Permacrisi, Resilienza e Governo e Controllo dei Rischi. Apprendere dal passato per fronteggiare le sfide future 

Permacrisi, Resilienza e Governo e Controllo dei Rischi. Apprendere dal passato per fronteggiare le sfide future 

14 novembre 2025

di Fabio ACCARDI

Premessa 

Il termine “permacrisi”, di utilizzo sempre più diffuso anche in ambito GRC per rappresentare lo stato di precarietà  nel quale  le organizzazioni  si trovano ad operare,  indica una situazione di instabilità prolungata, caratterizzata da una successione (o sovrapposizione) di crisi che non lasciano realmente un ritorno alla normalità.  Basti pensare a pandemia,  cambiamenti climatici,  tensioni geopolitiche,  shock alle catene di fornitura, tutti  eventi interconnessi  che si sovrappongono e interagiscono.

In questo contesto le organizzazioni (aziende, governi, infrastrutture) non sono più “in crisi” per un periodo limitato e definito, ma operano in un ambiente dove la crisi è più o meno permanente o ricorrente. 

 D’altro verso, la resilienza è la capacità di un sistema (organizzazione, infrastruttura, comunità) di resistere a shock, adattarsi, recuperare e (in alcuni casi) trasformarsi in meglio. In sintesi: non solo “tornare come prima”, ma “essere meglio preparati / più forte / diverso” dopo l’impatto. In un contesto di permacrisi, la resilienza diventa centrale perché le crisi non sono eccezionali, ma la norma.

Come i professionisti in ambito GRC possono  supportare  le proprie organizzazioni a sopravvivere e svilupparsi in simili contesti?  E qui va detto in premessa che in condizioni nelle quali  le crisi sono permanenti o ricorrenti, la governance tradizionale del rischio (basata su scenari rari, tempo lungo, stabilità) non basta più. Bisogna avere un modello di governance che consideri:

  • rischi interconnessi,
  • cambiamenti rapidi,
  • eventi “estremi ma plausibili”,
  • monitoraggio continuo.

Se un’organizzazione ha un’efficace funzione di gestione dei rischi (identifica, valuta, gestisce), allora costruisce le basi per essere resiliente.

In altre parole: resilienza non è solo “resistere al colpo”, ma avere anticipazione, adattamento, recupero. Governance non è solo gestire i rischi, ma definire una cultura, strategie, processi che integrino la resilienza come un obiettivo strategico.

Ad esempio, in uno studio di PwC si afferma che le organizzazioni che considerano la resilienza come priorità strategica, e che la integrano nel sistema decisionale e operativo, sono più pronte a “navigare” la permacrisi.(1)

Quale lezione apprendere dal passato e temi di riflessione per accrescere la nostra capacità di resilienza 

A mio parere il modo migliore per passare dalle parole ai fatti è quello di fermarsi e dare uno sguardo alle lezioni che possiamo trarre dal recente passato, quale l’emergenza pandemica che abbiamo vissuto, e farne tesoro per il futuro .

A tal fine riprendiamo quanto riportato nel Global Risks Report 2021 (16ª edizione)(2), in cui si analizzano le principali lezioni di governance derivate dalla pandemia di COVID-19 e  si propone un approccio rinnovato alla gestione dei rischi globali. Il documento evidenzia la necessità di ricostruire la resilienza sistemica attraverso quattro direttrici di intervento principali ( che   chiameremo  “QDI”), di seguito sinteticamente riassunte.(3)

1. Modelli (Frameworks)

Formulazione di modelli analitici dettagliati che prevedano una visione olistica e sistemica degli impatti del rischio ed aiutino a far emergere potenziali vulnerabilità e ricadute negative. L’approccio integrato richiede un ruolo attivo delle istituzioni multilaterali ed una collaborazione continua tra enti pubblici, imprese private e la società civile per facilitare prospettive sistemiche. 

2. “Campioni” nella gestione del rischio (Risk Champions)

Investire in “campioni del rischio” di alto profilo che possono coordinarsi con diversi    attori per stimolare l’innovazione nelle capacità di analisi del rischio e di risposta, e migliorare le relazioni tra esperti scientifici e leader politici. Promuovere l’istituzione di soggetti istituzionali (“National Risk Officer”) con il mandato di migliorare la resilienza ed accrescere la cultura decisionale. 

3. Comunicazione

Migliorare la chiarezza e la coerenza nella gestione della comunicazione dei rischi e nella lotta alla disinformazione. Le crisi richiedono risposte da parte di tutti gli attori coinvolti: confusione e assenza di chiarezza possono minare gli sforzi per creare fiducia e resilienza tra il settore pubblico, il settore privato, la comunità e le famiglie.

4. Partenariati pubblico-privato

La pandemia ha dimostrato come l’innovazione può essere innescata quando i governi riescono a coinvolgere il settore privato per rispondere a grandi sfide. Presupposto affinché ciò avvenga è che i rischi e i benefici siano condivisi equamente e sia messa in atto una governance appropriata.

Queste aree di miglioramento convergono verso un approccio integrato e di cooperazione globale mirato a non limitarsi a gestire le conseguenze delle crisi che si avverano ma di anticipare ed intercettare dal nascere le potenziali nuove crisi.

Seguendo questa logica proviamo ad applicare lo schema proposto con riferimento a due ambiti di rischio  che ritengo particolarmente sensibili per le organizzazioni e che riguardano i temi della sicurezza. Ci riferiamo in particolare ai temi della sicurezza informatica ed a quelli relativi alla salute e sicurezza sul lavoro. 

Applicazione delle  QDI  ai rischi di sicurezza informatica

1. Frameworks analitici olistici

Nel contesto della sicurezza informatica, i tradizionali framework si concentrano spesso sulla protezione tecnica (es. patching, firewalls, incident response). Tuttavia, l’approccio olistico suggerito dal WEF richiede una visione sistemica del rischio cyber:

  • Integrazione dei rischi tecnologici, umani, organizzativi e geopolitici.
  • Considerazione delle interdipendenze tra settori (ad es. infrastrutture critiche, supply chain, finanza, sanità).
  • Adozione di modelli come il NIST Cybersecurity Framework o l’ISO/IEC 27005, ma arricchiti da analisi di impatti sociali e macroeconomici.

→ Obiettivo: passare da una gestione “tecnica” del rischio a una gestione strategica e di sistema del cyberspazio.

2. Risk Champions

Il concetto di risk champion implica la creazione di figure di leadership nel rischio informatico, con il compito di coordinare e diffondere la cultura della sicurezza.

  • A livello governativo, potrebbero essere le agenzie nazionali di cybersicurezza (es. ACN in Italia, ENISA in UE, CISA negli USA).
  • A livello aziendale, i risk champions corrispondono a CISO (Chief Information Security Officer)Data Protection Officer o team interfunzionali di cyber-risk governance.
  • A livello internazionale, il WEF stesso promuove Cyber Resilience Centres che fungono da hub di scambio.

→ Obiettivo: promuovere leadership e cooperazione per superare la frammentazione tra IT, business e policy-making.

3. Informazione e comunicazione del rischio

La gestione efficace del rischio cyber dipende fortemente da flussi informativi trasparenti e tempestivi. Seguendo la logica del WEF:

  • Serve un sistema di information sharing tra pubblico e privato (es. CERT, ISAC, piattaforme threat intelligence).
  • È cruciale la lotta alla disinformazione digitale, soprattutto nei contesti di cyber-propaganda e attacchi informativi.
  • La formazione e la educazione alla consapevolezza del rischio per dipendenti, cittadini e dirigenti riduce la vulnerabilità umana.

→ Obiettivo: costruire un ecosistema informativo affidabile che migliori la capacità collettiva di risposta e resilienza.

4. Innovazione e partenariati pubblico-privati

La natura evolutiva delle minacce informatiche rende indispensabile l’innovazione continua:

  • Tecnologica: sviluppo di AI per la detection, blockchain per la tracciabilità, quantum-resistant cryptography.
  • Organizzativa: implementazione di cyber resilience labs e piattaforme collaborative di simulazione del rischio.
  • Governance: creazione di partenariati pubblico-privati per condividere investimenti, competenze e informazioni su incidenti.

→ Obiettivo: favorire innovazione collaborativa per affrontare minacce globali che nessun attore può gestire da solo.

Applicazione delle QDI ai rischi di sicurezza sul lavoro

1. Frameworks analitici olistici

La sicurezza sul lavoro viene spesso gestita attraverso norme e procedure specifiche (es. DVR, protocolli, ISO 45001). Tuttavia, l’approccio olistico proposto dal WEF invita a superare la visione meramente normativa per abbracciare un framework sistemico di rischio che integri:

  • Fattori organizzativiumanitecnologici e ambientali;
  • Analisi delle interdipendenze tra produttività, salute mentale, ergonomia e cultura aziendale;
  • Collegamento tra salute e sostenibilità, come parte della responsabilità sociale d’impresa (ESG – “Social”).

→ Obiettivo: adottare un sistema integrato di gestione del rischio lavorativo, capace di prevenire incidenti ma anche di migliorare benessere, efficienza e resilienza.

2. Risk Champions

Nel contesto della sicurezza sul lavoro, i risk champions sono figure di leadership internache promuovono la cultura della sicurezza in modo trasversale:

  • A livello aziendale, possono essere Responsabili del Servizio di Prevenzione e Protezione (RSPP)preposti, o anche safety leaders non formali che agiscono come modelli di comportamento.
  • A livello settoriale o territoriale, possono essere enti come INAILASL, o organismi bilaterali che guidano e diffondono buone pratiche.
  • A livello internazionale, organismi come l’ILO o l’EU-OSHA fungono da global risk champions nella definizione di standard e linee guida.

→ Obiettivo: creare leadership diffusa nella sicurezza, non solo obbligo di legge ma valore culturale e gestionale condiviso.

3. Informazione e comunicazione del rischio

La gestione moderna della sicurezza richiede informazione trasparente, partecipata e continua:

  • Migliorare i flussi informativi interni sull’analisi e segnalazione dei near miss (mancati incidenti);
  • Promuovere la formazione continua e la comunicazione efficace del rischio ai lavoratori (anche con linguaggi visivi, storytelling, realtà virtuale);
  • Utilizzare sistemi digitali di monitoraggio e reporting (es. dashboard di sicurezza, app per segnalazioni).
  • Condividere dati e risultati con enti esterni per migliorare la learning community della sicurezza.

→ Obiettivo: passare da una logica di adempimento a una cultura dell’apprendimento e della trasparenza del rischio.

4. Innovazione e partenariati pubblico-privati

L’innovazione nella sicurezza sul lavoro non riguarda solo la tecnologia, ma anche la gestione collaborativa e sociale del rischio:

  • Tecnologica: uso di sensori IoT, wearables, intelligenza artificiale per il monitoraggio in tempo reale delle condizioni ambientali e comportamentali;
  • Organizzativa: implementazione di modelli di safety culture maturity, gamification per la formazione, e pratiche di behaviour-based safety;
  • Collaborativa: partnership tra imprese, istituzioni e università per progetti di innovazione nella prevenzione;
  • Sociale: coinvolgimento dei lavoratori come co-creatori di soluzioni di sicurezza.

→ Obiettivo: costruire un ecosistema di innovazione per la sicurezza, dove il miglioramento continuo nasce dalla collaborazione e dal dialogo tra pubblico, privato e lavoratori.

Conclusioni

Applicando le quattro direttrici di intervento indicate nel Global Risks Report 2021  ai temi di rischio relativi alla sicurezza  illustrati  emerge una visione della prevenzione come processo sistemico, partecipativo e innovativo.
Non si tratta solo di conformità normativa, ma di resilienza organizzativa, fondata su:

  • un quadro analitico integrato (frameworks),
  • leadership diffusa e proattiva (risk champions),
  • trasparenza informativa (information),
  • e innovazione collaborativa (innovation).

In questa prospettiva, la sicurezza, fisica e informatica a protezione delle risorse umane e tecnologiche a disposizione delle organizzazioni  diventa un pilastro strategico della sostenibilità aziendale e della competitività responsabile. E su questi temi  risiedono alcune delle principali sfide  con le quali i professionisti GRC devono confrontarsi  nel presente e nel prossimo futuro.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) PwC –  Global Crisis and Resilience Survey 2023

(2) Weforum – Global Risks Report 2021 (16ª edizione)

(3) Fabio ACCARDI (2024)”Governo e Controllo dei Rischi. Manuale per scelte consapevoli e sostenibili. Metodologia, casi, esemplificazioni“  – 2 edizione 2024. Editore Franco Angeli

Related Items

Integrare i sistemi di gestione del rischio: approccio pratico per le medie impreseIntegrare i sistemi di gestione del rischio: approccio pratico per le medie imprese
Continua a leggere
World-Futures-Day- Giornata-Mondiale-dei-FuturiAnticipare il futuro per essere più competitivi: Istruzioni per l’uso
Continua a leggere
Governance, Risk & Compliance – GRC. Dalle origini dell’acronimo ai recenti sviluppi: una visione integrataGovernance, Risk & Compliance – GRC. Dalle origini dell’acronimo ai recenti sviluppi: una visione integrata
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *