Mitigare è meglio che rischiare

Inondazioni, frane, trombe d’aria indotte dal cambiamento climatico con frequenza crescente, con buona pace dei negazionisti. Attacchi informatici che si avvalgono della formidabile potenza di calcolo dell’intelligenza artificiale e, in prospettiva, dei computer quantistici. Chiusura di mercati di sbocco dell’export a causa della quotidiana effervescenza del quadro geopolitico, definita con felice sintesi “permacrisi”, per effetto di dazi, guerre, sanzioni e così via. Il mondo è un posto sempre più pericoloso, e anche le imprese italiane sono chiamate a proteggersi avvalendosi – in misura maggiore di quanto non abbiano fatto fin qui, specie le Pmi – degli strumenti di risk management. Come disse qualche secolo fa Bernardo Ramazzini, padre della medicina del lavoro, «prevenire è di gran lunga meglio che curare»; un ragionamento che dalla salute dei lavoratori sarebbe saggio estendere a quella delle imprese che li occupano, perché le spese da affrontare in caso di eventi avversi sono di molto superiori a quelle delle azioni di mitigazione del rischio, e specie nel caso delle Pmi possono anche farle fallire.

Ciò non significa che anche le spese di prevenzione, come quelle assicurative, non possano avere un peso rilevante, specie sulle casse delle piccole imprese. È il caso delle polizze contro le calamità naturali: terremoti, alluvioni, frane, inondazioni e esondazioni, il cui obbligo per tutte le imprese e le attività produttive doveva scattare dal 31 marzo – ma mentre questo numero di Economy viene chiuso il governo, incalzato dalle associazioni imprenditoriali, sta valutando una proroga di alcuni mesi, secondo un emendamento di Fdi al 31 ottobre. In caso di mancata stipula delle polizze è prevista l’esclusione dalla possibilità di accedere a incentivi, sussidi o garanzie pubbliche, incluse quelle sui prestiti bancari erogate dal fondo per le Pmi – che non dovrebbe però riguardare sussidi o garanzie in essere, ma valere solo per le nuove richieste; e per quanto riguarda la tempistica, per le polizze già in essere l’adeguamento scatta dal primo rinnovo o quietanzamento utile delle stesse.

La strada è quella giusta, o meglio obbligata, della prevenzione: l’idea della “CatNat” d’altra parte non è nata a tavolino, bensì dalla disastrosa alluvione del maggio 2023 in Emilia-Romagna, sesto evento catastrofico globale dell’anno per perdite economiche pari a 9,8 miliardi di dollari e perdite assicurate per 600 milioni – c’è stato purtroppo anche un bis, seppure su scala minore, a settembre-ottobre dell’anno scorso. Secondo i calcoli di Unimpresa, nel caso di un’alluvione che causa conseguenze economiche per 500mila euro e una polizza che, avendo una franchigia del 15% così come previsto dalla legge, copre l’85% dei danni, l’impresa dovrebbe sostenere direttamente un esborso di 75.000 euro, con un risparmio di 425mila euro: una cifra che potrebbe essere decisiva per la sua stessa sopravvivenza.

A rischio ci sono soprattutto le piccole aziende: secondo un’indagine dell’istituto mUp Research per Facile.it, a settembre 2024 erano oltre 278mila le micro e piccole imprese italiane che nei 12 mesi precedenti avevano subito danni da calamità naturali, per un controvalore di circa 3 miliardi di euro di perdite. In Italia le micro e piccole imprese rappresentano più del 90% delle oltre 4,5 milioni di aziende attive, ma sono le realtà imprenditoriali meno assicurate da questo tipo di eventi calamitosi. Sempre secondo l’indagine commissionata da Facile.it, appena il 6,2% delle micro e piccole imprese intervistate ha dichiarato di avere già una polizza contro terremoti, inondazioni, alluvioni, esondazioni e frane, a cui si aggiunge un 4% che è coperto solo parzialmente. 

Ma sono proprio le piccole imprese che, con l’introduzione dell’obbligo delle polizze CatNat da fine marzo, si trovano a dover affrontare l’esborso più pesante in proporzione alle loro finanze. Secondo Unimpresa, una Pmi con 500 metri quadrati di sede e 15 dipendenti dovrà affrontare una spesa tra 1.500 e 3.000 euro in aree a basso rischio, da 3mila a 6mila euro in zone a medio rischio, e tra 6mila e 12mila in zone ad alto rischio. Va aggiunto che non sono oggetto dell’obbligo altri fenomeni atmosferici quali grandine, trombe d’aria e bombe d’acqua, pure sempre più frequenti; chi volesse tutelarsi da questi eventi dovrebbe quindi sottoscrivere delle garanzie accessorie ad hoc, con una spesa ulteriore. «L’introduzione dell’obbligo assicurativo rappresenta una novità rilevante nel modello di gestione del rischio per le piccole e medie imprese italiane» dice Giovanna Ferrara, presidente di Unimpresa. «Tuttavia, affinché la norma non si trasformi in un peso insostenibile proprio per le Pmi, sarà fondamentale prevedere incentivi fiscali per abbassare il costo dei premi, stabilire un sistema di tariffe calmierate per le imprese più esposte, monitorare il mercato assicurativo, evitando speculazioni sui premi». Chiedere un sostegno per le Pmi non significa essere contrari all’introduzione dell’obbligo: «D’altro canto, se l’azienda fosse senza assicurazione, oltre al danno diretto, potrebbe subire una perdita di fatturato per l’interruzione delle attività, costi di ricostruzione senza immediato accesso a fondi pubblici, difficoltà di accesso al credito, dato che gli istituti bancari potrebbero considerarla a rischio» aggiunge Ferrara. «Ne consegue che, sebbene l’assicurazione comporti un costo fisso annuo, può prevenire danni finanziari molto più gravi e garantire la sopravvivenza dell’impresa in caso di calamità».

Le catastrofi naturali non sono certo il solo rischio cui sono esposte le imprese. Eppure, come conferma nell’intervista che trovate in queste pagine Gianluigi Lucietto, vicepresidente di Anra, l’Associazione nazionale dei risk manager e responsabili assicurazioni aziendali, la diffusione delle pratiche di risk management tra le Pmi è ancora bassa. Secondo lo studio “Risk Management & Governance: lo stato dell’arte delle imprese italiane”, realizzato da PwC Italia in collaborazione con Nedcommunity, a essersi dotato al proprio interno di una funzione di risk management è il 58% delle imprese; ma questo dato si riferisce in gran parte alle aziende di media e grande dimensione. In particolare, la divisione di risk management è presente nella totalità delle imprese con un fatturato superiore ai 3 miliardi, e nel 79% di quelle fra 750 milioni e un miliardo, una percentuale che scende al 37% sotto i 100 milioni – ma come conferma Lucietto, è molto più bassa nelle piccole imprese. È inoltre più diffusa tra le aziende quotate, con il 78% di adozione della funzione contro il 41% delle non quotate, anche per gli obblighi regolamentari imposti da questa condizione.

Una conferma dell’importanza per le imprese dell’adozione di strumenti di risk management, in particolare per quanto riguarda la cybersecurity, arriva dal primo Osservatorio Security Risk realizzato da Aipsa, l’Associazione italiana dei professionisti della security aziendale, e The European House Ambrosetti. Un’indagine che ha coinvolto circa 200 professionisti della Security associati ad Aipsa, che operano in aziende attive in oltre 20 settori, rappresentative del tessuto imprenditoriale nazionale, con un fatturato complessivo che supera i 700 miliardi di euro – oltre 100 imprese coinvolte contano più di mille dipendenti. Tra i primi 5 pericoli individuati dai security manager, 4 afferiscono all’area cyber: in testa le minacce sui dati con il 35%, seguite dalle violazioni della sicurezza fisica con il 27%, dal ransomware con il 26%, gli attacchi alla Supply Chain con il 25% e il malware con il 21%. Le aziende però lamentano una carenza strutturale di figure professionalizzate per affrontare le minacce cibernetiche: le competenze utili ad affrontare le minacce fisiche, infatti, risultano al momento preponderanti all’interno dei team Security. Secondo Aipsa il dato non è sorprendente, in quanto acquisire adeguate competenze in materia di cybersecurity richiede un periodo di studio più lungo rispetto a quello necessario per la gestione delle minacce fisiche cui sono esposte oggi le imprese. Tuttavia, al momento, i livelli retributivi non sempre riconoscono stipendi commisurati all’impegno formativo richiesto, così come spesso non è garantita alcuna autonomia di budget per chi ha il compito di garantire la cybersecurity aziendale, specie nelle realtà minori. A questo si aggiunge che, per molti anni, le imprese hanno selezionato i professionisti della Security tra ex agenti delle Forze dell’Ordine o delle Forze Armate, tradizionalmente più abituate a gestire minacce fisiche o ibride. Infatti alla domanda su quali siano le competenze che stanno cercando di integrare nel team di sicurezza, la risposta più gettonata dai security manager è Cybersecurity & IT avanzate, con il 22%.

«I dati dell’Osservatorio Security Risk di AIPSA ci restituiscono un’Italia delle imprese stretta tra due esigenze preponderanti» dice Alessandro Manfredini, presidente di Aipsa. «Da un lato la necessità di accelerare il processo di adeguamento al decreto NIS2, finalizzato ad aumentare un comune livello di sicurezza dagli attacchi cibernetici che, complice il conflitto in Ucraina e l’introduzione dell’intelligenza artificiale nella produzione di strumenti di offesa cibernetica, stanno diventando sempre più insistenti e rilevanti anche per la tenuta della sicurezza nazionale. Dall’altro, per molti imprenditori c’è la consapevolezza di non avere le professionalità adeguate in casa per “mettere a terra” questo tipo di processo. E dunque l’imperativo è investire in questa direzione».

A colpire con più frequenza le aziende durante l’anno, per il 59% dei security manager, è il cosiddetto social engineering, ovvero i tentativi di raggiro dei dipendenti per estorcere loro password, dati sensibili o chiavi di accesso. Segue l’oscuramento di alcuni servizi, o denial of service, con il 56%; i malware con il 54%; gli attacchi ransomware con il 53%; e quelli alla supply chain, con il 51%. Se si guarda ai costi che queste minacce comportano nel momento in cui si traducono in attacchi veri e propri, i danni maggiori arrivano dai ransomware: farsi sbloccare i dati sottratti costa in media circa lo 0,87% del fatturato aziendale, mentre un’offensiva scatenata nei confronti della supply chain pesa per lo 0,82% del fatturato, e le minacce sui dati lo 0,62% dello stesso. Dati che indicano l’importanza dell’acquisizione di figure professionali idonee ad affrontare il cimento. «In questo percorso le aziende di dimensioni più contenute potrebbero avere un alleato prezioso: le grandi aziende che stanno investendo molto nella messa in sicurezza della loro supply chain, ma che, conseguentemente, in questo processo dovrebbero essere maggiormente accompagnate con politiche pubbliche adeguate» osserva Manfredini. «Anche perché i danni, che gli attacchi generano quando colpiscono le imprese della filiera, hanno ripercussioni amplificate sulle committenti, le grandi imprese, che spesso gestiscono i servizi essenziali ed importanti di pubblica utilità, nonché le infrastrutture critiche, dello Stato».

Incrociando la probabilità del verificarsi dell’evento con il suo impatto economico potenziale, lo studio ha ricavato un livello di rischio, che costituisce un indice di priorità del rischio cibernetico. La minaccia che è più probabile che si concretizzi e che produrrebbe più danni in caso di riuscita dell’attacco è il ransomware, con un indice del 45% superiore rispetto al caso base. In seconda battuta arrivano gli attacchi alla Supply Chain con un indice del 40%, e infine il social engineering con l’indice del 37% superiore al caso base. Un indice che cambia insieme alle dimensioni aziendali: a preoccupare maggiormente i piccoli imprenditori, con un fatturato fino a 50 milioni, c’è il ransomware – prendendo in considerazione la mediana dei fatturati di questa fascia, 7 milioni di euro, il danno prodotto da un evento simile è calcolato in 65mila euro. Stessa preoccupazione nella fascia tra i 40 e i 250 milioni, con un danno potenziale da 900mila euro in caso di fatturato mediano a 100 milioni; e anche in quella tra i 250 milioni e il miliardo di fatturato, con il danno che sale a 7,8 milioni di euro con fatturato mediano di 500 milioni. «Se le grandi imprese possono svolgere, anche grazie ai loro security manager, il ruolo di coordinamento delle filiere, è necessario provvedere alla formazione di professionisti della cybersecurity (e non solo) con competenze avanzate» conclude il presidente di Aipsa. «Un partenariato di collaborazione tra Stato, enti di formazione e del terzo settore e imprese appare la prima e più importante forma di sostegno concreto da mettere in campo se si vuole davvero puntare alla riduzione del rischio e al consolidamento della sicurezza nazionale».

Più in generale, sono la cultura e la prassi della riduzione del rischio a dover ancora crescere per mettere al riparo la struttura imprenditoriale italiana. Lo conferma l’Osservatorio sulla diffusione del risk management nelle medie imprese italiane, realizzato da Ipsos per Cineas – il Consorzio universitario per l’ingegneria nelle assicurazioni fondato dal Politecnico di Milano – che ha coinvolto anche una quota di piccole e grandi aziende. Il comitato controllo e rischi è presente nel 76,7% delle grandi aziende, nel 41,9% delle medie e nel 38,1 delle piccole. Un modello di mappatura dei rischi è presente a livello di Cda nel 70,2% delle grandi aziende, nel 54,2% delle medie e nel 51,6% delle piccole. Per il 45,3% dei rispondenti, la realizzazione di un sistema di “gestione del rischio” all’interno della sua azienda viene considerata un investimento strategico, ma per il 49,4% invece si tratta di un investimento subordinato, e per il 5,3% addirittura un costo non essenziale. La maggioranza delle imprese, dunque, non considera strategico il risk management. Il 52,8% delle imprese esegue una mappatura del rischio, il 36,6% un monitoraggio dello stesso, e il 34,8% esprime un documento di sintesi, che nel 26,6% dei casi coinvolge il Cda. Ancora, il 32,9% delle imprese ha realizzato un metodo di gestione dei rischi integrato, il 38,4% segmentato, per un totale del 71,3% che scende al 60,9% tra le piccole aziende. Infine, la responsabilità della supervisione del sistema di gestione dei rischi nell’azienda spetta al risk manager nel 37,4% dei casi, percentuale che scende al 26,1% quando non esiste un modello di mappatura dei rischi, e sale al 52,2% per le grandi aziende. È la stessa figura del risk manager, insomma, a doversi ancora definitivamente affermare, insieme alla cultura della prevenzione di cui è portatore, così che le imprese italiane non si trovino più senza le risorse necessarie per reagire una volta che i buoi sono scappati.