L’approvazione in Italia della Legge 190/2012 sull’anticorruzione [1] e le indicazioni fornite nel primo Piano Nazionale Anticorruzione (PNA) del 2013 [2] hanno introdotto degli elementi di significativa novità nel contesto della Pubblica Amministrazione (PA) italiana.
Il concetto di corruzione, come definito nella norma del 2012, assume un’accezione ampia, tale da ricomprendere un malfunzionamento dell’Amministrazione a causa dell’uso a fini privati delle funzioni d’ufficio ma anche una devianza dell’azione amministrativa, sia che tali azioni abbiano successo sia nel caso in cui rimangano a livello di tentativo. Con riferimento alla fig.1 possiamo dire che tutti gli aspetti penalistici risultano compresi nella accezione proposta della norma del 2012, con un innovativo ampliamento al concetto di devianza dall’azione amministrativa.
Altri due importanti aspetti innovativi introdotti da questa norma sono il riferimento fornito nel PNA all’adozione di tecniche di risk management e il modello di miglioramento continuo di processo, cardini fondanti nella norma ISO 31000 [3,4] – dedicata ai principi del risk management – che viene assunta come riferimento per le analisi dei processi lavorativi della PA per la prevenzione della corruzione. Questa scelta legata alla gestione del rischio ha imposto dal 2013 ad oggi un enorme sforzo della PA centrale e locale al fine di trasformare l’applicazione della norma sull’anticorruzione da una serie di meri adempimenti formali, spesso infruttuosi, ad uno strumento metodologico di utilità concreta per il controllo reale dell’andamento dei processi lavorativi. Accanto ai concetti del risk management, l’applicazione costante del ciclo di Deming [5], indicato anche come PDCA (Plan Do Check Act, vedi fig.2) e mutuato dalle norme internazionali sul controllo di qualità (famiglia ISO 9000), costituisce la reale sfida di natura culturale/organizzativa che il normatore ha voluto introdurre con la Legge 190/2012 e il PNA per la prevenzione della corruzione.
L’applicazione delle metodologia descritte nella ISO 31000 impongono una continua capacità di pianificazione seguita da una fase realizzativa. Successivamente a queste due fasi, la fase del controllo consente di mettere in evidenza le inevitabili lacune che ogni realizzazione concreta mostra, conducendo ad una fase di identificazione delle migliorie da apportare al riavvio della nuova pianificazione/realizzazione.
Occorre sottolineare ancora come l’introduzione di metodologie a miglioramento continuo legate al modello PDCA per l’anticorruzione in ambito pubblico abbia costituito in questi anni una novità assoluta, che ha obbligato molte strutture pubbliche ad affrontare una sfida stimolante: ripensare e ridisegnare i processi lavorativi che si svolgono al proprio interno, in un’ottica di trasparenza e tracciabilità. Questo esercizio, sebbene finalizzato alla evidenziazione delle situazioni a rischio corruttivo, porta dunque con sé un valido vantaggio collaterale, ossia una potenziale razionalizzazione dei processi in contesti che, in alcuni casi, risultavano cristallizzati nel tempo.
Evidentemente, così come l’analisi del rischio corruttivo è una processo di tipo PDCA, anche lo stesso processo di definizione della metodologia e dei requisiti è soggetto ad un continuo aggiustamento e miglioramento sulla base delle esperienze via via acquisite.
In questo lavoro si concentra l’attenzione sulle metodologie analitiche suggerite nel PNA del 2013 per la valutazione del rischio, evidenziando possibili criticità e miglioramenti auspicabili alla luce di esperienze di applicazione.
Nell’Allegato 1 del PNA 2013 [2] si definisce l’analisi del rischio come la “valutazione della probabilità che il rischio si realizzi e delle conseguenze che il rischio produce (probabilità e impatto) per giungere alla determinazione del livello di rischio. Il livello di rischio è rappresentato da un valore numerico.”
In termini matematici, il livello di rischio corruttivo R viene definito in [PNA1] come il prodotto
R = P . I
avendo indicato con I il livello di impatto (espresso in principio con una scala da 0 a 5) e con P il livello di probabilità (espresso in principio con una scala da 0 a 5 anch’esso).
Ai fini del calcolo del livello di probabilità e di impatto, il PNA propone una serie di indici di valutazione [6]. In particolare, per quanto riguarda la “probabilità” P sono considerate le seguenti sei categorie:
L’analisi di dettaglio degli indici proposti evidenzia come la probabilità qui espressa non sia intesa unicamente in riferimento al presentarsi della minaccia (cioè la possibilità che si presenti un tentativo di corruttivo per un processo specifico lavorativo) ma anche, e soprattutto, alla quantificazione della probabilità legata allo sfruttamento di vulnerabilità presenti nel processo analizzato, vulnerabilità che possono portare alla realizzazione concreta di una minaccia. Tali indici di valutazione devono essere considerati come delle caratteristiche dei singoli processi e sono riconducibili nella maggior parte dei casi a debolezze intrinseche (ad es. il caso della “Discrezionalità”) e in altri casi a fattori di appetibilità per l’attaccante (ad es. il caso del “Valore economico”). In termini di analisi del rischio, essi rappresentano, quindi, una sintesi di minaccia e vulnerabilità. Va sottolineato che quest’ultimo approccio costituisce un aspetto molto importante dell’impostazione suggerita dal PNA 2013, che sarà oggetto di un prossimo approfondimento dedicato agli indici scelti e alla loro pesatura.
Per quanto riguarda l’impatto, le categorie considerate in [6], su cui sono formulati gli indici di valutazione, sono le seguenti quattro:
Per ognuno degli indici di valutazione di probabilità e impatto, il PNA indica un set di possibili pesi numerici (espressi con dei numeri interi compresi tra 0 e 5). Nella tab.1 che segue sono riportate, a titolo di esempio, le formulazioni e le pesature della “discrezionalità” e dell’”impatto organizzativo”.
Da questa impostazione deriva che, per ogni singolo processo sotto analisi, si otterrà una serie di valori numerici corrispondenti ai vari indici (in particolare, 6 valori di probabilità e 4 valori di impatto).
Sul modo in cui tali indicatori debbano essere “combinati” per ottenere un valore unico di livello rischio si è espresso nel 2013 il Dipartimento della Funzione Pubblica che in una comunicazione [7] ha chiarito:
Infine, nell’Allegato 1 al PNA 2013 [8] si specifica quanto segue:
“… le indicazioni metodologiche sono raccomandate ma non vincolanti, …”,
volendo suggerire che ogni Amministrazione poteva e può individuare, se ritenuto necessario, modelli più specifici di quello proposto nel 2013, purché adeguati, per la valutazione e gestione del rischio.
Il procedimento proposto in [7] può dunque essere schematizzato, per ogni processo, come segue:
Analizzando alcuni dei dati pubblicati dalle Pubbliche Amministrazioni, in particolare quelle della PA centrale, in questi primi anni di attuazione del PNA, si evince che l’applicazione del procedimento sopra indicato nel PNA 2013 porta, tipicamente, ad un istogramma dei valori di rischio che assume in linea di massima una forma simile a quella riportata a titolo di esempio in fig.3.
L’istogramma rappresenta, per ogni singolo valore del livello di rischio (da 0, 1, 2 fino a 25, valori delle ascisse) il numero di occorrenze verificate nel campione considerato. In fig.3 non sono riportati i valori in ordinata, in quanto il diagramma è qui riportato solo per fornire una informazione qualitativa, ma è tuttavia rappresentativo delle risultanze ottenute dalla stragrande maggioranza delle Amministrazioni che hanno applicato alla lettera il metodo proposto nel PNA 2013 per l’analisi del rischio.
Dall’osservazione della fig.3 possiamo rilevare che:
In sintesi, l’indicazione fornita in [7] sull’utilizzo dell’operatore di media proposto nel 2013 presenta una criticità perché tende a orientare verso il basso i livelli di rischio valutato, non rendendo utile lo sviluppo sull’intera dinamica dei livelli e rischiando di mascherare eventuali valori estremi di impatto o probabilità.
La principale ragione di questo fenomeno risiede nella scelta della media aritmetica per caratterizzare il comportamento delle variabili impatto e probabilità. La scelta di questo indicatore può condurre ad una sottostima del rischio e induce, per questo, ad un appiattimento verso il basso. In altri termini, l’appiattimento è una conseguenza della sottostima sistematica che l’indicatore ‘media aritmetica’ produce.
Volendo esemplificare la problematica in modo tangibile, si può pensare ad una catena in cui ogni singolo anello rappresenti uno dei diversi indicatori di probabilità (o impatto). Volendo calcolare la resistenza della catena ad una forza di trazione, non sarà rilevante conoscere la resistenza media degli anelli, ma la resistenza dell’anello più debole, perché sarà proprio quello che si spezzerà per primo.
Analogamente, per valutare il rischio di riuscita di un attacco corruttivo, non sarà tanto rilevante la robustezza media di fronte ai vari possibili attacchi (probabilità) ma solo individuare le componenti con valore più alto, perché verosimilmente, su di esse si concentrerà l’attacco.
Per fare un esempio numerico reale, consideriamo un processo PA caratterizzato dalle sei componenti di probabilità PA={1,2,5,1,1,2}. Il valore medio di probabilità è in questo caso uguale a 2, così come sarà uguale a 2 nel caso di un secondo processo PB caratterizzato, per esempio, dalle sei componenti PB={2,2,3,3,1,1}. E’ evidente però che i due processi presentano, dall’osservazione delle singole componenti, caratteristiche di robustezza significativamente diverse, che dovranno condurre all’implementazione di misure differenti. Mediante l’utilizzo della probabilità media, la criticità in PA legata al terzo indice di valutazione con livello di probabilità pari a 5 viene completamente trascurata.
Analoghe considerazioni si possono condurre con riferimento agli indici di impatto.
Per rappresentare il diverso comportamento di distinti operatori statistici utilizzabili nella definizione del livello di rischio per il caso in esame, in fig.4 sono riportati i risultati ottenuti per 13 processi lavorativi distinti analizzati dagli autori, su cui si sono applicate tre diverse metodologie di calcolo del rischio corruttivo, agendo sui diversi valori di P e I ottenuti per i diversi indici e per ciascun processo. Le tre metodologie sono legate in questa breve analisi agli operatori di: media, valore massimo e media corretta.
In particolare:
dove:
e per il Rischio medio corretto indicato con Rmc utilizzeremo, infine, la relazione
(5) Rmc = Pmc . Imc .
Lo scopo di questa comparazione è determinare gli eventuali punti di forza e di debolezze di diversi metodi al fine di poter superare le criticità dell’operatore media aritmetica consigliato in prima istanza dal normatore nel 2013.
La sintesi dei risultati numerici ottenuta per i 13 processi analizzati è riportata in Tab.2, mentre in Fig.4 si mostrano graficamente gli stessi risultati per facilitare l’evidenziazione delle principali caratteristiche.
L’osservazione dei risultati di fig.4 consente di affermare che:
Alla luce di quanto osservato possiamo affermare che, a parità di processo e di valori di partenza di probabilità e impatto, la scelta del metodo di combinazione dei valori numerici degli indici di valutazione determina un livello rischio completamente diverso per ampiezza della misura e significativamente diverso come classifica di rischio finale. Un’accurata analisi statistica della vasta mole di dati oggi disponibili nella PA potrebbe guidare alla scelta di metodi di calcolo che, con l’utilizzo di opportune pesature statistiche, possano tenere nel giusto conto tutti gli aspetti utili per una corretta valutazione dei rischi per la prevenzione della corruzione.
A cura di: Marco Carbonelli, Laura Gratta, Michele de Nittis
Le donne che si occupano di cybersecurity hanno un insieme distinto di competenze che possono…
“L’aereo è il mezzo più sicuro che esiste: è quello che fa meno feriti” Luciano…
Quando si parla di cybersecurity, la domanda più frequente è: come iniziare a impostare una strategia di…
A Sidney una piccola folla auspica l'utilizzo del gas per uccidere gli ebrei. In Germania,…
I profondi cambiamenti nel mondo della progettazione e produzione di macchine e macchinari, integrati sempre…
Il Parlamento Europeo approva ad aprile 2023 il Nuovo Regolamento Macchine. Ciò significa che, in…