Stai cercando un Managed Service Provider e non sai da dove partire? Non sei solo: il mercato MSP in Italia è frammentato, i servizi sembrano tutti uguali e i prezzi variano senza una logica apparente. Ecco 15 domande concrete da fare al tuo potenziale MSP prima di firmare qualsiasi contratto — con le red flag che ti dicono quando scappare.
Indice dei Contenuti
Perché Serve una Checklist
La scelta dell'MSP è una delle decisioni IT più importanti per una PMI. Un MSP sbagliato non è solo un fornitore che funziona male: è un rischio per il tuo business. Se il backup non funziona e arriva un ransomware, non è il tecnico che paga: sei tu.
Il problema è che, sulla carta, tutti gli MSP sembrano uguali. Tutti "monitorano 24/7", tutti "gestiscono la sicurezza", tutti "fanno il backup". La differenza sta nei dettagli — e questi dettagli li scopri solo facendo le domande giuste.
Abbiamo creato questa checklist basandoci su 15 anni di esperienza come MSP e su centinaia di conversazioni con aziende che avevano scelto male il fornitore precedente. Per una panoramica completa su cosa fa un MSP, leggi la nostra guida alla scelta dell'MSP e la pagina sui vantaggi di un MSP.
Le 15 Domande da Fare al Tuo MSP
Fai queste domande durante il primo incontro. Le risposte ti diranno tutto quello che devi sapere. Per ogni domanda, trovi la spiegazione del perché è importante e la red flag che indica un problema.
Pubblicano i prezzi?
Un MSP serio non ha nulla da nascondere. Se i prezzi non sono pubblici o almeno comunicati in modo trasparente al primo incontro, probabilmente verranno gonfiati in base a quanto pensano tu possa pagare.
Red flag: "I prezzi li discutiamo dopo l'analisi dei vostri sistemi" senza dare nemmeno un range indicativo.
Che SLA offrono?
Lo SLA (Service Level Agreement) definisce i tempi di risposta e risoluzione. Senza SLA scritto, non hai nessuna garanzia. Chiedere: tempo di prima risposta (ideale: < 1 ora), tempo di risoluzione per criticita' (ideale: < 4 ore), disponibilita' del supporto (orario ufficio? H24?).
Red flag: "Rispondiamo il prima possibile" senza tempi scritti nel contratto.
Hanno un SOC o un servizio MDR?
Il SOC (Security Operations Center) o il servizio MDR (Managed Detection and Response) monitora la sicurezza 24/7 e risponde agli incidenti in tempo reale. Non tutti gli MSP lo offrono. Se la sicurezza e' una priorita' (e dovrebbe esserlo), verifica che il tuo MSP abbia almeno un servizio MDR attivo.
Red flag: "La sicurezza la gestiamo con l'antivirus" senza monitoraggio attivo degli endpoint.
Come gestiscono il backup?
Il backup e' la tua ultima linea di difesa. Chiedere: cosa salvano (tutti i dati? solo i server?), dove (on-site? off-site? cloud?), con che frequenza, per quanto tempo conservano i dati, se testano il restore regolarmente. Un backup non testato e' come un'assicurazione che non paga.
Red flag: "Facciamo il backup sul NAS in ufficio" senza copia off-site o test di restore.
Che certificazioni hanno?
Le certificazioni dimostrano competenza verificata. Non servono tutte, ma un MSP dovrebbe avere almeno le certificazioni dei vendor che usa (Microsoft, firewall, backup). Chiedere anche le certificazioni individuali dei tecnici, non solo quelle aziendali.
Red flag: Nessuna certificazione verificabile o certificazioni scadute.
Quanti clienti gestiscono?
Troppo pochi (< 10): poca esperienza e rischio di chiusura. Troppi (> 500): potresti essere un numero, non un cliente. L'ideale per una PMI e' un MSP con 50-200 clienti: abbastanza esperienza, ma ancora capacita' di dedicare attenzione al tuo caso.
Red flag: Non sanno dirti quanti clienti hanno o rifiutano di rispondere.
Sono specializzati nel tuo settore?
Un MSP che conosce il tuo settore capisce le tue esigenze senza che tu debba spiegarle. Sa quali gestionali usi, quali compliance devi rispettare, quali sono i rischi specifici. Non e' obbligatorio, ma e' un vantaggio concreto.
Red flag: "Facciamo tutto per tutti" senza nessuna specializzazione o case study nel tuo settore.
Offrono formazione cybersecurity?
Il 95% degli attacchi informatici inizia con un errore umano (phishing, credenziali deboli). Un MSP che non offre formazione ai tuoi dipendenti sta trascurando il rischio piu' grande. Chiedere: fanno simulazioni di phishing? Corsi periodici? Materiale formativo?
Red flag: "La formazione non e' di nostra competenza." Significa che non hanno un approccio olistico alla sicurezza.
Come gestiscono gli incidenti?
Quando succede un disastro (ransomware, breach, server giu'), serve un piano. Chiedere: hanno una procedura di incident response documentata? Chi viene contattato? Entro quanto tempo? Come comunicano con te durante l'emergenza? Fanno analisi post-incidente?
Red flag: "Ci pensiamo quando succede" senza procedura scritta.
Hanno un team dedicato o ruotano?
Avere un tecnico di riferimento che conosce la tua infrastruttura vale tantissimo. Non deve rileggere la documentazione ogni volta, conosce i tuoi problemi ricorrenti, sa dove mettere le mani. Chiedere: avro' un referente dedicato? Il team ruota o e' fisso?
Red flag: Ogni volta che chiami risponde un tecnico diverso che non sa nulla della tua azienda.
Report mensili inclusi?
Devi sapere cosa sta succedendo nella tua infrastruttura: quanti ticket, tempi di risoluzione, stato della sicurezza, stato del backup, raccomandazioni. Un MSP serio produce report mensili automatici e li discute con te periodicamente.
Red flag: "Se vuoi i report, costano extra" oppure nessun report previsto.
Supportano il cloud?
Anche se oggi sei tutto on-premise, domani potresti migrare al cloud. Il tuo MSP deve avere competenze cloud (Azure, AWS) per accompagnarti nella transizione. Chiedere: gestiscono infrastrutture cloud? Fanno migrazioni? Hanno certificazioni cloud?
Red flag: "Noi facciamo solo assistenza, per il cloud devi sentire qualcun altro."
Gestiscono compliance NIS2/GDPR?
La NIS2 e' in vigore e le sanzioni sono pesanti. Il GDPR lo e' dal 2018. Il tuo MSP dovrebbe aiutarti con: valutazione dei rischi, misure di sicurezza adeguate, documentazione, procedure di incident response, supporto in caso di audit. Non e' il tuo DPO, ma deve collaborare con lui.
Red flag: "La compliance non e' roba nostra, serve un avvocato." Vero in parte, ma l'MSP deve coprire la parte tecnica.
Quanto dista la sede?
Per interventi urgenti on-site (server che non riparte, rete giu', disastro), la distanza conta. Un MSP a 20 minuti di auto puo' intervenire in 1 ora. Uno a 2 ore di auto arriva a fine giornata. Per la gestione remota quotidiana la distanza non conta, ma per le emergenze si'.
Red flag: Sede a piu' di 1 ora di distanza senza tecnici di zona o partner locali.
Posso parlare con clienti referenze?
La prova definitiva: chiedi all'MSP 2-3 contatti di clienti simili a te (stesso settore, stessa dimensione). Un MSP serio li fornisce senza problemi. Quando li contatti, chiedi: sono soddisfatti? L'MSP rispetta gli SLA? Come gestiscono le emergenze? Cosa migliorerebbero?
Red flag: "Non possiamo per motivi di privacy" o rifiuto netto. Le referenze (con consenso del cliente) sono standard.
Come Dare un Punteggio
Dopo aver fatto tutte le 15 domande, assegna un punteggio da 0 a 2 per ogni risposta:
| Punteggio | Significato | Esempio |
|---|---|---|
| 0 | Red flag o risposta assente | Non sanno rispondere, rispondono in modo vago, o la risposta e' la red flag |
| 1 | Risposta accettabile | Rispondono in modo chiaro ma senza eccellere (es: SLA standard, backup base) |
| 2 | Risposta eccellente | Rispondono con dettagli, esempi concreti, documentazione a supporto |
Interpretare il punteggio totale
25-30 punti: MSP eccellente. Probabilmente e' la scelta giusta.
18-24 punti: MSP buono. Valuta se i punti deboli sono accettabili per te.
10-17 punti: MSP mediocre. Ci sono troppe aree scoperte. Continua a cercare.
Sotto i 10 punti: Scappa. Questo fornitore non è un MSP, è un tuttofare improvvisato.
Un consiglio: confronta almeno 2-3 MSP con la stessa checklist. Non firmare con il primo che incontri, anche se sembra bravo. Il confronto ti dà una prospettiva che altrimenti non avresti.
Cosa Controllare nel Contratto
Una volta scelto l'MSP, prima di firmare il contratto verifica questi punti:
Durata e rinnovo
Ideale: 12 mesi con rinnovo tacito e possibilita' di disdetta con 30-60 giorni di preavviso. Evita vincoli piu' lunghi di 24 mesi al primo contratto: non conosci ancora l'MSP.
SLA scritti con penali
Gli SLA devono essere nel contratto, non in un documento separato "indicativo". Ideale: penali automatiche (credito sulla fattura) se l'SLA non viene rispettato. Senza penali, lo SLA e' solo una promessa.
Cosa e' incluso e cosa e' extra
Deve essere cristallino: il canone copre X, Y e Z. Tutto il resto e' a parte. Chiedere esplicitamente: i cavi sono inclusi? Le trasferte? L'hardware sostitutivo? Gli interventi fuori orario?
Proprieta' dei dati e exit strategy
I tuoi dati restano tuoi. L'MSP deve consegnare: password di tutti i sistemi, configurazioni, documentazione, backup. Il periodo di transizione verso un nuovo fornitore deve essere previsto e definito (ideale: 30 giorni di affiancamento).
Clausole di riservatezza
L'MSP accede a TUTTI i tuoi dati. Deve esserci un NDA (Non-Disclosure Agreement) o una clausola di riservatezza forte. Verifica anche la gestione degli accessi: chi dell'MSP ha accesso ai tuoi sistemi? Quanto e' tracciato?
Responsabilita' in caso di incidente
Se l'MSP configura male il backup e perdi i dati, chi paga? La responsabilita' deve essere chiara. Verifica anche che l'MSP abbia un'assicurazione di responsabilita' civile professionale.
Come lavora BullTech
Noi di BullTech pubblichiamo i prezzi, offriamo SLA scritti con tempi garantiti, produciamo report mensili automatici, e non facciamo vincoli superiori ai 12 mesi. Se vuoi verificare di persona, ti mettiamo in contatto con i nostri clienti. Crediamo che un MSP debba trattenere i clienti con la qualità del servizio, non con le clausole contrattuali.
Domande Frequenti
Quanto costa un MSP per una PMI con 25 postazioni?
Il costo tipico di un MSP per una PMI con 25 postazioni va da 35 a 100 euro per utente al mese, a seconda dei servizi inclusi. Un piano base (monitoraggio, patch management, help desk) costa circa 35-50 euro/utente. Un piano completo (include backup, sicurezza, email security, SOC) costa 70-100 euro/utente. Per 25 utenti, il budget mensile va da 875 a 2.500 euro. Diffidate di MSP che offrono prezzi sotto i 25 euro/utente: probabilmente tagliano su monitoraggio, backup o sicurezza.
Qual e' la differenza tra MSP e azienda di assistenza informatica?
L'azienda di assistenza informatica tradizionale (break-fix) interviene quando qualcosa si rompe: chiami, viene il tecnico, paga a ore. L'MSP (Managed Service Provider) monitora e gestisce la tua infrastruttura in modo proattivo: previene i problemi prima che si verifichino, aggiorna i sistemi, gestisce la sicurezza, fa il backup. L'MSP lavora con un canone fisso mensile, l'assistenza break-fix a tariffa oraria. Il risultato: con un MSP hai meno downtime, costi prevedibili e sistemi sempre aggiornati.
Posso cambiare MSP se non sono soddisfatto?
Si', ma attenzione al contratto. Prima di firmare, verifica: durata del vincolo (idealmente non piu' di 12 mesi), clausola di uscita anticipata (costi?), proprieta' dei dati (i tuoi dati restano tuoi), periodo di transizione (l'MSP uscente collabora con quello entrante?), documentazione (ti consegnano password, configurazioni, inventari?). Un MSP serio ti facilita l'uscita perche' sa che trattenerti con vincoli contrattuali non e' una strategia sostenibile.
Un MSP locale e' meglio di uno nazionale?
Per una PMI, si'. Un MSP locale puo' intervenire fisicamente in sede in tempi brevi (entro 2-4 ore per emergenze), conosce il territorio e le esigenze delle aziende locali, puo' fare interventi on-site senza costi di trasferta eccessivi. Un MSP nazionale puo' offrire piu' risorse, ma la relazione e' meno diretta e i tempi di intervento on-site sono piu' lunghi. L'ideale e' un MSP locale con competenze e struttura da MSP nazionale.
Quali certificazioni deve avere un MSP?
Le certificazioni dipendono dai servizi offerti. Come minimo, un MSP dovrebbe avere: certificazioni dei vendor che usa (Microsoft Partner, WatchGuard Certified, Veeam Partner, ecc.), competenze dimostrabili in cybersecurity, personale con certificazioni individuali (CompTIA, Microsoft, vendor-specifiche). Le certificazioni aziendali come ISO 27001 o SOC 2 sono un plus importante ma non obbligatorio per MSP che servono PMI. Quello che conta davvero e' l'esperienza pratica: da quanti anni operano? Quanti clienti gestiscono?
CEO e Senior Technician di BullTech Informatica. 15 anni di esperienza nella gestione di infrastrutture IT per PMI lombarde.
Vuoi mettere alla prova un MSP? Inizia da noi: contattaci e facci tutte le 15 domande. Ti rispondiamo a tutte, senza girarci intorno. Per approfondire, leggi anche la nostra guida completa alla scelta dell'MSP e scopri cosa offre il nostro servizio MSP.