Fase 1: identificazione dei rischi presso il cliente

La valutazione del rischio ISA Italia 315 individua tre rischi significativi sul fornitore. Violazione di sicurezza con esposizione dei dati cliente. Interruzione di servizio superiore a quattro ore. Corruzione dei dati transazionali di pagamento.

Nota di documentazione: nel memorandum di pianificazione, paragrafo "rischi su servizi esternalizzati", evidenza richiesta SOC 2 Tipo II con copertura minima sei mesi.

Fase 2: ottenimento e lettura del rapporto

CloudServe consegna un SOC 2 Tipo II concluso il 30 novembre 2024, con periodo di copertura dal 1° gennaio al 30 novembre 2024. Service auditor: studio statunitense con peer review pubblicato. Lo scope copre Sicurezza (autenticazione multi-fattore, crittografia in transito e a riposo, monitoraggio accessi), Disponibilità (backup ogni quattro ore, failover geografico testato mensilmente, RTO massimo due ore), Integrità di Elaborazione (validazione transazioni, riconciliazioni giornaliere, log delle modifiche). Il rapporto attesta efficacia operativa per tutti i controlli durante il periodo.

Nota di documentazione: SOC 2 Tipo II CloudServe Inc., riferimenti pagina 8 (Sicurezza), 12 (Disponibilità), 15 (Integrità). Mappatura controllo-rischio: violazione sicurezza coperta da crittografia + monitoraggio; interruzione coperta da backup + failover RTO 2h; integrità transazionale coperta da validazione + riconciliazione.

Fase 3: la complicazione che cambia il piano

Il revisore confronta i controlli del SOC 2 con i rischi del cliente e trova due aree non coperte. Prima, il SOC 2 non descrive controlli specifici GDPR (data processing agreement, gestione dei diritti dell'interessato, breach notification). CloudServe è statunitense, non ha incentivo a documentare conformità GDPR nel SOC 2. Seconda, il periodo del rapporto si chiude il 30 novembre, mentre la chiusura dell'esercizio Innovazioni Digitali è il 31 dicembre. Un mese di gap.

Il gap di un mese è gestibile con comunicazioni periodiche del fornitore. Il gap GDPR è strutturale e richiede evidenza separata.

Nota di documentazione: il SOC 2 Tipo II copre rischi IT generici. Conformità GDPR richiede evidenza ulteriore, non sovrapponibile. Acquisita certificazione ISO 27001 di CloudServe (rilevante per crittografia e accesso). Esaminato il DPA (Data Processing Agreement) tra Innovazioni Digitali e CloudServe per verificare clausole GDPR. Conclusione: controlli IT idonei per i rischi identificati, conformità GDPR documentata separatamente.

Fase 4: conclusione e firma

Il revisore conclude che il SOC 2 Tipo II fornisce evidenza sufficiente per i rischi IT identificati, integrato dalla certificazione ISO 27001 e dalla revisione del DPA per la parte GDPR. Il gap di un mese (dicembre) è gestito tramite conferma scritta di CloudServe sull'assenza di modifiche significative ai controlli e con la verifica di assenza di incidenti riportati nel periodo. Il fascicolo include la mappatura controllo-rischio e la documentazione del razionale per ogni evidenza ottenuta o esclusa.

Cosa rileva il revisore e cosa rileva l'ispettore

Rapporti SOC 2 scaduti accettati senza valutazione di controlli compensativi. Un Tipo II concluso quattordici mesi prima della data di audit non è evidenza dello stato attuale dei controlli. Il PCAOB ha documentato negli ispettivi internazionali casi in cui revisori hanno utilizzato rapporti SOC 2 obsoleti e successivamente sono emerse violazioni di sicurezza presso il provider. La regola operativa: oltre i sei mesi dalla chiusura del rapporto, serve una bridging letter o procedure dirette. Sopra i dodici, il rapporto non basta da solo.

Confusione tra Tipo I e Tipo II. Il Tipo I dice che i controlli esistono. Il Tipo II dice che hanno funzionato. I team junior li trattano come equivalenti perché entrambi hanno l'attestato del service auditor. Non lo sono. Un SOC 2 Tipo I in un fascicolo di revisione consente di documentare il design dei controlli, ma non l'efficacia operativa. Per il reliance sui controlli ai sensi dell'ISA Italia 330, il Tipo II è quasi sempre necessario.

Mancata mappatura tra controlli del rapporto e rischi del cliente. Il rapporto SOC 2 può essere tecnicamente impeccabile e completamente irrilevante per il fascicolo, se i controlli descritti non corrispondono ai rischi identificati. Capita con i fornitori cloud orizzontali (servizi standard per migliaia di clienti): il SOC 2 documenta i controlli generici della piattaforma, ma il rischio specifico del cliente (ad esempio, l'integrità delle transazioni di un certo modulo personalizzato) non viene testato. Questa è la lacuna più comune nei fascicoli che vediamo, e il rilievo ispettivo cade sempre sulla mappatura assente, mai sul rapporto in sé.

Dove gli studi non sono d'accordo

Sul gap di copertura tra il periodo del rapporto e l'esercizio del cliente, gli studi italiani si dividono. Una scuola accetta che una bridging letter del fornitore copra fino a tre mesi di gap senza procedure aggiuntive, sulla base che il rischio di modifica significativa dei controlli in un trimestre sia trascurabile per fornitori consolidati. Un'altra scuola, più cauta, esige procedure dirette presso il fornitore (test di dettaglio, walkthrough) per qualunque gap superiore a sei settimane, perché la bridging letter è un'attestazione del management del fornitore, non un'evidenza testata. Entrambe le posizioni hanno difensori: la prima privilegia la praticabilità commerciale; la seconda privilegia la robustezza metodologica davanti a un controllo di qualità del MEF. Quando il partner non si è schierato in policy d'ufficio, il manager applica il proprio giudizio. È uno dei punti dove i fascicoli di studi diversi divergono di più.

La pressione che produce l'errore

Il SOC 2 viene chiesto al cliente al momento della pianificazione. Spesso arriva tardi, in piena busy season, quando il manager ha già tickato la voce "evidenza controlli IT" nel piano di lavoro. La tentazione è allegare il rapporto e proseguire, perché tornare a metter pressione sul cliente significa rallentare la consegna. Quando le carte sono leggere su un cliente con servizi esternalizzati, il rilievo del controllo qualità arriva qui. Non è un errore di metodologia: è un errore di sequenza temporale tra arrivo del rapporto e chiusura del fascicolo.

SOC 2 vs SOC 3

Il SOC 3 è la versione pubblica e sintetica del SOC 2: stesso attestato, descrizioni operative tagliate. È pensato per il marketing del fornitore (logo sul sito, brochure commerciale), non per il fascicolo di revisione. Un revisore che riceve un SOC 3 al posto del SOC 2 non ha evidenza utilizzabile ai sensi dell'ISA Italia 315: manca proprio il dettaglio dei controlli testati. Va richiesto il SOC 2 completo.

Termini correlati

- Service auditor: il revisore indipendente che emette il rapporto SOC 2. - User organization: l'organizzazione cliente che utilizza i servizi del provider e il cui revisore valuta i controlli. - Criteri di fiducia AICPA: le cinque categorie (sicurezza, disponibilità, integrità di elaborazione, riservatezza, privacy) definite dall'AICPA. - Tipo II: il formato che copre un periodo di almeno sei mesi e attesta l'efficacia operativa. - Bridging letter: dichiarazione del fornitore che attesta la continuità dei controlli oltre il periodo del rapporto.

Termini correlati nel glossario ciferi

- Valutazione del rischio di controllo: come il revisore valuta l'efficacia dei controlli interni presso il cliente e presso i provider. - Outsourcing IT e continuità aziendale: valutazione dei rischi presso fornitori cloud e data center. - Sicurezza dei dati e violazioni: evidenze sulla perdita di dati presso provider terzi.

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.