Checklist Fornitore Digitale per PMI: Metriche, Contratto e Trasparenza nel 2026

Questa checklist è pensata per il titolare o il responsabile marketing di una PMI che deve scegliere un fornitore digitale (agenzia, studio, freelancer, piattaforma WaaS) in un mercato affollato di promesse simili. Non sostituisce un legale: ti aiuta a non dimenticare accessi, metriche, proprietà intellettuale, prestazioni misurabili e obiettivi di budget chiari. Ogni punto è collegato a domande da porre in call e a voci da cercare in contratto. Per le performance web useremo esclusivamente riferimenti documentali ufficiali Google su Core Web Vitals e misure sul tuo URL.

Alla fine trovi come si integra il modello RaaS Automazioni (canone Base 399€ + IVA/anno o E-commerce 599€ + IVA/anno, 3% su fatturato da nuovi clienti attribuiti), sempre secondo listino pubblico. Porta in call anche tempi di decisione interni e priorità del trimestre: aiutano il fornitore a proporti un perimetro realistico.

Accessi Analytics, Search Console, Tag Manager

Devi poter verificare traffico, query e conversioni senza intermediari opachi. Ideale: proprietà intestata all'azienda con ruoli al fornitore. In subordine, accessi amministrativi documentati e clausola di export dati a richiesta.

Verifica post-handover

Dopo il go-live, controlla filtri, esclusioni IP interne, eventi chiave (form, click-to-call) e che i goal riflettano il funnel reale.

Proprietà dominio, DNS e certificati

Il dominio deve essere intestato a te o con accesso registrante. Chiedi chi gestisce DNS, certificati TLS e rinnovi. Perdere il dominio è più grave di qualsiasi restyling grafico.

Repository, codice e licenze

Chiarisci se il codice è custom, da template o su piattaforma. Per codice custom, repository con history e licenze di terze parti (font, icon pack, librerie). Per piattaforme, chiedi export e costi di migrazione.

Backup e disaster recovery

Frequenza backup, retention, test di ripristino, RTO/RPO attesi. Un backup mai testato è ipotetico.

SLA, tempi di risposta e urgenze

Definisci canali (ticket, email), orari, classi di priorità (sito offline vs modifica testuale). Nessun SLA scritto = aspettative incongrue.

Privacy, cookie e DPA

Informativa aggiornata, registro trattamenti lato fornitori strumentali, accordi con processor se usi SaaS. Il GDPR (Reg. UE 2016/679) impone accountability: documenta ruoli e finalità.

Form e conservazione dati

Tempi di conservazione lead, base giuridica, diritti degli interessati e procedure di cancellazione.

Cookie e consenso

Banner e preferenze devono rispettare linee guida del Garante italiano e bloccare script non necessari prima del consenso ove richiesto.

Sicurezza, aggiornamenti e vulnerabilità

Piano patch, monitoraggio uptime, gestione segreti (API key), permessi utente. Con stack CMS, chiedi policy su plugin e aggiornamenti major.

Core Web Vitals e URL reali

Richiedi report Lighthouse/PageSpeed Insights su URL rappresentativi (homepage, pagina servizio, listing prodotti se e-commerce). Google documenta CWV come metriche di esperienza utente sul web; usarle come linguaggio condiviso tra marketing e sviluppo (fonti: web.dev, Search Central).

Contenuti e performance

Immagini pesanti e script marketing possono degradare LCP e INP: pianifica ottimizzazioni condivise.

SEO tecnica minima

Sitemap, robots, dati strutturati dove utili, hreflang se multilingua, canonical, meta base. Nessuna «garantia posizioni»: è pratica scorretta.

Tracciamento lead e CRM

UTM standard, form con notifiche, integrazione CRM, duplicati gestiti. Definisci cosa è lead qualificato vs contatto generico.

Attribuzione e commissioni

Se c'è compenso variabile, definisci regole, finestre temporali, eccezioni e reconciliazione. RaaS Automazioni applica 3% su fatturato da nuovi clienti attribuiti, con dashboard e procedure concordate.

Recesso, export e penali

Preavviso, fornitura pacchetto export, costi, penali proporzionate. Per clausole potenzialmente vessatorie valuta consulenza legale (Codice Civile, consumatori se applicabile).

Tabella riepilogo checklist

Template operativo RaaS Automazioni; adatta alle tue esigenze legali e organizzative.

Ruoli interni e responsabilità (RACI leggero)

Prima di firmare, definisci chi è responsabile di approvare testi, chi consultato per legale e HR, chi informato su go-live. Molti ritardi nascono perché il fornitore attende un approvatore che non sa di esserlo. Un semplice schema RACI su cinque attività (contenuti, privacy, analytics, CRM, go-live) riduce attriti. Inoltre stabilisci un budget di tempo interno: almeno due ore settimanali nel primo mese post-lancio.

Referente unico e escalation

Indica un referente con potere decisionale o un percorso di escalation chiaro. Le modifiche urgenti (sito offline, form rotto) non possono attendere comitati lunghi.

Subappalti e terze parti

Chiedi se il fornitore affida hosting, email, ads o sviluppo a terzi. Per ciascuno servono: nome legale, finalità, sede trattamento dati, DPA se trattano dati personali. La catena di responsabilità deve essere tracciabile, come richiesto dal principio di accountability del GDPR.

API e integrazioni

Per ogni integrazione (pagamenti, newsletter, mappe) verifica limiti di rate, costi variabili e dipendenze da chiavi API che devono restare di tua proprietà o condivise in vault sicuro.

Test di accettazione (UAT) prima del go-live

Definisci una checklist UAT: form inviati correttamente, email di notifica ricevute, redirect HTTPS, cookie banner funzionante, pagine legali collegate, tracciamento eventi critici. Ogni voce ha esito pass/fail firmato dal referente. Senza UAT formale, i bug in produzione diventano dispute su «chi doveva controllare».

Ambiente di staging

Preferisci fornitori che mostrano modifiche in staging prima della produzione, con URL protetto o basic auth.

Governance dei contenuti

Stabilisci tono di voce, glossario proibito (claim non provati), processo per aggiornare prezzi e scheda servizi. I contenuti influenzano SEO, ads quality score e conformità pubblicitaria. Una revisione trimestrale dei testi principali evita informazioni obsolete che possono esporre a contestazioni commerciali.

Incident response e log

Chiedi se esiste piano per data breach o compromissione: tempi di notifica, contenimento, comunicazione al Garante/interessati quando applicabile. Anche i log di accesso amministrativo aiutano a ricostruire incidenti: verifica retention e accessibilità in caso di dispute.

Versioning e rollback

Per aggiornamenti strutturali, chiedi se esiste procedura di rollback e snapshot pre-release.

Allineamento con obiettivi commerciali

Collega il sito a obiettivi numerici del piano commerciale: numero lead mensili, valore medio contratto, tasso di chiusura. Se il fornitore non sa quali numeri contano per te, tenderà a migliorare metriche di vanità poco utili al fatturato. Questo punto è centrale quando valuti anche una componente variabile sul fatturato: senza obiettivi condivisi, l'attribuzione diventa politica invece che operativa.

FAQ: checklist fornitore digitale

Fonti verificate

Due diligence su referenze e case study

Chiedi referenze verificabili: siti online, interlocutore, periodo di collaborazione. Dove possibile, verifica indipendentemente velocità e tracciamento base. Attenzione ai case troppo generici («settore manifatturiero» senza dettagli): possono essere legittimi ma difficili da validare.

Valuta anche la maturità del fornitore in gestione crisi: chiedi se hanno procedure per data breach, downtime prolungato, errore di deploy. Non serve un manuale da cento pagine: serve sapere chi chiama fuori orario e entro quante ore si attiva il rollback.

Subfornitori e responsabilità solidale

Se il fornitore affida hosting o sviluppo a terzi, chiarisci se resta unico interlocutore verso di te per SLA e dati personali (ruolo responsabile vs processor nella catena GDPR, da verificare con consulente privacy).

Accessibilità e usabilità: minimi da richiedere

Oltre alle WCAG, verifica focus visibile, etichette form, contrasto testo/sfondo su componenti reali (non solo su mockup). Un sito tecnicamente veloce ma illeggibile o non utilizzabile con tastiera perde conversioni e espone a contestazioni.

Chiedi se esistono test con utenti reali o almeno revisioni euristiche documentate. Non è obbligatorio in tutti i contratti, ma è un segnale di qualità del processo.

Mobile e form lunghi

Per lead B2B, i form lunghi su mobile abbandonano: valuta progressivi o salvataggio bozza se il fornitore propone soluzioni custom.

Piano di handover e knowledge transfer

Chiedi un documento di passaggio con: elenco account, credenziali (in modo sicuro), descrizione deploy, variabili ambiente, dipendenze, contatti di emergenza. Anche se resti con lo stesso fornitore a lungo, il handover protegge da assenze improvvise del referente tecnico. Per PMI che crescono, questo documento diventa prerequisito per assumere un internal owner digitale.

Il knowledge transfer non è una singola call: prevedi almeno due sessioni registrate (se consentito) e una checklist di verifica post-handover (es. «riesco a pubblicare una news», «riesco a leggere il report mensile»).

Continuità durante il cambio fornitore

In caso di migrazione, definisci un periodo di sovrapposizione breve con entrambi i fornitori solo se necessario e con regole su dati e accessi. Evita sovrapposizioni lunghe che moltiplicano costi e ambiguità di responsabilità.

Metriche di qualità del servizio (oltre al sito)

Oltre a CWV e SEO, traccia qualità del servizio: tempo medio di prima risposta ticket, percentuale di ticket chiusi entro SLA, numero di regressioni introdotte da release (dovrebbe tendere a zero). Questi dati sono utili in sede di rinnovo contrattuale: trasformano la discussione da opinione a fatti.

Se il fornitore rifiuta metriche di servizio, chiedi almeno report mensili strutturati con attività svolte e prossimi passi. L'assenza totale di cronaca operativa è un campanello d'allarme.

Allineamento con obiettivi HR

Se il digitale impatta su assunzioni o formazione (es. nuovo CRM), coinvolgi HR nella checklist così le scadenze contrattuali interne non collidono con go-live esterni.

Verifica pre go-live (ultime 48 ore)

Prima del lancio pubblico, ripeti test su: form in produzione, email di notifica, redirect HTTP/HTTPS, hreflang se multilingua, cookie banner in stato conforme, pagine 404 personalizzata, sitemap.xml aggiornata, file robots.txt, meta noindex rimossi da ambienti sbagliati, tracciamento eventi critici in preview/produzione. Un errore classico è lasciare noindex dopo migrazione.

Prepara un piano rollback: snapshot hosting, backup database se presente, note versione deploy. Anche progetti statici beneficiano di snapshot.

Comunicazione go-live

Avvisa vendita e customer care della data/ora: devono sapere dove indirizzare segnalazioni e quali messaggi usare con i clienti.

Post go-live e miglioramento continuo

Dopo 30 giorni, confronta KPI baseline vs attuali: traffico, lead, CWV, errori console noti. Programma interventi a priorità decrescente. Dopo 90 giorni, revisione strategica: cosa ha funzionato, cosa no, cosa imparato sui competitor nel frattempo.

Il miglioramento continuo non richiede budget infinito: spesso piccole modifiche a above-the-fold e form hanno impatto sproporzionato rispetto a grandi redesign.

Debito tecnico

Tieni un elenco di debito tecnico accettato temporaneamente (script terzi, immagini non ottimizzate) con owner e data di revisione: evita che diventi permanente.

Revisione annuale del contratto digitale

Programma ogni 12 mesi una revisione: KPI raggiunti, incident avvenuti, modifiche normative (privacy, cookie), aggiornamenti di stack, costi effettivi vs budget. Aggiorna il contratto o un allegato tecnico se il perimetro è cambiato. Questa pratica riduce sorprese al rinnovo e incentiva il fornitore a documentare il valore creato.

Se usi fee variabile, la revisione annuale include reconciliazione delle regole di attribuzione: ancora valide o da aggiornare per nuovi canali (es. messaggistica, marketplace)?

Benchmark interno

Confronta l'anno corrente con il precedente su costo per lead e valore medio contratto: sono metriche di business che trascendono il singolo fornitore e aiutano a decidere se raddoppiare investimento o cambiare strategia.

Continuità in caso di crisi o reputazione online

Chiedi se il fornitore ha esperienza in gestione incident (sito compromesso, ondata di recensioni, leak dati). Non serve un piano da cento pagine: serve sapere chi coordina, entro quante ore si comunica, come si documenta. Valuta anche procedure per aggiornamenti di emergenza senza bypassare test: il panico spinge a cambiare codice in produzione senza backup. Un fornitore maturo distingue tra hotfix e release pianificate. Sul piano reputazionale, chiarisci se il servizio include monitoraggio menzioni o se è un incarico separato: evita sovrapposizioni con agenzie PR senza confini. Per PMI, spesso basta un canale chiaro per segnalazioni clienti e tempi di risposta definiti. Collega queste procedure alla checklist privacy: una crisi dati personali segue percorsi legali precisi. Infine, verifica che il contratto non vieta di coinvolgere consulenti terzi in caso di incident: alcune clausole di esclusiva possono ostacolare interventi rapidi di sicurezza. La continuità non è solo uptime server: è capacità di decisione sotto stress con ruoli chiari.

Allineamento con fornitori di ads (se presenti)

Se esternalizzi ads, definisci con fornitore sito e fornitore ads chi possiede pixel, conversioni e audience. Evita doppi conteggi nei lead e conflitti su attribuzione. Richiedi report condivisi mensili con le stesse definizioni usate nel CRM.

In assenza di ads, documenta comunque il canale principale di acquisizione così il sito viene ottimizzato per quello e non per un generico «massimo traffico». Se usi più canali, definisci un modello di attribuzione semplice per la riunione mensile: anche una regola del tipo «primo touch per awareness, ultimo touch per conversione» va bene se tutti la accettano.

Conclusioni

La checklist trasforma il preventivo in un perimetro chiaro. Usala in ogni gara tra fornitori e aggiornala dopo incidenti o cambi organizzativi. Se vuoi un modello con fee e commissione legate ai risultati attribuiti, confronta il listino RaaS Automazioni. Conserva versioni numerate della checklist così ogni anno vedi cosa avete imparato e cosa va aggiunto (nuovi strumenti, nuove norme, nuovi canali). Condividila con il legale prima della firma se includi clausole personalizzate oltre al modello standard del fornitore. Infine, associa alla checklist un calendario: molte voci (backup testati, revisione cookie, rinnovo certificati) hanno scadenze periodiche che il contratto da solo non ricorda. Aggiungi promemoria su domini, scadenze contrattuali fornitore e rinnovi licenze software collegate al sito. Un promemoria annuale condiviso con amministrazione evita che pagamenti e rinnovi tecnici si perdano tra le scadenze operative quotidiane. Se gestite più sedi o marchi, duplica la checklist per ciascuna entità con le sue specificità contrattuali.