Vai al contenuto
Valutazione tecnica

Due diligence tecnica: cosa si controlla davvero prima di investire in (o comprare) una startup

Prima di mettere soldi in una startup o acquisire un prodotto software, la due diligence tecnica ti dice se stai comprando un asset o un debito. Ecco cosa si controlla, i red flag che contano e come si svolge.

9 min di lettura

La due diligence tecnica è la valutazione indipendente del software, del team e dei rischi tecnici di un'azienda, fatta prima di investire o acquisire, per capire se dietro alla narrativa commerciale c'è un asset solido o un debito nascosto. In un round o in un'acquisizione, il pitch racconta la visione; la due diligence tecnica controlla se il prodotto che la sostiene esiste davvero, regge il carico ed è tuo dopo il closing. È la differenza tra comprare un motore e comprare una foto del motore.

Cos'è (e perché non è un audit qualsiasi)

La tecnica è la stessa di un audit del codice, ma cambiano il contesto e la posta. Un audit tecnico lo commissiona il proprietario per capire e migliorare il proprio software. La due diligence la commissiona chi sta per mettere dei soldi: un investitore o un acquirente che deve valutare l'asset di qualcun altro prima di una transazione. Cambia l'output: non una roadmap interna, ma un giudizio utile a decidere se chiudere il deal, a che prezzo e con quali condizioni.

Cosa controlla una due diligence tecnica

Non si legge riga per riga tutto il codice: si cercano i rischi che spostano il valore. In pratica, cinque aree.

Codice e architettura

Qualità, ordine e leggibilità del codice, presenza di test, scelte architetturali coerenti con quello che il prodotto dovrà diventare. Non serve la perfezione: serve capire quanto costerà mantenerlo e farlo crescere, e quanto debito tecnico ci si porta dietro.

Team e bus factor

Chi ha scritto il software, e cosa succede se quella persona se ne va. Se una sola persona sa come funziona tutto — il famigerato bus factor di uno — stai comprando un rischio, non solo un prodotto. Si guarda anche quanto il team dipende da consulenti esterni non sostituibili.

Sicurezza e compliance

Gestione dei dati personali (e conformità al GDPR), segreti e password nel repository, vulnerabilità note nelle dipendenze, controllo degli accessi. Un buco qui non è un dettaglio tecnico: è una passività potenziale che erediti al closing.

Proprietà intellettuale e licenze

La domanda che vale il deal: il codice è davvero dell'azienda?Contratti con dipendenti e freelance che cedano la proprietà, licenze open source compatibili con un uso commerciale, nessun componente che obblighi a rendere pubblico il tuo codice. Se l'IP non è pulita, stai comprando molto meno di quanto pensi.

Infrastruttura, scalabilità e costi

Come gira in produzione, quanto costa oggi e quanto costerà con 10 volte gli utenti. Un'architettura che regge 1.000 utenti ma esplode a 50.000 cambia il piano — e il prezzo. Qui si smonta l'assunto, quasi sempre ottimistico, che "scala senza problemi".

I red flag che fanno saltare (o rinegoziare) un deal

Alcuni problemi si sistemano dopo il closing. Altri cambiano la valutazione o fanno alzare dal tavolo. Questi sono quelli a cui do peso:

  • Bus factor di uno. Una sola persona conosce l'intero sistema, senza documentazione né ridondanza.
  • Proprietà intellettuale non chiara. Codice scritto da freelance senza cessione firmata, o licenze incompatibili con l'uso commerciale.
  • Zero test e nessun ambiente separato. Ogni modifica è una scommessa in produzione: il costo di manutenzione futura è alto e imprevedibile.
  • Segreti in chiaro e sicurezza trascurata. Chiavi e password nel repository, dati sensibili non protetti: passività in attesa di manifestarsi.
  • Metriche che non reggono ai dati grezzi. Quando i numeri del pitch non tornano una volta guardati alla fonte, il problema non è più solo tecnico.

Come si svolge, in pratica

Non è un'ispezione a sorpresa: è un processo collaborativo e riservato, di solito in pochi giorni per una startup early-stage e in una o due settimane per un prodotto maturo. A grandi linee:

  • Accesso in sola lettura a repository, documentazione e ambienti, sotto NDA.
  • Analisi del codice e dell'architettura, con strumenti automatici e lettura mirata delle parti che contano.
  • Colloqui con il team tecnico, dove spesso emergono i rischi che il codice da solo non mostra.
  • Report scrittocon un giudizio chiaro, i rischi ordinati per gravità e l'impatto sul deal — leggibile anche da chi non è tecnico.

Chi la commissiona e quando

Di norma chi mette i soldi: business angel, fondi di venture capital o private equity, o un'azienda che ne acquisisce un'altra. Ma la commissiona sempre più spesso anche il fondatore che vende, per arrivare al tavolo con un quadro già chiaro e negoziare da una posizione di forza invece di subire le scoperte della controparte. Il momento giusto è prima del term sheet definitivo: la due diligence serve a confermarne o correggerne le condizioni, non a decorare un accordo già chiuso.

In sintesi

La due diligence tecnica trasforma "sembra un buon prodotto" in una decisione informata. Ti dice se stai comprando un asset o un debito, dove sono i rischi e quanto valgono in termini di prezzo e condizioni. Su un deal a sei o sette cifre, è la spesa che rende di più.

Domande frequenti

Cos'è la due diligence tecnica?

È la valutazione indipendente del software, del team e dei rischi tecnici di un'azienda, fatta prima di investire o acquisire, per capire se dietro alla narrativa c'è un asset solido o un debito nascosto. Serve a decidere se chiudere il deal, a che prezzo e con quali condizioni.

Quanto dura una due diligence tecnica?

Per una startup early-stage bastano in genere pochi giorni; per un prodotto maturo o un'acquisizione più grande si va da una a due settimane. Dipende dall'ampiezza della codebase, dal numero di persone da intervistare e da quanto è ordinata la documentazione.

Che differenza c'è tra due diligence tecnica e audit tecnico?

La tecnica è la stessa, cambia il contesto e chi la commissiona. L'audit tecnico lo chiede il proprietario per capire e migliorare il proprio software. La due diligence la chiede chi sta per investire o comprare, per valutare un asset altrui prima di una transazione: l'output è pensato per una decisione di deal, non per una roadmap interna.

Quali sono i red flag più gravi in una due diligence tecnica?

Un solo sviluppatore che sa come funziona tutto (bus factor di uno), proprietà intellettuale non chiara o codice con licenze incompatibili, assenza di test e di ambienti separati, segreti in chiaro nel repository, e metriche di prodotto che non reggono a un controllo dei dati grezzi. Ognuno può cambiare il prezzo o far saltare il deal.

Chi commissiona la due diligence tecnica?

Di solito chi mette i soldi: business angel, fondi di venture capital e private equity, o un'azienda che sta acquisendo un'altra. A volte la commissiona anche il fondatore che vende, per arrivare al tavolo con un quadro già chiaro e negoziare da una posizione più forte.

Stai valutando un investimento o un'acquisizione e ti serve qualcuno che guardi sotto il cofano prima che firmi? Faccio valutazioni tecniche indipendenti, e se dopo il closing ti serve una guida tecnica per far crescere il prodotto lavoro anche come Fractional CTO. Prima call gratis, risposta entro 24 ore.

Continua a leggere

Vuoi una diagnosi del tuo caso?

30 minuti gratuiti per capire cosa serve. Risposta garantita entro 24 ore.