Il registro accessi come pilastro della due diligence

Chi gestisce stabilimenti produttivi, grandi cantieri o siti a rischio Seveso sa che la due diligence sui fornitori strategici non si esaurisce nella selezione iniziale. La vera sfida è il monitoraggio continuo. Ogni giorno, tecnici manutentori, squadre di pulizie, trasportatori e consulenti varcano i cancelli, spesso con accesso a zone critiche. Il registro visitatori tradizionale – cartaceo o digitale – non è solo un adempimento formale. Diventa una fonte di dati operativi che, se letta con metodo, può rivelare scostamenti, inefficienze e rischi nascosti.

Il D.Lgs. 81/2008 obbliga il datore di lavoro a valutare tutti i rischi, compresi quelli introdotti da imprese esterne (art. 26). L’art. 18 impone la vigilanza sul rispetto delle misure di sicurezza. E la norma ISO 45001, sempre più adottata anche in Italia, richiede processi per il controllo dei fornitori. In questo quadro, il registro degli accessi non è un semplice elenco di nomi: è la traccia oggettiva per verificare se quanto dichiarato dal fornitore corrisponde a quanto realmente accade. Senza un registro strutturato e verificabile, la due diligence rimane un esercizio cartaceo.

Indicatori di anomalia: cosa cercare nel flusso degli accessi

I dati di accesso parlano chiaro solo se sai cosa osservare. Ecco gli indicatori che, nella nostra esperienza sul campo, segnalano potenziali criticità.

  • Scostamenti di orario e permanenza: un manutentore programmato per due ore che esce dopo 30 minuti o dopo 4 ore, senza giustificativo, deve accendere un alert. Potrebbe aver lavorato in fretta (minor qualità) o aver avuto accesso a zone non autorizzate.
  • Accessi fuori fascia contrattuale: ingressi notturni o nel weekend non previsti dal contratto di servizio sono un campanello d’allarme, specie in siti con presenza ridotta.
  • Identità non corrispondenti: l’operatore che si presenta non è quello indicato nella nomina del fornitore o manca di formazione documentata. Il D.Lgs. 81/2008 richiede che il personale esterno sia adeguatamente formato (art. 37). Una rotazione improvvisa e non comunicata nasconde spesso carenze formative.
  • Frequenza anomala di badge smarriti: il fornitore che richiede con eccessiva regolarità badge temporanei potrebbe girare con personale non dichiarato o aggirare i controlli.
  • Dimenticanza del badge: se l’operatore “dimentica” sistematicamente il badge, la registrazione manuale è meno tracciabile e si presta a furbizie.

Ognuno di questi segnali deve attivare una verifica immediata perché l’anomalia di oggi può essere la non conformità di domani. Il registro digitale di Varcora, ad esempio, segnala automaticamente queste discrepanze e permette di bloccare l’accesso in tempo reale.

Audit a campione e verifica incrociata dei dati

Individuare anomalie è il primo passo. Poi bisogna verificare. L’audit a campione sui registri accessi è uno degli strumenti più efficaci e meno invasivi per testare l’affidabilità del fornitore. Ogni mese, si estraggono un certo numero di giornate o di fornitori e si incrociano i dati di presenza con altre fonti:

  • Documenti di lavoro: ordini di servizio, permessi di lavoro, DUVRI. L’ingresso rilevato corrisponde all’intervento autorizzato? La data e il nome combaciano?
  • Cronologia dei varchi: un accesso registrato al tornello principale ma non al varco del reparto produttivo indica che la persona non ha raggiunto la destinazione prevista. Il Regolamento UE 2016/679 (GDPR) consente questo monitoraggio se correttamente documentato nell’informativa e nella valutazione d’impatto.
  • Formazione e abilitazioni: incrociando il database del registro con l’elenco dei corsi di sicurezza validi, si scopre se l’addetto era ancora in regola il giorno dell’accesso.

Questa verifica incrociata, se fatta a campione e con cadenza regolare, diventa un potente deterrente. Il fornitore sa di essere monitorato e alza spontaneamente il proprio standard. In caso di contestazioni, il registro digitale datato e immodificabile fornisce una prova solida verso l’organo di vigilanza e dimostra la diligenza del datore di lavoro committente.

KPI per misurare l’affidabilità del fornitore attraverso gli accessi

Trasformare i dati di accesso in KPI significa passare da un controllo emotivo a una gestione oggettiva del rischio fornitore. Ecco gli indicatori che consigliamo di adottare e di inserire nei cruscotti periodici per il management.

  • Indice di conformità oraria: percentuale di ingressi e uscite entro la tolleranza definita dal contratto. Sotto il 90% scatta l’approfondimento.
  • Tasso di accessi non programmati: misurato sugli ingressi totali del fornitore. Un trend crescente indica perdita di controllo sulle attività.
  • Rapporto tra addetti dichiarati e addetti effettivamente transitati: rivela l’uso di personale non formalizzato. Il D.Lgs. 81/2008 all’art. 26 sanziona il committente che non verifica l’idoneità tecnico professionale.
  • Incidenza di registrazioni manuali (badge dimenticato, ospite senza pre-registrazione): più è alta, minore è la robustezza del sistema di controllo.
  • Tempo medio di permanenza per tipologia di intervento: scostamenti significativi dalla media storica segnalano inefficienze o soste in aree non pertinenti.

Stabilire KPI significa rendere trasparente la performance del fornitore e poterla discutere nei meeting di riesame, esattamente come si fa con la sicurezza sul lavoro. È un passo essenziale per le aziende certificate ISO 27001, che devono misurare l’efficacia dei controlli sugli accessi fisici alle aree contenenti informazioni critiche.

Integrare il registro per una due diligence continua

La due diligence sui fornitori strategici non può essere un’istantanea annuale. I rischi cambiano in fretta: un subappalto non dichiarato, l’assunzione di personale non formato, la pressione sui tempi che porta a scorciatoie pericolose. Il registro accessi, se progettato come sistema integrato, diventa il termometro quotidiano di questi cambiamenti.

Il vero valore è nella capacità di incrociare i dati in automatico e produrre alert predittivi. Un software moderno di gestione visitatori, come Varcora, non si limita a stampare badge. Raccoglie informazioni strutturate, associa ogni visita a un contratto o a un ordine, verifica in tempo reale la validità della formazione e dei documenti (con scadenza), e alimenta un database per audit e KPI. Così, quando il revisore ISO o l’ispettore del lavoro chiedono evidenze, l’azienda ha già tutto pronto, e la due diligence non è più un costo ma un asset di trasparenza verso clienti e autorità.

Tutto questo, sul piano operativo, si traduce in un controllo che non dipende dalla memoria di un addetto. Trasformare il registro accessi in uno strumento di due diligence continua richiede dati strutturati e regole automatiche: ogni scostamento di orario, accesso extra-contrattuale o permanenza fuori norma deve generare un alert, non restare in una colonna nascosta.

Con Varcora, il registro visitatori è progettato per incrociare automaticamente gli ingressi con le condizioni contrattuali, offrendo una visione oggettiva e sempre aggiornata del comportamento dei fornitori. Si passa così dalla verifica a campione al monitoraggio continuo, requisito indispensabile per le certificazioni ISO e per la sicurezza reale. Parlare con noi è il primo passo per adattare questi strumenti al tuo contesto operativo.

Accessi esterni ancora gestiti su carta?

Se nella tua azienda visitatori, fornitori e manutentori passano ancora da registri cartacei, Varcora può aiutarti a trasformarli in un processo digitale, ordinato e recuperabile quando serve.

Richiedi una demo →