C’è un tipo di sicurezza che molte aziende hanno costruito negli anni con cura: l’antivirus aggiornato, il firewall attivo, la polizza assicurativa rinnovata puntualmente. Una sicurezza che, sulla carta, sembra solida. Poi arriva un incidente — un attacco ransomware, un incendio nel server room, la perdita improvvisa di una figura chiave — e quella sicurezza mostra i suoi limiti. La polizza non copre il fermo attività. Non esiste un piano di continuità operativa. Nessuno sa esattamente cosa fare nelle prime 48 ore.
Il problema non era la mancanza di strumenti. Era la mancanza di un’analisi strutturata dei rischi — quella che oggi NIS2 e Codice della crisi d’impresa rendono non più opzionale.
Cosa sono i rischi puri (e perché sono diversi dagli altri)
In gestione del rischio si distingue tra rischi speculativi — quelli in cui l’esito può essere una perdita ma anche un guadagno, come un investimento o una scelta strategica — e rischi puri, dove l’unico esito possibile è una perdita. Incendi, danni fisici, interruzioni operative, attacchi informatici, perdita di figure chiave, rischi ambientali: sono tutti rischi puri. Non si guadagna nulla dal loro verificarsi. Si può solo limitare il danno — o prevenirlo.
La distinzione è rilevante perché i rischi puri richiedono un approccio diverso rispetto ai rischi speculativi: non si gestiscono con logiche di rendimento o di opportunità, ma con misure di prevenzione, mitigazione e piano di risposta. È su questi rischi che si costruisce la resilienza operativa di un’azienda.
Cosa si mappa in un’analisi dei rischi puri
Un’analisi dei rischi puri strutturata identifica, per ogni area dell’azienda, quali eventi avversi potrebbero verificarsi, con quale probabilità, e con quale impatto sull’operatività. Le categorie tipicamente analizzate includono:
- Rischi fisici e ambientali: incendi, allagamenti, guasti alle infrastrutture, eventi climatici estremi
- Rischi informatici: attacchi ransomware, violazioni dei dati, interruzioni dei sistemi critici
- Rischi operativi: perdita di fornitori chiave, interruzioni della supply chain, guasti ai macchinari
- Rischi legati alle persone: perdita improvvisa di figure chiave, infortuni, dipendenza da competenze non documentate
- Rischi di compliance: sanzioni normative, contenziosi, perdita di certificazioni
Per ogni rischio identificato, l’analisi produce una valutazione dell’impatto economico stimato — incluso il costo del fermo attività, spesso sottovalutato rispetto al danno diretto — e le misure di mitigazione prioritarie.
Il collegamento con la NIS2: da obbligo tecnico a governance
La Direttiva NIS2, in vigore per i soggetti essenziali e importanti dal 2024, non richiede solo misure tecniche di sicurezza informatica. Richiede esplicitamente che le organizzazioni adottino un approccio sistematico alla gestione del rischio, che include:
- Analisi dei rischi per i sistemi informativi e le infrastrutture critiche
- Piani di continuità operativa e disaster recovery documentati e testati
- Procedure di gestione degli incidenti con tempi di notifica definiti
- Governance della sicurezza con responsabilità formalmente attribuite
Questo significa che la NIS2 trasforma la sicurezza informatica da problema tecnico a problema di governance aziendale. Non è più sufficiente avere gli strumenti giusti: bisogna dimostrare di avere un processo strutturato per identificare i rischi, gestirli e rispondere quando si verificano. L’analisi dei rischi puri è il fondamento di questo processo.
Il Codice della crisi d’impresa: la responsabilità personale degli amministratori
Il Codice della crisi d’impresa e dell’insolvenza ha introdotto per gli amministratori di società l’obbligo di dotarsi di adeguati assetti organizzativi, amministrativi e contabili — inclusi sistemi per il rilevamento tempestivo dei segnali di crisi. La mancata adozione di questi assetti espone gli amministratori a responsabilità personale in caso di insolvenza.
Un’analisi strutturata dei rischi puri contribuisce direttamente a questo requisito: mappa i rischi che potrebbero compromettere la continuità aziendale, quantifica gli impatti economici, e alimenta i processi decisionali del management con informazioni strutturate. Non è solo compliance: è protezione della governance personale degli amministratori.
Governance del rischio vs. copertura assicurativa
L’assicurazione è uno strumento di trasferimento del rischio, non di gestione del rischio. Copre il danno economico di eventi già avvenuti — e nemmeno tutti, come scopre chi legge attentamente le esclusioni di polizza. Non previene gli incidenti, non riduce i tempi di ripristino, non protegge la reputazione, non evita le sanzioni normative.
La governance del rischio lavora a monte: identifica le vulnerabilità, definisce le priorità di intervento, costruisce i piani di risposta. Le due cose non si escludono — una buona copertura assicurativa è parte di una strategia di gestione del rischio matura. Ma il punto di partenza non può essere la polizza: deve essere l’analisi.
ISO 31000: il framework di riferimento per la gestione del rischio
ISO 31000 è lo standard internazionale che definisce principi, framework e processo per la gestione del rischio nelle organizzazioni. Non è uno standard certificabile come ISO 9001 o ISO 27001, ma fornisce le linee guida metodologiche per costruire un processo di risk management strutturato, applicabile a qualsiasi tipo di organizzazione e a qualsiasi categoria di rischio.
I suoi principi chiave — integrazione nel processo decisionale, approccio sistematico, gestione dell’incertezza, miglioramento continuo — sono compatibili con i requisiti NIS2 e con gli adeguati assetti richiesti dal Codice della crisi. Adottare ISO 31000 come riferimento metodologico significa costruire una base di governance del rischio che soddisfa più requisiti normativi con un approccio unico e coerente.
Come iniziare: i passi concreti per un’azienda
Un percorso di analisi e gestione dei rischi puri per una PMI non richiede anni di lavoro o budget enterprise. Richiede metodo e priorità:
- Censimento dei processi critici: identificare quali attività, se interrotte, compromettono la capacità operativa dell’azienda
- Mappatura dei rischi per processo: per ogni processo critico, identificare gli eventi avversi plausibili e stimarne l’impatto
- Valutazione della sostenibilità del fermo: quanto tempo l’azienda può reggere un’interruzione parziale o totale prima di subire danni irreversibili?
- Definizione delle misure di mitigazione prioritarie: non tutto si può fare subito — si interviene prima sulle vulnerabilità con impatto più alto e probabilità più elevata
- Costruzione del piano di continuità operativa: chi fa cosa, in quanto tempo, con quali risorse, quando si verifica un incidente
Quella telefonata che nessuno vuole ricevere — “abbiamo un problema, i sistemi sono giù” — può avere due finali completamente diversi. In un’azienda che ha fatto l’analisi dei rischi, ha il piano di continuità pronto e sa chi deve fare cosa, l’incidente è gestibile. Nelle aziende che si sono affidate alla polizza e all’antivirus, è il momento in cui si scopre quanto costa non essersi preparati.
Vuoi valutare la postura di rischio della tua azienda e capire da dove iniziare? Il team di BitAgorà può supportarti nell’analisi dei rischi puri, nell’allineamento a NIS2 e nella costruzione di un piano di continuità operativa concreto.