Due diligence tecnica: cosa si controlla davvero prima di investire in (o comprare) una startup
Prima di mettere soldi in una startup o acquisire un prodotto software, la due diligence tecnica ti dice se stai comprando un asset o un debito. Ecco cosa si controlla, i red flag che contano e come si svolge.
La due diligence tecnica è la valutazione indipendente del software, del team e dei rischi tecnici di un'azienda, fatta prima di investire o acquisire, per capire se dietro alla narrativa commerciale c'è un asset solido o un debito nascosto. In un round o in un'acquisizione, il pitch racconta la visione; la due diligence tecnica controlla se il prodotto che la sostiene esiste davvero, regge il carico ed è tuo dopo il closing. È la differenza tra comprare un motore e comprare una foto del motore.
Cos'è (e perché non è un audit qualsiasi)
La tecnica è la stessa di un audit del codice, ma cambiano il contesto e la posta. Un audit tecnico lo commissiona il proprietario per capire e migliorare il proprio software. La due diligence la commissiona chi sta per mettere dei soldi: un investitore o un acquirente che deve valutare l'asset di qualcun altro prima di una transazione. Cambia l'output: non una roadmap interna, ma un giudizio utile a decidere se chiudere il deal, a che prezzo e con quali condizioni.
Cosa controlla una due diligence tecnica
Non si legge riga per riga tutto il codice: si cercano i rischi che spostano il valore. In pratica, cinque aree.
Codice e architettura
Qualità, ordine e leggibilità del codice, presenza di test, scelte architetturali coerenti con quello che il prodotto dovrà diventare. Non serve la perfezione: serve capire quanto costerà mantenerlo e farlo crescere, e quanto debito tecnico ci si porta dietro.
Team e bus factor
Chi ha scritto il software, e cosa succede se quella persona se ne va. Se una sola persona sa come funziona tutto — il famigerato bus factor di uno — stai comprando un rischio, non solo un prodotto. Si guarda anche quanto il team dipende da consulenti esterni non sostituibili.
Sicurezza e compliance
Gestione dei dati personali (e conformità al GDPR), segreti e password nel repository, vulnerabilità note nelle dipendenze, controllo degli accessi. Un buco qui non è un dettaglio tecnico: è una passività potenziale che erediti al closing.
Proprietà intellettuale e licenze
La domanda che vale il deal: il codice è davvero dell'azienda?Contratti con dipendenti e freelance che cedano la proprietà, licenze open source compatibili con un uso commerciale, nessun componente che obblighi a rendere pubblico il tuo codice. Se l'IP non è pulita, stai comprando molto meno di quanto pensi.
Infrastruttura, scalabilità e costi
Come gira in produzione, quanto costa oggi e quanto costerà con 10 volte gli utenti. Un'architettura che regge 1.000 utenti ma esplode a 50.000 cambia il piano — e il prezzo. Qui si smonta l'assunto, quasi sempre ottimistico, che "scala senza problemi".
I red flag che fanno saltare (o rinegoziare) un deal
Alcuni problemi si sistemano dopo il closing. Altri cambiano la valutazione o fanno alzare dal tavolo. Questi sono quelli a cui do peso:
- Bus factor di uno. Una sola persona conosce l'intero sistema, senza documentazione né ridondanza.
- Proprietà intellettuale non chiara. Codice scritto da freelance senza cessione firmata, o licenze incompatibili con l'uso commerciale.
- Zero test e nessun ambiente separato. Ogni modifica è una scommessa in produzione: il costo di manutenzione futura è alto e imprevedibile.
- Segreti in chiaro e sicurezza trascurata. Chiavi e password nel repository, dati sensibili non protetti: passività in attesa di manifestarsi.
- Metriche che non reggono ai dati grezzi. Quando i numeri del pitch non tornano una volta guardati alla fonte, il problema non è più solo tecnico.
Come si svolge, in pratica
Non è un'ispezione a sorpresa: è un processo collaborativo e riservato, di solito in pochi giorni per una startup early-stage e in una o due settimane per un prodotto maturo. A grandi linee:
- Accesso in sola lettura a repository, documentazione e ambienti, sotto NDA.
- Analisi del codice e dell'architettura, con strumenti automatici e lettura mirata delle parti che contano.
- Colloqui con il team tecnico, dove spesso emergono i rischi che il codice da solo non mostra.
- Report scrittocon un giudizio chiaro, i rischi ordinati per gravità e l'impatto sul deal — leggibile anche da chi non è tecnico.
Chi la commissiona e quando
Di norma chi mette i soldi: business angel, fondi di venture capital o private equity, o un'azienda che ne acquisisce un'altra. Ma la commissiona sempre più spesso anche il fondatore che vende, per arrivare al tavolo con un quadro già chiaro e negoziare da una posizione di forza invece di subire le scoperte della controparte. Il momento giusto è prima del term sheet definitivo: la due diligence serve a confermarne o correggerne le condizioni, non a decorare un accordo già chiuso.
In sintesi
La due diligence tecnica trasforma "sembra un buon prodotto" in una decisione informata. Ti dice se stai comprando un asset o un debito, dove sono i rischi e quanto valgono in termini di prezzo e condizioni. Su un deal a sei o sette cifre, è la spesa che rende di più.
Domande frequenti
Cos'è la due diligence tecnica?
È la valutazione indipendente del software, del team e dei rischi tecnici di un'azienda, fatta prima di investire o acquisire, per capire se dietro alla narrativa c'è un asset solido o un debito nascosto. Serve a decidere se chiudere il deal, a che prezzo e con quali condizioni.
Quanto dura una due diligence tecnica?
Per una startup early-stage bastano in genere pochi giorni; per un prodotto maturo o un'acquisizione più grande si va da una a due settimane. Dipende dall'ampiezza della codebase, dal numero di persone da intervistare e da quanto è ordinata la documentazione.
Che differenza c'è tra due diligence tecnica e audit tecnico?
La tecnica è la stessa, cambia il contesto e chi la commissiona. L'audit tecnico lo chiede il proprietario per capire e migliorare il proprio software. La due diligence la chiede chi sta per investire o comprare, per valutare un asset altrui prima di una transazione: l'output è pensato per una decisione di deal, non per una roadmap interna.
Quali sono i red flag più gravi in una due diligence tecnica?
Un solo sviluppatore che sa come funziona tutto (bus factor di uno), proprietà intellettuale non chiara o codice con licenze incompatibili, assenza di test e di ambienti separati, segreti in chiaro nel repository, e metriche di prodotto che non reggono a un controllo dei dati grezzi. Ognuno può cambiare il prezzo o far saltare il deal.
Chi commissiona la due diligence tecnica?
Di solito chi mette i soldi: business angel, fondi di venture capital e private equity, o un'azienda che sta acquisendo un'altra. A volte la commissiona anche il fondatore che vende, per arrivare al tavolo con un quadro già chiaro e negoziare da una posizione più forte.
Stai valutando un investimento o un'acquisizione e ti serve qualcuno che guardi sotto il cofano prima che firmi? Faccio valutazioni tecniche indipendenti, e se dopo il closing ti serve una guida tecnica per far crescere il prodotto lavoro anche come Fractional CTO. Prima call gratis, risposta entro 24 ore.
