Hai vissuto situazioni di emergenza negli ultimi dodici mesi? Hai organizzato sessioni di formazione specifiche sulla cybersecurity con i tuoi collaboratori? I tuoi progetti, elenchi di clienti, procedure sono sufficientemente protetti da qualificarsi come segreti commerciali o industriali? I log di sistema del computer vengono archiviati per almeno 6 mesi? Sei certo di esserlo conforme rispetto alla protezione dei dati personali? Hai rilevato attività insolite o minacce nei confronti della tua azienda nell’ultimo anno? Avete codificato una procedura interna sulle emergenze e le potenziali crisi?
Se hai risposto “no” alla maggior parte di queste domande, è ora di correre ai ripari. Perché sei vulnerabile. «Le statistiche ci dicono che l’80% delle criticità per le aziende non sono esogene, ma nascono dall’interno dell’azienda», conferma a Economia Enea Nepentinisocio fondatore di Hub del Consilium, società di consulenza specializzata nella prevenzione e gestione delle crisi, anche complesse. «È davvero molto difficile riuscire a gestire un’azienda tenendo tutto sotto controllo», osserva, «ma il nuovo Codice civile impone all’impresa un assetto organizzativo adeguato e privo di vulnerabilità, al fine di non incorrere in guai giudiziari in caso di difficoltà. In altre parole: serve un cambio di passo culturale per rendere il più stabile possibile il quadro delle Pmi italiane».
Inutile voltare la testa facendo finta di niente: la complessità interna ed esterna dell’azienda è in costante aumento, il rischio di crisi a tutti i livelli è alto per ogni tipo di organizzazione, in qualsiasi settore, sia nella grande impresa che nelle PMI. Consilium Hub ha quindi codificato una serie di procedure preventive e di emergenza specifiche per prevedere e – se necessario – far fronte agli imprevisti, in linea con le responsabilità del nuovo codice civile, che, infatti, all’art. 2086 prevede che l’imprenditore “ha il dovere di predisporre un assetto organizzativo, amministrativo e contabile… anche in vista della tempestiva rilevazione della crisi d’impresa”.
Il codice civile parla di “dovere”, ma è anche una questione di buon senso: «Analizzare, studiare e prevedere le situazioni di crisi è decisivo», sottolinea Nepentini, «perché non ci fa trovare impreparati al possibile verificarsi di situazioni di emergenza. E poi, il più delle volte, è possibile trasformare un problema in un’opportunità per l’azienda se si è preparati. Non solo: l’azienda che tiene sotto controllo questo aspetto risulta essere più competitiva e proiettata allo sviluppo».
È facile dire “crisi”
Ne esistono almeno otto tipi diversi: c’è la crisi organizzativa e quella politica, quella giudiziaria e quella finanziaria, ma anche quella digitale, o ambientale, o sindacale, e ancora la contaminazione sui problemi di un partner o di un intero settore, senza contare il singolo caso fortuito. «Per crisi o stati di urgenza si intendono eventi incontrollati o incontrollabili che interessano l’azienda, modificando il normale svolgimento delle attività e incidendo sull’immagine che il pubblico di riferimento ha dell’azienda e sul suo posizionamento, reputazione ed efficienza», precisa Nepentini. «Precisamente per questo è fondamentale farsi trovare pronti”.
Insomma: non succede… ma se succede? Supponiamo che i giornali, anche solo quelli locali – ma è un attimo per finire nelle cronache nazionali, ricordiamoci la regola delle tre “s”: sangue, soldi e sesso – pubblichino un questione giudiziaria – sì, qualsiasi tipo – da un membro della corporate governance. Si tratta di una situazione che compromette l’immagine e la reputazione dell’azienda, mina i rapporti con i clienti, l’offerta e l’attività complessiva dell’azienda. Come muoversi per tamponare la situazione? “In questo caso, il portavoce dell’azienda segnala immediatamente che l’autorità competente è stata messa a disposizione, vengono offerte informazioni che posizionano la persona e l’azienda su una certa risoluzione dell’incidente”, risponde il socio fondatore di Consilium Hub. «Si attivano procedure per contrastare l’informazione mediatica e si traccia la strategia risolutiva, cercando di trasformare quanto accaduto da problema a vantaggio, ad esempio attraverso una riorganizzazione.
E se invece viene rilevata, magari tramite qualche interlocutore, a furto di informazioni Certo? «Viene avviata la procedura per mettere sotto controllo quanto accaduto e impedire l’utilizzo delle stesse informazioni. Da allora, oltre ai dispositivi di protezione, è stato attivato un sistema ad hoc, una rilevazione complessiva delle informazioni e dei dati aziendali”. C’è poi l’eventualità più probabile: ilattacco informatico. «In questo caso i sistemi vengono momentaneamente disconnessi e i dati salvati vengono ripristinati, avvisando clienti e stakeholder del possibile disagio. Se l’impatto dell’attacco ha rilevanza esterna, si avvia la procedura per mantenere aggiornate le informazioni sulla delibera». E se il problema è serio, ad esempio se non hai un salvataggio? “La procedura di v è adottatavalutazione del danno, risoluzione e relative comunicazioni. Nei casi gravi ci sono rapporti con le autorità preposte», risponde Nepentini.
«Soprattutto con l’avanzare dello sviluppo digitale, le possibili situazioni critiche si sono moltiplicate». Ma la prevenzione, gestione e risoluzione delle situazioni di crisi per l’azienda elaborata da Consilium Hub «non si ferma ai soli rischi digitali», precisa Nepentini: «analizza e tratta la problematica globalmente, includendo anche quelli fisici di diversa natura, soprattutto , consente di predisporre in azienda una struttura adeguata e misure idonee a rilevare tempestivamente un eventuale stato di crisi. Soluzione che, di fatto, permette all’imprenditore di evitare i rischi dei nuovi responsabilità penale e amministrativa sancito dal Nuovo Codice della crisi d’impresa del 2022”.
Prevenire è meglio che curare
Così, alla classica valutazione – che verifica la coerenza tra il livello di rischio accettabile dall’azienda e la reale situazione aziendale – si affianca una simulazione per costruire una mappa delle possibili criticità e degli eventi che si possono verificare, per poi sviluppare una protocollo specifico che guidi rapidamente l’impresa nel momento del bisogno per tutelare l’integrità e il funzionamento generale, unitamente ad un piano di prevenzione.
“Sebbene sia impossibile prevedere la tipologia precisa di una situazione di crisi, è possibile individuare le aree dalle quali è possibile ipotizzare l’insorgenza di problemi”. Per quanto riguarda il patrimonio aziendale, ad es beni, brevetti e proprietà intellettuale, «per tutelarlo si fa un censimento preliminare e una catalogazione con informazioni dettagliate su ogni elemento», spiega il co-fondatore di Consilium Hub. Anche questo è un obbligo di legge: per tutelare in sede giudiziaria formule, disegni, anagrafiche ed ogni segreto commerciale industriale, la società, secondo laarte. 98 del Codice della Proprietà Industrialedeve disporre di adeguate misure di sicurezza in relazione al settore, alle dimensioni aziendali e all’evoluzione tecnica.
A proposito di tutela giudiziale: Nepentini auspica l’installazione di un “scatola nera forense“, «un dispositivo che consente in caso di crisi, di poter limitare e avere un quadro preciso di quanto accaduto all’interno dell’azienda. Il sistema include la “valutazione della vulnerabilità” automatica, il trasferimento di file crittografato e la gestione dei dati fischio. Viene determinato in alcuni momenti poiché consente di identificare tempestivamente quando procedere con un’indagine interna o la produzione di copie forensi: o la cristallizzazione con una data certa del contenuto di un bene digitale (compresi i dati cancellati) per rispondere, anche a distanza di mesi da possibili contestazioni, reclami e richieste delle autorità competenti”.