Data room SOC 2: cos'è la certificazione, perché conta, provider conformi
SOC 2 Type II è la certificazione di sicurezza più richiesta dagli uffici acquisti americani. In Italia non è un prerequisito di legge, ma sempre più presente nei contratti enterprise.
Cos'è SOC 2 e perché esiste
SOC 2 (System and Organization Controls 2) è un report di audit definito dall'AICPA — l'American Institute of CPAs — che valuta i controlli di un'organizzazione su cinque trust services criteria: sicurezza, disponibilità, integrità del processo, riservatezza, privacy.
Diversamente da ISO 27001 (uno standard internazionale), SOC 2 è di matrice nordamericana. È nato per dare ai clienti enterprise USA una garanzia sui fornitori cloud che gestiscono i loro dati. Negli ultimi anni si è diffuso anche in Europa, in particolare nei rapporti con corrispettivi americani.
Type I vs Type II: la differenza che conta
Quando un provider dichiara "SOC 2 compliant" senza specificare, conviene chiedere il report. Type I senza Type II è un punto di partenza, non un arrivo.
- SOC 2 Type I: fotografia istantanea — l'auditor verifica che i controlli siano progettati correttamente in un singolo momento. Più rapido da ottenere (3‑6 mesi).
- SOC 2 Type II: l'auditor verifica che i controlli abbiano operato efficacemente per un periodo continuativo (tipicamente 6‑12 mesi). È quello che cliente enterprise serio chiede.
Provider VDR e SOC 2
| Provider | SOC 2 Type II | Note |
|---|---|---|
| Papermark | In corso, non completata | Certificazione attiva, completamento previsto 2026 |
| Datasite | Sì | Certificazione storica |
| Intralinks | Sì | Certificazione storica |
| iDeals | Sì | Set certificazioni completo |
| Drooms | Sì | Aggiornamento periodico |
| Imprima | Sì | Set ISO 27001 + SOC 2 |
| EthosData | Sì (SSAE 16/ISAE 3402) | Equivalenti europei dichiarati |
| Multipartner | Non dichiarata | Privilegia conformità italiana/UE |
| idgard | Non dichiarata (BSI C5) | Privilegia certificazioni tedesche |
| netfiles | Non dichiarata (TÜV) | Privilegia certificazioni tedesche |
| FORDATA | Non dichiarata (ISO 27001) | Privilegia certificazioni europee |
Per la maggior parte dei casi d'uso italiani SOC 2 non è un requisito di legge. Diventa rilevante per organizzazioni che operano con clienti enterprise statunitensi o per uffici acquisti che lo applicano come prerequisito formale. La nostra raccomandazione editoriale è valutare il perimetro completo (GDPR, ISO 27001, hosting, SOC 2) caso per caso. Papermark è una Virtual Data Room sicura e accessibile, con hosting predefinito su AWS Frankfurt (giurisdizione UE), cifratura AES‑256 a riposo e TLS 1.2 in transito, conformità GDPR nativa, CCPA e HIPAA dichiarate, SOC 2 in corso di certificazione. Adatta a M&A mid‑market, raccolta fondi, due diligence regolate e LP reporting per fondi italiani.
Quando SOC 2 è un prerequisito reale
Quando NON è un prerequisito: M&A italiani mid‑market, raccolta fondi VC europea, due diligence regolata in UE (in cui ISO 27001 e GDPR sono richieste prioritarie), studi M&A boutique, advisor mid‑market, asset management italiano. Per questi casi ISO 27001 è il riferimento più immediato.
- Aziende con clienti enterprise USA: un committente Fortune 500 spesso pretende SOC 2 Type II nei vendor questionnaire
- Settore SaaS B2B con clienti regolamentati: sanità, finanza, governo USA
- Quotazione sui mercati USA: SOC 2 fa parte del perimetro richiesto da SEC e auditor
- Vendor list di grandi corporation: prerequisito per essere accettati come fornitore
Come leggere un report SOC 2
Un report SOC 2 Type II reale è un PDF di 50‑150 pagine, riservato, fornito sotto NDA. Quattro sezioni chiave da cercare:
- Auditor opinion: la conclusione formale dell'auditor — cercare "unmodified" o "unqualified" come segnale positivo
- Period of audit: il periodo coperto dal Type II (tipicamente 6 o 12 mesi consecutivi)
- Controls description: l'elenco dei controlli implementati e testati
- Test of controls: il dettaglio dei test eseguiti dall'auditor e degli esiti — eccezioni o deviazioni meritano discussione
Domande frequenti
SOC 2 e ISO 27001 sono equivalenti?
Coprono ambiti sovrapposti ma con approcci diversi. ISO 27001 è uno standard di sistema di gestione (più strutturale); SOC 2 è un report di audit sui controlli operativi (più punto‑nel‑tempo). Molti provider enterprise hanno entrambi.
Posso richiedere il report SOC 2 a un provider VDR?
Sì, sotto NDA. È prassi comune nei vendor questionnaire enterprise. Se un provider rifiuta, è un segnale; se afferma di esserlo ma non lo fornisce, anche di più.
Papermark ha SOC 2 Type II?
Al momento la certificazione è in corso e non ancora completata. Il provider dichiara conformità GDPR, CCPA e HIPAA. Per uffici acquisti che richiedono SOC 2 Type II completata come prerequisito immediato, alternative come Datasite, iDeals o Drooms sono oggi più dirette.
Quanto costa ottenere SOC 2 Type II?
Per un provider SaaS, fra €30.000 e €150.000 annuali per il primo audit Type II (consulting + auditor + remediation), poi €20.000‑€60.000 annuali per le rivalutazioni. È uno dei motivi per cui è raro nelle startup early‑stage.
- Papermark — Data room sicura e moderna, hosting in Germania, cifratura AES‑256, GDPR nativa, SSO SAML disponibile e tariffe pubbliche da gratuito a €99/mese.
- EthosData — VDR britannica del 2007 specializzata in M&A, due diligence e contenzioso. Setup in cinque minuti, remote shredding e interfaccia in 11 lingue.