La protezione degli asset industriali strategici negli scenari di crisi
La grave emergenza sanitaria dovuta al COVID-19 ha determinato la necessità, da parte del governo italiano, di ricorrere alla capacità del Sistema Paese per affrontare la drammatica situazione in corso.
L’improvvisa comunicazione della pandemia e la sua rapida diffusione “a progressione geometrica” hanno comportato, in tempi brevissimi, una forte riduzione delle attività economiche, il blocco quasi totale della mobilità privata e l’isolamento sociale (meccanismo di lockdown).
Ci si è trovati di fronte ad uno scenario inimmaginabile, che – ancorché ipotizzato nella letteratura accademica – è però risultato non prevedibile nella gestione dei suoi effetti, nei tempi e nei modi. Ciò ha determinato a posteriori, da parte delle istituzioni nazionali e locali, l’assunzione di decisioni urgenti e limitative dei diritti costituzionalmente riconosciuti ai cittadini e con restrizioni nella produzione economica del Paese, con lo scopo assolutamente prioritario di contrastare efficacemente la diffusione incontrollata del virus.
Il rapido accadimento degli eventi è stato accompagnato da un’accettabile disciplina nei comportamenti della quasi totalità dei cittadini e da una comunicazione mediatica però non sempre coerente, dapprima rassicurante e poi costretta a toccare – anche attraverso inedite metafore belliche – le corde emotive della paura reale e percepita.
La situazione contingente ha determinato pesanti conseguenze sull’intero tessuto socio-economico del Paese, con elevati rischi per la disponibilità di beni e servizi di primario interesse collettivo.
L’immediata attivazione di strumenti pubblici (operativi e finanziari) da parte dei ministeri competenti, coordinati dalla Presidenza del Consiglio dei Ministri, ha consentito di far fronte alle necessità più urgenti, evitando la paralisi generale e mantenendo adeguati livelli di tenuta sociale. Nel contempo è stato possibile massimizzare gli sforzi per gli interventi di gestione dell’emergenza, anche attraverso la creazione di alcune task force tematiche.
In tale scenario di crisi, è emersa – come fattore di particolare rilevanza per la Sicurezza Nazionale – la necessità di protezione degli asset industriali strategici, definiti come infrastrutture e filiere produttive per le quali il blocco parziale o totale delle proprie capacità operative può arrecare pregiudizio alla sicurezza ed al benessere della collettività.
Il presente studio si propone di affrontare tale tematica, proponendo un modello organizzativo con cui l’operatore economico (gestore dell’asset) possa predisporre un piano integrato di security management, operations continuity & crisis communication da applicare in caso di “stato di emergenza”.
Tale modello attinge alle best practices di gestione dei rischi già introdotte efficacemente nel settore della protezione antisabotaggio/antiterrorismo di infrastrutture critiche e siti sensibili, avendo ritenuto particolarmente utile quell’approccio “all hazard”, meticoloso e concreto al tempo stesso, orientato all’ottimizzazione organizzativa.
I comparti produttivi prioritariamente interessati sono quelli legati alle utilities (energia elettrica, gas, risorse idriche, gestione rifiuti), all’industria hi-tech (difesa, aerospazio, ecc.), alla sanità (ricerca biomedica, produzione chimico-farmaceutica, ecc.), alle telecomunicazioni (prodotti e servizi IT, emittenti radiotelevisive, ecc.), all’intero sistema dei trasporti (terrestre, aereo e marittimo), alla produzione siderurgica, al settore petrolchimico ed alla filiera agroalimentare.
Il modello organizzativo proposto si applica ai cosiddetti scenari di crisi, intesi come situazioni non convenzionali nelle quali fattori esterni – non adeguatamente prevedibili negli effetti – possono recare grave pregiudizio alla capacità operativa dell’organizzazione stessa. Tipici scenari di crisi sono le emergenze sanitarie, gli eventi bellici, gli atti terroristici e le crisi socio-economiche.
Si distinguono inoltre due tipologie di gestione dell’organizzazione: esercizio ordinario (in situazione di normale operatività) ed esercizio straordinario (in situazione di crisi).
La gestione operativa dell’asset strategico in scenari di crisi deve essere definita, implementata e validata in periodi ordinari.
Il piano di protezione viene definito sulla base di un protocollo specifico, già sviluppato per esigenze di Sicurezza Nazionale nell’ambito delle infrastrutture critiche ed ora completato con una sezione dedicata alla gestione della comunicazione, di particolare rilevanza nelle situazioni di crisi, che la pandemia in corso ha fatto emergere sia come ulteriore e significativo elemento di rischio che come strumento di mitigazione dello stesso (utile anche nella condotta esecutiva per i comportamenti di massa).
L’attività è basata su una rigorosa metodologia di risk management con l’obiettivo primario della tutela del patrimonio tangibile e intangibile dell’organizzazione (risorse umane, beni strumentali, know-how tecnologico) e della sua struttura finanziaria.
Il protocollo è principalmente rivolto a mitigare i rischi derivanti da minacce di natura fisica, biologica, cibernetica e finanziaria da parte di entità ostili nazionali ed estere, aventi finalità di interdizione e sabotaggio delle attività operative oppure di acquisizione malevola delle capacità tecnologiche.
Le minacce vengono così classificate (in ordine crescente per gravità):
- minacce percepite (minacce possibili, ma senza informazioni precise);
- minacce diffuse (minacce generiche per la presenza sul territorio di gruppi criminali, per situazioni socio-politiche instabili, ecc.);
- minacce indirette (minacce rivolte a infrastrutture esterne, ma con possibili ripercussioni sull’asset);
- minacce dirette (minacce rivolte in maniera specifica all’asset).
Ogni possibile evento ostile (per ciascuna delle minacce considerate) viene valutato nel suo impatto e nella sua probabilità di accadimento sulla base delle informazioni acquisite (in cooperazione con gli organismi di pubblica sicurezza e di intelligence nazionali preposti allo scopo), pervenendo alla definizione del cosiddetto “livello di rischio” (secondo le categorie: accettabile, medio, inaccettabile).
Per ciascun livello di rischio è altresì stabilita la necessità dell’intervento di mitigazione, il quale può comportare opzioni organizzative, operative, tecnologiche e finanziarie.
Il protocollo prevede infine l’integrazione di un operations continuity plan e di un crisis communication plan.
Nell’operations continuity plan vengono definiti gli indicatori MPL (minimum performance level) riguardanti tipologia ed entità delle attività operabili da garantire in base al grado dell’emergenza (determinato secondo le analisi di scenario preliminarmente effettuate per le singole minacce).
Per ciascuna di queste attività occorre definire le risorse da dispiegare al momento dell’emergenza.
Nell’esercizio straordinario gli indicatori MPL costituiscono un obiettivo prioritario rispetto ai normali obiettivi di corporate definiti dall’organizzazione per l’esercizio ordinario (i quali possono pertanto essere parzialmente o completamente derogati in considerazione delle mutate esigenze).
Il crisis communication plan costituisce un potente strumento di gestione dei rischi operativi dell’asset, migliorando internamente la coesione organizzativa e mitigando esternamente l’effetto di possibili fattori destabilizzanti anche di natura ostile (campagne di disinformazione, eccessi di informazioni o “infodemie”, scalate non controllate nei capitali azionari, ecc.).
Da un punto di vista operativo il piano di comunicazione prevede la definizione dei target interni (management, dipendenti, ecc.) e dei target esterni (stakeholder, soggetti istituzionali, clienti, fornitori, opinione pubblica, ecc.).
La comunicazione deve attuarsi secondo i criteri di completezza, chiarezza, trasparenza, coerenza ed efficacia, ancor più importanti in situazioni di crisi ove le attenzioni dell’intera organizzazione sono maggiormente focalizzate su aspetti operativi e il flusso di informazioni tra interno ed esterno può vedersi collocato in secondo piano (aumentando sensibilmente le vulnerabilità di sistema).
In tal senso il protocollo considera il piano di comunicazione come strumento fondamentale durante tutte le fasi dell’emergenza per minimizzare i rischi di carattere operativo (dovuti a confusione, incertezza e disorientamento) e di carattere reputazionale (dovuti a informazioni false, incomplete o inopportune), i quali possono a loro volta costituire – se non contrastati adeguatamente – un elemento amplificatore degli impatti relativi alle singole minacce.
In conclusione, il gruppo di lavoro (autore del presente studio) ha ritenuto opportuno definire una metodologia applicabile ai cosiddetti asset industriali critici per tutte quelle situazioni di emergenza che possono degradarne pesantemente le condizioni di sicurezza fisica (security conditions) con dirette conseguenze sulla capacità operativa.
La predisposizione di un piano integrato di security management, operations continuity & crisis communication, secondo i criteri qui esposti, può sicuramente determinare un sensibile miglioramento del grado di resilienza dell’organizzazione.
Lo stesso comparto assicurativo dovrà farsi carico con maggiore frequenza dei rischi finanziari derivanti da eventi speciali di natura emergenziale e – anche al fine di limitare una propria eccessiva esposizione a rischi di default parziale o totale delle organizzazioni assicurate (con conseguente forte aumento dei premi delle relative polizze) – promuoverà un’implementazione veloce ed efficace di possibili strumenti di mitigazione nell’interesse di tutte le controparti.
L’emergenza COVID-19 ha quindi evidenziato la drammaticità nelle sue conseguenze sociali, imponendo un nuovo e coerente approccio di analisi delle vulnerabilità nei sistemi organizzativi complessi del tessuto produttivo nazionale.
I fatti odierni dimostrano che le emergenze (nei vari livelli di criticità) costituiranno in futuro uno scenario operativo ad alta probabilità di accadimento per qualsiasi attività industriale.
Conseguentemente, con riferimento agli operatori economici preposti alla gestione degli asset strategici e in uno scenario di minaccia globale, le singole organizzazioni saranno chiamate a sempre maggiori impegni nella gestione delle crisi (in termini di misure per la sicurezza e la continuità operativa), mentre lo Stato – come rappresentante dell’interesse generale – dovrà continuare a garantire i necessari strumenti di protezione e di sostegno finanziario, realizzando così un meccanismo virtuoso e sinergico per un efficiente “sistema integrato nazionale”.
Riferimenti bibliografici
V. Iavarone/C. Todaro – La protezione delle infrastrutture critiche – Ministero della Difesa / Rivista Militare nr. 1/2013
C. Todaro/V. Iavarone – Protocollo per la valutazione del rischio sicurezza AS/AT – 2012
ISO 31000:2018 – Risk Management – Principles and Guidelines
ISO 31010:2019 – Risk Management – Risk Assessment Techniques
ISO/IEC Guide 73:2002 – Risk Management – Vocabulary
United Nations – Guidelines for Security Risk Management – 2004
United Nations – Security Risk Management – Learning Module – 2009
US/Department for Homeland Security – Risk Assessment Methodology – Report for Congress – 2007
United Nations – World Health Organization – Communicating risk in public health emergencies – 2017
Articolo a cura di Claudio Todaro, Vincenzo Iavarone, Katia Petrini e Stefano Di Traglia