La gestione integrata dei rischi di criminalità finanziaria secondo un approccio complessivo alla resilienza operativa deve essere intesa come un assetto al tempo stesso normativo e operativamente coerente, nel quale il presidio dei rischi di riciclaggio, dei rischi sanzionatori, dei rischi di corruzione, dei rischi di frode e delle connesse minacce all’integrità non viene ridotto alla mera presenza di misure di controllo tecnicamente funzionanti in condizioni stabili, ma viene ricondotto a una questione assai più ampia, ossia se l’intera architettura organizzativa che sostiene tale presidio rimanga governabile, difendibile ed efficace anche in presenza di gravi perturbazioni. In questa impostazione, la resilienza operativa perde il carattere di mero ambito di supporto riconducibile alla continuità operativa e assume invece lo status di elemento costitutivo della tutela dell’integrità finanziaria. La questione centrale si sposta pertanto da una verifica relativamente circoscritta, consistente nell’accertare se screening, monitoraggio, analisi, escalation e processi decisionali esistano e funzionino correttamente nell’ordinario svolgimento dell’attività, a una verifica molto più severa, volta a stabilire se le medesime funzioni conservino la propria efficacia protettiva quando il sistema istituzionale sia sottoposto a pressioni derivanti da picchi di volume, indisponibilità dei dati, incidenti informatici, dislocazioni del personale, improvvise modifiche sanzionatorie, interruzioni dei flussi di pagamento, guasti di terze parti, disordini sociali o shock geopolitici. Un’istituzione può, in condizioni ordinarie, disporre di documenti di policy, regole di rilevazione, strumenti di workflow e responsabilità formali chiaramente definite; tuttavia, se tale impianto, sotto stress, degenera in blocchi indiscriminati, eccezioni inspiegabili, misure emergenziali scarsamente documentate, arretrati privi di differenziazione per rischio o confusione manageriale in ordine a priorità e poteri, diviene evidente che l’architettura di integrità era in sostanza calibrata soltanto per condizioni di routine. Sotto il profilo giuridico, di vigilanza e istituzionale, ne consegue che la credibilità della gestione integrata dei rischi di criminalità finanziaria non può più essere misurata soltanto sulla base dell’esistenza di norme, processi e controlli adeguati, ma deve esserlo alla luce della capacità di tali norme, processi e controlli di generare, anche in condizioni avverse, una capacità di protezione stabile.
Ne consegue che la gestione integrata dei rischi di criminalità finanziaria secondo un approccio complessivo alla resilienza operativa deve, in sostanza, essere concepita come una forma di protezione dell’infrastruttura operativa al servizio dell’integrità finanziaria. Il punto non consiste soltanto nello stabilire se gli abusi finanziari ed economici possano essere individuati, analizzati e affrontati, ma anche se la catena all’interno della quale tale individuazione, analisi e intervento si collocano sia in grado di resistere alla perturbazione senza perdita di proporzionalità, spiegabilità, integrità documentale, capacità di prioritizzazione e controllo manageriale. Questo spostamento ha natura di principio. Esso mette in evidenza che i rischi di integrità non sorgono soltanto dal fatto che soggetti malevoli pongano in essere condotte vietate o ad alto rischio, ma altresì dal fatto che l’istituzione stessa, in momenti critici, si riveli incapace di mantenere il funzionamento operativo dei propri meccanismi di protezione. Un motore di screening sanzionatorio che temporaneamente non elabori più gli aggiornamenti, un processo di triage degli alert che diventi ingestibile sotto la pressione dei volumi, un ambiente di case management che non assicuri più un’affidabile integrità documentale, oppure una struttura di escalation che, sotto la pressione della crisi, lasci sussistere incertezza quanto ai poteri decisionali e alle soglie di intervento, non genera un semplice inconveniente tecnico, ma un pregiudizio alla funzione di integrità in quanto tale. In tale contesto, un approccio credibile alla gestione integrata dei rischi di criminalità finanziaria richiede una filosofia di progettazione nella quale i processi critici di integrità siano trattati come operazioni dotate di propri requisiti minimi in termini di disponibilità, soglia qualitativa, rapidità di ripristino, capacità di fallback e governance di crisi. In mancanza di una simile filosofia di progettazione, può esistere sulla carta un dispositivo di controllo apparentemente impressionante, mentre, sul piano sostanziale, rimane elevata la probabilità che l’integrità finanziaria venga meno proprio nel momento in cui la minaccia diventa più opportunistica, adattiva e dannosa.
La resilienza operativa come capacità di mantenere operazioni critiche
Nell’ambito della gestione integrata dei rischi di criminalità finanziaria, la resilienza operativa deve essere definita come la capacità di mantenere operazioni critiche di integrità a un livello minimo di qualità, prevedibilità e governabilità manageriale previamente definito, anche quando l’organizzazione sottostante sia esposta a circostanze che interrompono i normali schemi esecutivi. Una simile definizione è sensibilmente più rigorosa di un approccio che colleghi la resilienza unicamente alla ripresa successiva a un incidente o alla questione se i sistemi rimangano formalmente disponibili. Per la funzione di integrità non è sufficiente che un’applicazione sia tecnicamente online quando, nel contempo, la qualità dei dati si deteriora, la prioritarizzazione si offusca, la documentazione debba essere ricostruita ex post oppure le decisioni critiche non vengano più assunte tempestivamente. Nel contesto della gestione integrata dei rischi di criminalità finanziaria, la resilienza operativa deve pertanto essere collegata al mantenimento sostanziale della capacità di protezione. Si tratta della possibilità di continuare a svolgere l’onboarding della clientela, lo screening sanzionatorio e adverse media, il monitoraggio transazionale, il trattamento degli alert, l’istruttoria dei casi, l’escalation interna e la valutazione delle operazioni sospette in modo tale da non scivolare nell’arbitrarietà, nell’eccessiva semplificazione routinaria o nel blocco indiscriminato del rischio. Questa concezione evidenzia che la resilienza non costituisce soltanto una caratteristica tecnica o logistica dell’impresa, ma una qualità normativa della stessa architettura di integrità. Essa determina se l’istituzione, durante periodi di pressione, interruzione o crisi, rimanga in grado di distinguere tra rischio basso, elevato e acuto, se la capacità di intervento resti sufficientemente mirata e se il sistema mantenga la capacità di rendere conto delle scelte effettuate in tali circostanze.
In questa prospettiva, il mantenimento delle operazioni critiche deve essere inteso come un obbligo composito che comprende più dimensioni. La prima dimensione è quella della disponibilità: le funzioni essenziali di integrità devono continuare a operare oppure, ove l’interruzione sia inevitabile, poter essere rapidamente ripristinate attraverso percorsi alternativi. La seconda dimensione è quella della qualità: il risultato dello screening, dell’analisi e della decisione non deve deteriorarsi sotto pressione al punto da produrre esiti sostanzialmente inaffidabili o inspiegabili. La terza dimensione è quella della governabilità: responsabilità, circuiti di escalation, soglie di tolleranza e misure emergenziali temporanee devono essere progettati ex ante in modo tale da non generare alcun vuoto normativo in situazioni di crisi. La quarta dimensione è quella della recuperabilità: una volta sopravvenuta la perturbazione, l’organizzazione non deve soltanto essere in grado di proseguire l’operatività, ma anche di ritornare a un regime ordinario di controllo senza contaminazioni durevoli dei fascicoli, lacune nella registrazione o pregiudizi irrisolti nella prioritizzazione. Nel contesto della gestione integrata dei rischi di criminalità finanziaria, tali dimensioni sono inscindibili. Un’istituzione che blocchi temporaneamente tutte le transazioni al fine di evitare l’incertezza può conservare un’apparenza superficiale di controllo, ma al contempo provocare una perturbazione sproporzionata e perdere la capacità di distinguere i pattern realmente rischiosi dall’attività legittima. Allo stesso modo, un’istituzione che, sotto pressione di capacità, decida di differire in massa gli alert può preservare la fluidità operativa a scapito della funzione protettiva che il sistema è chiamato a garantire. La resilienza operativa impone quindi un criterio più preciso: non ogni forma di continuità è necessariamente utile e non ogni forma di ripresa è necessariamente sufficiente; la questione decisiva è se la funzione di integrità rimanga sostanzialmente riconoscibile e difendibile.
Risulta così evidente che, nell’ambito della gestione integrata dei rischi di criminalità finanziaria, la resilienza operativa non costituisce una qualità accessoria che divenga rilevante soltanto al manifestarsi di una crisi. Essa deve essere incorporata sin dalla progettazione dei processi, della tecnologia, della governance e dell’organizzazione del personale. Ciò presuppone un’identificazione esplicita dei processi la cui compromissione avrebbe conseguenze immediate per la protezione contro gli abusi finanziari ed economici, la definizione di livelli minimi di prestazione al di sotto dei quali tali processi non possono scendere, nonché la valutazione delle circostanze nelle quali una temporanea semplificazione possa rimanere ammissibile senza perdita di integrità normativa. Ciò implica inoltre che gli organi di vertice e il senior management comprendano che l’integrità finanziaria dipende non soltanto da regole e modelli di rilevazione, ma altrettanto dalla resistenza operativa. Un’istituzione che abbia affinato la propria logica di screening ma non disponga di alcuna risposta al guasto di flussi di dati critici, all’esaurimento del personale nei team investigativi, ai ritardi nelle escalation o al malfunzionamento degli strumenti di workflow possiede, in sostanza, una capacità di integrità limitata. La resilienza operativa introduce pertanto una diversa nozione di idoneità: non è idonea l’organizzazione che esibisce un framework di controllo completo solo in condizioni di routine, bensì quella che sia in grado di dimostrare credibilmente che le operazioni critiche di integrità rimangono sufficientemente integre anche in circostanze anomale, degradate e caotiche.
Processi critici, dipendenze e snodi sensibili alle perturbazioni
Nel quadro della gestione integrata dei rischi di criminalità finanziaria, un approccio complessivo alla resilienza operativa richiede anzitutto una delimitazione precisa e sostanzialmente fondata dei processi che devono essere considerati critici. Tale questione non può essere risolta facendo riferimento ai soli titoli organizzativi o ai confini dipartimentali, ma deve essere valutata in funzione delle conseguenze potenziali che un’interruzione, un ritardo o un deterioramento qualitativo produrrebbero sulla protezione contro gli abusi finanziari ed economici. Processi quali la due diligence della clientela, lo screening di persone fisiche e giuridiche rispetto a liste sanzionatorie e di controllo, l’analisi delle adverse media, l’event detection, il monitoraggio transazionale, il triage degli alert, la formazione dei dossier investigativi, l’escalation verso team specialistici, il processo decisionale relativo a operazioni inusuali o sospette, nonché la formalizzazione delle motivazioni e degli elementi probatori, non devono in questo contesto essere considerati come atti operativi distinti, bensì come componenti di una catena continua di protezione. L’alterazione di un solo anello può compromettere l’affidabilità di tutti i successivi. Quando lo screening non è sufficientemente aggiornato, l’avvio del rapporto diventa vulnerabile; quando il triage degli alert subisce ritardi, le indagini perdono rilevanza temporale; quando la costruzione del fascicolo è carente, il processo decisionale perde il proprio fondamento probatorio; quando le escalation si bloccano, emerge un vuoto manageriale precisamente nel momento in cui urgenza e precisione sono simultaneamente richieste. Il carattere critico non risiede quindi soltanto nell’importanza isolata di un processo, ma anche nella sua collocazione all’interno della catena e nel grado in cui la perturbazione si propaga all’insieme del dispositivo.
Una valutazione rigorosa delle dipendenze è, a tale riguardo, indispensabile. I moderni assetti di gestione integrata dei rischi di criminalità finanziaria poggiano su un complesso insieme di condizioni tecniche, organizzative ed esterne. Le fonti di dati interne devono rimanere complete, tempestive e coerenti. Le fonti di dati esterne relative a sanzioni, persone politicamente esposte, informazioni avverse, strutture societarie e verifica dell’identità devono rimanere affidabili e aggiornate. I sistemi di workflow devono essere in grado di sostenere, instradare e conservare i fascicoli in modo auditabile. Le catene decisionali devono disporre di una capacità specialistica sufficiente e restare accessibili al di fuori delle ordinarie finestre operative quando diventi necessaria un’azione urgente. Inoltre, esistono dipendenze tacite che, nella prassi, emergono spesso soltanto in situazioni di perturbazione, quali la dipendenza da un numero ristretto di soggetti chiave dotati di conoscenze uniche sui sistemi, la dipendenza da soluzioni manuali di aggiramento attuabili soltanto da un numero limitato di persone, oppure la dipendenza da schemi impliciti di coordinamento tra prima e seconda linea che non sono mai stati formalizzati. In un approccio complessivo alla resilienza operativa, il dispositivo di integrità deve pertanto essere analizzato alla luce di strutture di dipendenza effettive e non esclusivamente sulla base di organigrammi formali. La vulnerabilità rilevante spesso non risiede in ciò che è stato espressamente designato come critico, ma in ciò la cui disponibilità viene silenziosamente presupposta.
Ne consegue che gli snodi sensibili alle perturbazioni devono essere resi sistematicamente visibili e non possono essere scoperti soltanto in occasione di incidenti. Un processo di screening dipendente da un unico fornitore esterno con limitate possibilità di fallback, un motore di alerting fondato su una sola connessione con una piattaforma di pagamento, un processo investigativo che non possa funzionare senza uno specifico ambiente di case management, oppure una struttura di escalation nella quale il processo decisionale di livello superiore sia eccessivamente concentrato nelle mani di un gruppo molto ristretto di persone, costituisce una vulnerabilità operativa che incide direttamente sulla tutela dell’integrità. Il test rilevante non consiste quindi soltanto nello stabilire se la probabilità di perturbazione sia ridotta, ma se le conseguenze di una perturbazione siano accettabili e se il sistema sia stato progettato in modo tale che la catena non si disintegri in maniera sproporzionata non appena un anello venga sottoposto a pressione. Un’istituzione che conduca seriamente tale analisi constaterà che la fragilità operativa si manifesta spesso alle interfacce tra processi, per esempio là dove i dati vengono trasferiti, là dove la prioritizzazione avviene tra team, là dove i sistemi sono collegati in modo semi-automatico, oppure là dove il processo decisionale dipende da un contesto che non è interamente riportato nel fascicolo. Nel contesto della gestione integrata dei rischi di criminalità finanziaria, ciò richiede un approccio nel quale non soltanto i controlli, ma anche i supporti di tali controlli, siano sottoposti a una valutazione di integrità. Questa è l’essenza di una logica di filiera in materia di resilienza operativa: la protezione contro gli abusi finanziari ed economici non è assicurata da misure isolate, ma dalla coerenza e dalla robustezza dell’infrastruttura entro cui tali misure operano.
Monitoraggio, screening, flussi di pagamento e processo decisionale sotto pressione
Quando l’attenzione si sposta dalle condizioni di routine alle situazioni di perturbazione, diventa evidente che monitoraggio, screening, flussi di pagamento e processo decisionale non possono essere trattati come domini funzionali distinti, bensì come espressioni interdipendenti di un’unica capacità di integrità. Nel contesto della gestione integrata dei rischi di criminalità finanziaria, il monitoraggio costituisce il livello continuo di rilevazione, lo screening il livello di presidio all’ingresso, i flussi di pagamento il canale operativo attraverso il quale il rischio può materializzarsi con grande rapidità, e il processo decisionale il livello normativo nel quale si determina quale forma di intervento sia appropriata e difendibile. In condizioni stabili, tale stratificazione può funzionare in modo relativamente ordinato. Sotto pressione, tuttavia, emerge un quadro assai diverso. L’aumento dei volumi, il deterioramento della qualità dei dati, i ritardi nell’aggiornamento delle liste, l’insufficienza delle informazioni contestuali, la gestione di incidenti in altre parti dell’organizzazione oppure sviluppi esterni sensibili sotto il profilo reputazionale producono una densificazione del rischio all’interno della quale tali funzioni amplificano reciprocamente le rispettive debolezze. Un ritardo nello screening incide sui flussi di pagamento; un picco di alert di monitoraggio grava sulla capacità investigativa; l’incertezza dei dati aumenta la pressione sul giudizio umano; la nervosità manageriale si traduce in blocchi più estesi o in un abbassamento delle soglie di intervento. Il punto essenziale è che, sotto pressione, la gestione integrata dei rischi di criminalità finanziaria non può essere valutata facendo riferimento alla sola efficienza di processi isolati, ma in funzione del grado in cui il sistema continua a prioritizzare, ponderare e intervenire in modo coerente.
Tale interdipendenza si manifesta in particolare nella tensione tra rapidità e precisione. I flussi di pagamento richiedono, in molti casi, un trattamento immediato o quasi immediato, mentre screening e monitoraggio producono spesso esiti probabilistici o dipendenti dal contesto che richiedono una valutazione umana. In condizioni ordinarie, un’istituzione può gestire tale tensione mediante regole di rilevazione ben calibrate, tempistiche decisionali praticabili e una capacità investigativa sufficiente. In situazioni di perturbazione, tuttavia, tale tensione si intensifica sensibilmente. Un’improvvisa modifica sanzionatoria può imporre l’adattamento, in un lasso di tempo molto breve, di liste, scenari e logica di matching; un’ondata di frodi può far crescere i volumi di alert fino a un livello tale da rendere insostenibile il triage ordinario; un incidente informatico può rendere inaccessibili parti dei flussi di pagamento o del contesto cliente; disordini sociali o una crisi internazionale possono ridurre la tolleranza verso i falsi negativi mentre, al contempo, i falsi positivi aumentano in modo esponenziale. È in circostanze di questo tipo che diventa manifesto se la gestione integrata dei rischi di criminalità finanziaria sia stata progettata con una dottrina esplicita di azione sotto pressione. In mancanza di tale dottrina, l’organizzazione rischia di scivolare verso misure ad hoc: controlli manuali grossolani privi di criteri coerenti, blocco esteso dei flussi transazionali senza una logica di rischio sufficientemente granulare, oppure decisioni di rilascio accelerate senza un adeguato fondamento probatorio nel fascicolo. Nessuna di tali reazioni costituisce una forma durevole di tutela dell’integrità, poiché in tal modo si perde la logica interna del dispositivo.
Il processo decisionale sotto pressione costituisce quindi una funzione centrale distinta che non può rimanere implicita nel quadro della gestione integrata dei rischi di criminalità finanziaria. La questione non riguarda soltanto il potere formale di trattenere transazioni, sottoporre clienti a revisione rafforzata o sottoporre questioni a escalation a livelli superiori dell’organizzazione, ma la capacità di porre in essere tutto ciò sulla base di priorità predefinite, standard di proporzionalità, requisiti minimi di documentazione e poteri emergenziali chiaramente delimitati. Quando la tensione operativa aumenta, il potere effettivo tende infatti a spostarsi verso i punti in cui l’informazione è disponibile più rapidamente o là dove i colli di bottiglia si avvertono con maggiore intensità. Ne può conseguire che le decisioni vengano, nella pratica, assunte da collaboratori o team che non dispongono di una visione sufficiente delle implicazioni più ampie, oppure che la valutazione del rischio venga influenzata in misura eccessiva dalla pressione connessa alla fluidità operativa, da considerazioni reputazionali o dall’intervento manageriale. Un approccio resiliente esige pertanto che l’assetto decisionale rimanga istituzionalmente riconoscibile anche in condizioni di stress: deve essere chiaro quali categorie di segnali richiedano priorità assoluta, in quale momento una revisione da parte del senior management sia obbligatoria, quali misure emergenziali possano essere adottate a titolo temporaneo, quali decisioni non possano essere assunte senza una motivazione espressa, e in che modo sarà accertato ex post se la funzione di integrità sia rimasta, durante la perturbazione, entro limiti accettabili. In tal senso, il processo decisionale sotto pressione non costituisce una questione accessoria, bensì un autentico banco di prova della credibilità della gestione integrata dei rischi di criminalità finanziaria nel suo complesso.
Architetture di failover, ridondanza e fallback
Nel contesto della gestione integrata dei rischi di criminalità finanziaria, le architetture di failover, ridondanza e fallback non costituiscono un mero affinamento tecnico, ma la necessaria traduzione del riconoscimento secondo cui le funzioni critiche di integrità non devono dipendere da un unico e solo percorso esecutivo. L’approccio classico, nel quale la continuità operativa mira principalmente al ripristino di processi aziendali generici a seguito di una perturbazione maggiore, è insufficiente in questo ambito, poiché la tutela dell’integrità finanziaria poggia spesso su sistemi strettamente intrecciati, flussi di dati, regole decisionali e processi di lavoro specialistici, la cui alterazione anche soltanto parziale può già essere sufficiente a indebolire materialmente la funzione protettiva. Un’istituzione può rimanere formalmente operativa benché il flusso sanzionatorio subisca ritardi, il motore di screening non elabori nuovi match, i dossier investigativi vengano sincronizzati in modo incompleto o la logica di instradamento degli alert urgenti non sia più affidabile. Il failover deve pertanto essere inteso in senso più ampio rispetto al semplice subentro automatico di un’infrastruttura secondaria. Esso comprende anche la continuità funzionale: la questione se un’operazione critica di integrità possa proseguire mediante strumenti alternativi, mantenendo un livello minimo di qualità e controllabilità, quando il percorso principale divenga indisponibile. La ridondanza, allo stesso modo, non si limita ad apparecchiature duplicate o ambienti in mirroring, ma si estende anche alla ridondanza delle fonti di dati, delle competenze, della capacità decisionale, dei circuiti di escalation e dei protocolli di supporto manuale. Il fallback, infine, non presuppone una replica completa dell’operatività ordinaria, ma una modalità emergenziale progettata in anticipo, all’interno della quale sia comunque possibile un presidio temporaneamente semplificato ma ancora difendibile.
La portata giuridica e manageriale di tali architetture è considerevole. In assenza di una riflessione su failover e fallback, un’istituzione si espone al rischio di dover improvvisare in condizioni di perturbazione in un ambito nel quale l’improvvisazione può rapidamente trasformarsi in incoerenza, disparità di trattamento, motivazione insufficiente e perdita di auditabilità. Nel quadro della gestione integrata dei rischi di criminalità finanziaria, è pertanto necessario determinare, per ciascuna funzione critica, quali requisiti minimi di protezione si applichino quando il sistema principale, il dataset principale o il workflow principale diventino indisponibili. In materia di screening sanzionatorio, ciò può significare che una fonte secondaria di dati sulle liste sia immediatamente attivabile, che siano stati predisposti controlli manuali accelerati per le categorie ad alto rischio e che i poteri autorizzativi per il rilascio siano temporaneamente irrigiditi quando la qualità del matching divenga incerta. In materia di monitoraggio transazionale, ciò può significare che esistano scenari di limitazione risk-based del perimetro di review, a condizione che determinati tipi di transazione, combinazioni geografiche o pattern di controparti rimangano pienamente visibili. In materia di attività istruttoria, ciò può richiedere l’esistenza di un processo emergenziale che consenta di registrare, anche al di fuori del sistema principale, decisioni, elementi probatori e motivazioni in forma sufficientemente strutturata fino al completo ripristino. Il valore di tali architetture non risiede nella perfezione, bensì nella prevedibilità e nella capacità di delimitare gli effetti della perturbazione: esse impediscono che la funzione di integrità precipiti in un vuoto normativo.
Occorre al tempo stesso riconoscere che la ridondanza è costosa, complessa e talvolta poco attraente sul piano organizzativo. Proprio per questo essa costituisce una questione di prioritizzazione strategica e non di mera configurazione tecnica. Non tutte le funzioni richiedono una duplicazione completa, ma ogni funzione valutata come critica implica nondimeno una scelta esplicita circa il livello di perdita di disponibilità o di qualità che possa essere tollerato, per quale durata e a quali condizioni manageriali. Un’istituzione che non effettui tali scelte abbandona in realtà l’esito di una perturbazione al caso, all’improvvisazione locale e alla pressione del tempo. Nel quadro della gestione integrata dei rischi di criminalità finanziaria, si tratta di una posizione pericolosa, poiché le conseguenze di un fallback inadeguato non si limitano all’inefficienza interna, ma possono condurre a un’esposizione non rilevata al rischio sanzionatorio, a una risposta insufficiente rispetto a pattern di frode, ad arretrati nell’escalation di operazioni inusuali oppure a un blocco sproporzionato di clienti e transazioni legittimi. Un’architettura robusta richiede pertanto che failover e fallback non siano trattati come mere questioni informatiche, ma siano collegati alle policy interne, ai poteri decisionali, alla preparedness del personale, alla formazione, agli esercizi di scenario e alla valutazione ex post. Il criterio ultimo non è stabilire se esista un meccanismo alternativo, ma se tale meccanismo offra, in uno scenario realistico di perturbazione, direzione, rapidità, controllabilità e spiegabilità sufficienti a mantenere la funzione di integrità in uno stato riconoscibilmente integro.
Risposta agli incidenti, escalation e coordinamento operativo
La risposta agli incidenti nel quadro della gestione integrata dei rischi di criminalità finanziaria non deve essere intesa come una reazione generica alla crisi che si attivi soltanto dopo che si siano già materializzati danni tecnici o operativi. Essa deve, al contrario, essere concepita come un meccanismo di direzione critico per l’integrità che, sin dal primo segnale di perturbazione, orienti la prioritizzazione, la raccolta di informazioni, il processo decisionale, l’intervento e il ripristino. Ciò richiede un approccio radicalmente diverso rispetto a un modello nel quale la gestione degli incidenti sia rimessa in larga misura alle funzioni IT, di sicurezza o di generale continuità operativa, mentre i team di compliance e di contrasto alla criminalità finanziaria vengano coinvolti soltanto in una fase successiva. In un approccio complessivo alla resilienza operativa, il presupposto è che un incidente riguardante dati, tecnologia, capacità, performance di un fornitore o condizioni esterne possa avere quasi immediatamente ripercussioni sull’onboarding della clientela, sullo screening, sul monitoraggio, sui flussi di pagamento, sul trattamento degli alert e sugli obblighi di segnalazione. La risposta agli incidenti deve pertanto essere plasmata fin dall’origine anche attraverso la lente dell’integrità. Quali tipi di transazioni o segmenti di clientela presentino un rischio accresciuto fintanto che la perturbazione persiste, quali controlli siano stati colpiti, quali decisioni non possano più essere assunte attraverso i canali ordinari, quali processi alternativi rimangano disponibili e quali segmenti della catena di controllo richiedano un’immediata attenzione manageriale sono tutte questioni che non possono attendere il ripristino tecnico. In mancanza di tale integrazione precoce, si produce una pericolosa separazione tra stabilizzazione operativa e tutela dell’integrità.
L’escalation costituisce, in questo contesto, il ponte tra informazione e autorità. Un’istituzione può rispondere adeguatamente a una perturbazione soltanto se sia chiaro quali fatti debbano essere portati a quale livello, in quale momento, come si spostino i poteri decisionali in determinate circostanze e quali interventi possano essere temporaneamente consentiti o vietati. Nel quadro della gestione integrata dei rischi di criminalità finanziaria, l’escalation non dovrebbe pertanto essere limitata a una linea formale di reporting verso il management, ma dovrebbe funzionare come un meccanismo strutturato di traduzione dei fatti operativi in concetti di rischio. Ciò significa che i segnali operativi devono essere convertiti in nozioni dotate di significato manageriale per la funzione di integrità: perdita di copertura dello screening, riduzione dell’affidabilità del matching, accumulo di arretrati di alert ad alto rischio, compromissione dell’integrità documentale, riduzione della disponibilità di senior review oppure incertezza in ordine all’attualità dei dati sanzionatori. Soltanto quando tale traduzione abbia luogo il senior management o una struttura di crisi potrà compiere scelte informate in materia di semplificazione, restrizioni temporanee, poteri emergenziali o rafforzamento della capacità. In assenza di una simile traduzione, si delinea uno schema nel quale la direzione sa che esiste un incidente senza comprendere che cosa esso implichi per la posizione di integrità dell’istituzione. In tali circostanze, il rischio è significativo che la risposta risulti o eccessivamente contenuta, consentendo l’accumulo di vulnerabilità, oppure eccessivamente grossolana, sostituendo blocchi estesi e misure sproporzionate a un controllo mirato.
Il coordinamento operativo, infine, è la disciplina necessaria per impedire che la risposta agli incidenti e l’escalation si frammentino in schemi di reazione paralleli e scarsamente collegati tra loro. Nella prassi, una perturbazione della gestione integrata dei rischi di criminalità finanziaria colpisce spesso simultaneamente molteplici ambiti organizzativi: tecnologia, operations, compliance, funzione legale, risk management, contrasto alle frodi, relazione con la clientela, comunicazione e, in taluni casi, fornitori esterni o banche corrispondenti. In assenza di un coordinamento centrale, sostanzialmente competente, ciascun ambito rischia di agire secondo le proprie urgenze, definizioni e criteri di successo. La tecnologia può dare priorità al ripristino della disponibilità dei sistemi, le operations possono privilegiare la fluidità, la relazione con la clientela può sollecitare un rapido rilascio, mentre la compliance può esigere la massima cautela senza visibilità sulla concreta fattibilità operativa. La funzione del coordinamento operativo non è pertanto amministrativa, bensì costitutiva: essa preserva un’unica e coerente logica di integrità attraverso l’intera risposta. Ciò richiede una rappresentazione condivisa della situazione, una registrazione non equivoca delle decisioni, priorità esplicite, una rivalutazione continua delle misure emergenziali e un percorso chiaro di ritorno alla governance ordinaria una volta che la perturbazione si attenui. In un approccio di stile Skadden al controllo istituzionale, è proprio in questo passaggio che la qualità dell’organizzazione si manifesta con la massima nettezza: non nell’esistenza astratta di procedure, ma nella capacità di agire durante la perturbazione in modo coordinato, proporzionato, rigoroso e dimostrabilmente circoscritto entro limiti normativi.
Il ruolo dei dati, della tecnologia e della disciplina di processo nella continuità operativa
Nel contesto della gestione integrata dei rischi di criminalità finanziaria, la continuità operativa non può essere valutata in modo convincente senza un esame approfondito del ruolo svolto dai dati, dalla tecnologia e dalla disciplina di processo. Questi tre elementi non costituiscono meri presupposti di supporto per l’esecuzione dei controlli di integrità, bensì i veri e propri vettori dell’ordine operativo entro il quale possono realizzarsi la rilevazione, l’interpretazione, l’intervento e la responsabilizzazione. I dati forniscono la base informativa sulla quale si fondano lo screening, il monitoraggio e il processo decisionale; la tecnologia struttura il trattamento, l’instradamento e la registrazione di tali informazioni; la disciplina di processo garantisce che l’organizzazione utilizzi dati e tecnologia in modo coerente, spiegabile e controllabile. Nel momento in cui uno di questi tre pilastri si indebolisce, emerge un rischio cumulativo per effetto del quale la funzione di integrità può continuare ad apparire formalmente presente, pur perdendo, sul piano sostanziale, precisione, affidabilità e tracciabilità. In un contesto in cui la tensione operativa aumenta, tali vulnerabilità vengono ulteriormente amplificate. Problemi di qualità dei dati che, in condizioni ordinarie, possono ancora essere assorbiti mediante correzioni manuali, diventano improvvisamente, sotto pressione di crisi, fonte di corrispondenze erronee, segnali mancati e priorità poco chiare. Una tecnologia che funziona stabilmente sotto volumi normali può, se sottoposta a picchi di carico, latenza o errori di interfaccia, provocare una cascata di perturbazioni nella gestione degli alert, nel trasferimento dei fascicoli e nella registrazione delle decisioni. Una disciplina di processo che, in tempi stabili, sembra scontata può, sotto la pressione del tempo, degenerare in scorciatoie informali, in una costruzione incompleta del fascicolo e in eccezioni insufficientemente delimitate. In tale quadro, la gestione integrata dei rischi di criminalità finanziaria deve riconoscere che la continuità operativa non è soltanto una questione di disponibilità dei sistemi, ma altresì di affidabilità informativa, coerenza funzionale e costanza comportamentale.
Ciò significa che, nell’ambito di un approccio globale alla resilienza operativa, i dati devono essere trattati come un asset critico di integrità, dotato di un proprio profilo di resilienza. Non rileva soltanto l’esistenza dei dati, ma soprattutto la questione se essi rimangano tempestivi, completi, coerenti, aggiornati e utilizzabili nel contesto durante una perturbazione. I dati relativi alla clientela, alle transazioni, alle controparti, agli indicatori geografici, alle classificazioni di rischio, alle liste di screening, ai segnali provenienti dalle adverse media e alle informazioni storiche sui casi costituiscono congiuntamente i presupposti di una lettura significativa del rischio. Quando, nel corso di una dislocazione operativa, i flussi di dati si frammentano, gli aggiornamenti rallentano, gli attributi cessano di restare sincronizzati o il contesto storico diviene difficilmente accessibile, la qualità della gestione integrata dei rischi di criminalità finanziaria ne risulta direttamente compromessa, anche laddove le fasi formali di controllo continuino a essere eseguite. Un processo di screening privo di integrazione aggiornata delle liste può creare l’apparenza del progresso mentre corrispondenze materialmente rilevanti restano fuori dal campo visivo. Un ambiente di monitoraggio transazionale alimentato da input incompleti o ritardati può generare alert che appaiono plausibili sulla carta, ma che risultano, nella sostanza, fuorvianti, obsoleti o insufficientemente orientati al rischio. Un processo di case management che non mostri in modo integrato valutazioni o escalation precedenti costringe i decisori ad agire sulla base di una comprensione ristretta. La resilienza dei dati richiede pertanto più di una generica data governance. Essa presuppone l’identificazione esplicita di quali dataset siano indispensabili per quali decisioni di integrità, di quali livelli qualitativi minimi debbano essere mantenuti durante la perturbazione, di quali controlli esistano per rilevare tempestivamente il degrado e di quali procedure di emergenza siano disponibili quando i dati primari risultino incompleti o incerti.
Tecnologia e disciplina di processo costituiscono poi il quadro entro il quale tali dati vengono convertiti in output operativi governabili. La tecnologia, in questo ambito, non è neutrale; essa determina quali segnali divengano visibili, come vengano attribuite le priorità, quale percorso segua un caso, come vengano registrate le eccezioni e come venga preservata l’auditabilità quando l’organizzazione è sottoposta a pressione. Per questa ragione, la continuità tecnologica nell’ambito della gestione integrata dei rischi di criminalità finanziaria non si esaurisce nell’uptime delle applicazioni. Ciò che riveste importanza decisiva è stabilire se i sistemi continuino, in situazione di perturbazione, a fornire in modo affidabile le proprie funzionalità essenziali, se i collegamenti tra monitoraggio, screening, pagamenti e case management rimangano intatti e se le soluzioni manuali di emergenza non comportino una perdita di controllo delle versioni, della motivazione delle decisioni o dell’integrità del fascicolo. La disciplina di processo costituisce il punto di chiusura di tale architettura. Essa garantisce che dipendenti, team e responsabili continuino, anche in circostanze disordinate, a muoversi entro standard riconoscibili in materia di registrazione, escalation, proporzionalità e ricorso alle eccezioni. Laddove la disciplina di processo venga meno, la tecnologia diventa rapidamente una fonte di falsa sicurezza: i sistemi registrano azioni, ma non necessariamente azioni coerenti o difendibili. Laddove la tecnologia si riveli insufficiente, la disciplina di processo può offrire una protezione temporanea, ma soltanto se percorsi di emergenza siano stati progettati e sperimentati in anticipo. In una prospettiva integrata, il ruolo dei dati, della tecnologia e della disciplina di processo dimostra dunque che la continuità operativa, nel contesto della gestione integrata dei rischi di criminalità finanziaria, non può essere ridotta a mera continuità tecnica, ma deve essere compresa come la possibilità duratura di proteggere l’integrità finanziaria sotto pressione attraverso informazioni affidabili, sistemi appropriati ed esecuzione disciplinata.
La perturbazione di fornitori, terze parti e catene operative
La dipendenza da fornitori, terze parti e catene operative più ampie rientra, nel contesto della gestione integrata dei rischi di criminalità finanziaria, tra le fonti più sottovalutate di vulnerabilità strutturale. Nelle organizzazioni finanziarie moderne, una parte significativa della capacità effettiva di integrità è sorretta da componenti esterne: fornitori di dati sanzionatori, servizi di verifica dell’identità, cloud provider, utility KYC, piattaforme di workflow, soluzioni di transaction filtering, strumenti di adverse media, partner per l’elaborazione dei pagamenti, piattaforme di indagine e varie forme di servizi gestiti. In condizioni ordinarie, tali dipendenze possono accrescere efficienza, scalabilità e profondità specialistica. In presenza di perturbazioni, esse rivelano tuttavia una realtà diversa. Indisponibilità esterne, ritardi, contaminazione dei dati, ambiguità contrattuale, rischio di concentrazione o insufficiente trasparenza nella performance di terze parti possono determinare un indebolimento operativo inatteso di un impianto di integrità che, internamente, appariva solido, in una forma che non risulta né immediatamente visibile né facilmente compensabile. Nel quadro della gestione integrata dei rischi di criminalità finanziaria, occorre pertanto riconoscere che la questione del controllo non si arresta ai confini dell’organizzazione stessa. La protezione contro gli abusi finanziari ed economici è forte soltanto quanto il più critico anello della catena operativa esterna dalla quale tale protezione, in concreto, dipende.
Un approccio globale alla resilienza operativa richiede quindi che le dipendenze da terze parti non vengano trattate come un tema separato di vendor management, ma come una componente integrante dell’architettura di protezione dell’integrità finanziaria. L’analisi rilevante non riguarda soltanto il fatto che un fornitore sia stato valutato sul piano contrattuale, che esistano livelli di servizio e che vengano svolte revisioni periodiche. È necessario un esame assai più penetrante della criticità funzionale, della sostituibilità, della concentrazione, della rilevabilità del guasto e della disponibilità di capacità di fallback. Un’istituzione deve essere in grado di determinare quali servizi esterni siano essenziali per quali componenti della gestione integrata dei rischi di criminalità finanziaria, con quale rapidità una perturbazione diventi visibile, quali effetti a valle si manifestino quando il servizio si degrada e se esistano percorsi manuali o alternativi attivabili entro tempi e standard qualitativi accettabili. Un fornitore esterno di dati sanzionatori con aggiornamenti ritardati può, per esempio, compromettere simultaneamente l’affidabilità dello screening e della review periodica. Una piattaforma di case management basata sul cloud può, in presenza di problemi di performance, non soltanto ostacolare la distribuzione del carico di lavoro, ma anche compromettere la coerenza della documentazione e delle escalation. Un fornitore di verifica dell’identità può, in caso di indisponibilità, ritardare le decisioni di onboarding, ma può anche indurre una semplificazione dei controlli di identità proprio nel momento in cui il rischio di frode è elevato. Il significato operativo di tali dipendenze, pertanto, va ben oltre la mera performance contrattuale del fornitore; esso investe il nucleo stesso della questione se l’istituzione rimanga in grado, durante una disorganizzazione, di dare concreta attuazione ai propri standard di integrità.
Ne consegue che le perturbazioni nelle catene operative non devono soltanto essere assorbite, ma devono essere affrontate normativamente in anticipo. Ciò richiede che le organizzazioni sviluppino scenari nei quali il fallimento di terze parti venga considerato non soltanto sotto il profilo tecnico, ma anche dal punto di vista dei poteri decisionali, della prioritizzazione del rischio e delle temporanee semplificazioni dei controlli. Quali transazioni possano proseguire quando una componente di screening sia divenuta incerta, quali categorie di clientela richiedano un’ulteriore revisione manuale quando un servizio di identificazione sia indisponibile, quali escalation diventino obbligatorie quando un fornitore non sia più in grado di garantire la completezza dei dati e a quali condizioni un servizio esterno debba essere considerato materialmente degradato, sono tutte questioni che devono essere risolte in via preventiva. In assenza di una tale elaborazione normativa preliminare, si manifesta, durante gli incidenti, la tendenza a reagire mediante compromessi grossolani: arresti estesi, ampliamenti indiscriminati delle eccezioni o la finzione che i team interni possano assorbire temporaneamente, senza preparazione, una funzione esterna venuta meno. Nessuna di tali reazioni fornisce una base solida per la gestione integrata dei rischi di criminalità finanziaria. La resilienza delle catene operative presuppone pertanto precisione contrattuale, meccanismi di fallback tecnico, protocolli di incidente chiari, accordi di escalation e una consapevolezza istituzionale del fatto che l’esternalizzazione o la dipendenza da piattaforme non trasferiscono la responsabilità per la protezione dell’integrità. L’obbligo di preservare l’integrità finanziaria sotto pressione resta integralmente in capo all’istituzione, anche quando l’infrastruttura operativa dalla quale essa dipende si trovi in parte al di là dei suoi confini organizzativi diretti.
La resilienza operativa come criterio di verifica di una gestione integrata dei rischi di criminalità finanziaria resistente allo stress
In ogni approccio serio alla gestione integrata dei rischi di criminalità finanziaria, la resilienza operativa costituisce il criterio decisivo per stabilire se un’organizzazione sia in grado di preservare in modo significativo la propria funzione di integrità anche in condizioni di stress. Ciò fa della resilienza operativa non un tema laterale accanto ai framework sostanziali di rischio, ma il parametro rispetto al quale deve essere misurata la capacità materiale di tali framework di sopportare carichi avversi. In condizioni tranquille, quasi ogni sistema può apparire convincente. Le policy sono stabilite, la governance è descritta, gli scenari sono configurati, i percorsi di escalation esistono sulla carta e i controlli chiave mostrano una cadenza ordinata. La vera qualità della gestione integrata dei rischi di criminalità finanziaria, tuttavia, diviene visibile solo quando si verificano circostanze nelle quali i volumi aumentano, i segnali si susseguono rapidamente, i dati diventano incerti, la capacità umana si fa più scarsa e la pressione esterna deforma il processo decisionale. Un sistema che, in tali circostanze, non sia più in grado di mantenere una prioritizzazione mirata, non sappia più quali controlli debbano essere preservati a ogni costo, oppure ricada in blocchi estesi, eccezioni implicite o carenze nella costruzione dei fascicoli, dimostra che la propria architettura di integrità è resistente alla routine, ma non allo stress. In questo senso, la resilienza operativa non è un obiettivo organizzativo astratto, bensì la prova pratica del nove per accertare se la gestione integrata dei rischi di criminalità finanziaria sia in grado di reggere nei contesti in cui gli abusi finanziari ed economici trovano la loro massima opportunità.
Un approccio resistente allo stress richiede che l’istituzione definisca chiaramente in anticipo quali capacità di integrità debbano rimanere riconoscibili in ogni circostanza. Ciò concerne non soltanto funzioni tecniche, ma anche una combinazione di capacità di rilevazione, capacità decisionale, differenziazione del rischio, integrità documentale, spiegabilità e capacità di recupero. Una gestione integrata dei rischi di criminalità finanziaria resistente allo stress significa che l’organizzazione è ancora in grado, anche durante la disorganizzazione, di distinguere quali clienti, transazioni, segnali ed eventi richiedano attenzione immediata, quali forme di semplificazione possano essere temporaneamente contemplate e quali limiti restino inviolabili. Significa inoltre che le eccezioni non possono diventare un riflesso non regolato, ma possono essere ammesse soltanto all’interno di un regime previamente delimitato di autorità, giustificazione e temporaneità. In assenza di una simile delimitazione, emerge uno schema nel quale lo stress operativo produce erosione normativa. I controlli possono allora rimanere formalmente presenti, ma perdere il proprio significato protettivo poiché vengono applicati selettivamente, svuotati nella sostanza o non più giustificabili in modo convincente ex post. La resilienza operativa impone pertanto una ridefinizione di ciò che debba intendersi per controllo effettivo. Effettivo non è il dispositivo che porta a compimento ogni passaggio procedurale in condizioni ideali, bensì quello che, sotto pressione, rimane in grado di svolgere le funzioni fondamentali della gestione integrata dei rischi di criminalità finanziaria senza perdita inaccettabile di direzione, coerenza o proporzionalità giustificabile.
Diviene così evidente che la resilienza operativa non è soltanto una questione di esecuzione, ma anche un quadro valutativo per la governance, l’assurance e la vigilanza. Un’istituzione che intenda considerare seriamente la gestione integrata dei rischi di criminalità finanziaria come una disciplina resistente allo stress non può accontentarsi di tradizionali control testing, di ordinari key risk indicators o di documenti generali di business continuity. È necessario che esercitazioni di scenario, near misses, dati di perturbazione, rotture di capacità, degrado dei sistemi, fallimenti di terze parti e temporanee semplificazioni dei controlli vengano analizzati in modo sistematico come segnali della reale capacità di carico dell’architettura di integrità. La prova rilevante della qualità non risiede allora soltanto nella conformità alle policy, ma in prestazioni operative dimostrabili in circostanze non standard. L’organizzazione è in grado di rendere visibile quali funzioni siano critiche, quale degrado sia tollerabile, come funzioni l’escalation durante la perturbazione, quali percorsi di fallback esistano e come avvenga l’apprendimento dopo gli incidenti? Se questi elementi non possono essere dimostrati in modo convincente, diviene difficile sostenere che ci si trovi in presenza di una gestione integrata dei rischi di criminalità finanziaria effettivamente resistente allo stress, indipendentemente dal grado di sofisticazione del framework formale. La resilienza operativa diventa così il criterio sostanziale per stabilire se l’integrità finanziaria possa essere protetta non soltanto in condizioni analitiche stabili, ma anche in presenza di una reale tensione operativa.
Dalla business continuity alla resilienza operativa integrata
Il passaggio dalla business continuity alla resilienza operativa integrata segna, nel contesto della gestione integrata dei rischi di criminalità finanziaria, un ampliamento sostanziale della prospettiva, dell’ambizione e dei criteri di accountability. Gli approcci tradizionali di business continuity si concentrano generalmente sulla capacità di un’organizzazione di riprendere attività critiche dopo una perturbazione entro determinati tempi di recupero. Tale prospettiva conserva la propria rilevanza, ma risulta insufficiente nel dominio dell’integrità finanziaria. Essa dice poco sulla qualità della funzione di integrità durante la perturbazione stessa, su quali controlli debbano allora essere materialmente preservati, o sulla misura in cui il processo decisionale, la documentazione e la proporzionalità restino intatti in quel periodo. La resilienza operativa integrata richiede quindi più della mera esistenza di siti di repli, piani di recupero e comunicazioni di crisi. Essa esige un approccio end-to-end in cui i servizi critici di integrità non soltanto possano essere riavviati, ma possano continuare a funzionare, durante la perturbazione, in modo governabile, spiegabile e orientato al rischio. L’attenzione si sposta così dal recupero successivo all’evento al controllo durante la perturbazione. Per la gestione integrata dei rischi di criminalità finanziaria, tale distinzione è di grande importanza, perché gli abusi finanziari ed economici non si sospendono fino a quando l’organizzazione non abbia ritrovato la propria condizione ordinaria. Al contrario, i periodi di dislocazione operativa spesso aumentano le opportunità di abuso, poiché i controlli si frammentano, la capacità viene riallocata altrove e si crea pressione per privilegiare il flusso rispetto alla precisione.
Questo ampliamento significa che l’istituzione deve iniziare a considerare la propria funzione di integrità come un sistema operativo coerente, la cui salute è determinata da molto più della sola disponibilità. La resilienza operativa integrata ricomprende l’affidabilità dei dati, la continuità della tecnologia critica, l’efficacia dei percorsi di escalation, la disponibilità di competenze specialistiche, la robustezza delle relazioni con terze parti, la coerenza delle misure di emergenza e la capacità di ritornare, dopo una perturbazione, a una governance regolare in modo ordinato, senza perdita di qualità dei fascicoli né perdita di supervisione sugli arretrati. A differenza della business continuity classica, che conserva ancora troppo spesso un carattere generico o centrato sull’infrastruttura, questo approccio richiede una differenziazione in funzione della criticità in termini di integrità. Non ogni fase di processo esige lo stesso livello di protezione, ma per ogni fase critica deve essere chiaro quale perdita di qualità o di rapidità rimanga accettabile e quali condizioni di governance si applichino una volta raggiunta quella zona di soglia. Questo spostamento verso una resilienza integrata comporta anche una diversa forma di responsabilità del consiglio. Il consiglio non può limitarsi a chiedersi se esista un piano di continuità; è necessaria una comprensione della questione se l’istituzione sia ancora in grado di eseguire, durante una perturbazione, una forma riconoscibile, equilibrata e controllabile di gestione integrata dei rischi di criminalità finanziaria.
Da una prospettiva istituzionale, questa transizione è importante anche perché richiede una diversa cultura della preparazione e della responsabilità. Nella pratica, la business continuity può ridursi a documentazione aggiornata periodicamente, ma priva di una connessione profonda con il funzionamento reale dei processi di integrità. La resilienza operativa integrata non tollera tale distanza. Essa esige che gli scenari vengano esercitati nei punti in cui le control chains sono realmente vulnerabili, che le lezioni tratte da incidenti e near misses conducano a riprogettazioni strutturali e che le informazioni gestionali non si limitino alla durata del recupero o alla disponibilità dei sistemi, ma forniscano visibilità anche sugli arretrati di alert, sul degrado qualitativo, sull’integrità dei fascicoli, sulla rapidità delle escalation e sull’efficacia delle misure di fallback. Nel contesto della gestione integrata dei rischi di criminalità finanziaria, ciò significa che il linguaggio della continuità deve essere arricchito dal linguaggio della protezione dell’integrità. Il recupero non è sufficiente se nel frattempo l’ordine normativo è andato perduto. La disponibilità non è sufficiente se i dati rilevanti sono divenuti inaffidabili. Il flusso non è sufficiente se la differenziazione del rischio è scomparsa. Il passaggio dalla business continuity alla resilienza operativa integrata rappresenta, in definitiva, il passaggio da una risposta organizzativa generica a un requisito molto più oneroso: l’organizzazione deve essere dimostrabilmente capace di proteggere l’integrità finanziaria non solo dopo le crisi, ma anche durante le crisi, in modo difendibile.
La resilienza operativa come condizione minima di una protezione credibile
Nel quadro della gestione integrata dei rischi di criminalità finanziaria, la resilienza operativa deve essere considerata come una condizione minima di una protezione credibile contro gli abusi finanziari ed economici. Tale affermazione va oltre l’idea secondo cui la resilienza operativa sarebbe semplicemente utile, desiderabile o complementare. Essa esprime che, in assenza di sufficiente resilienza, la correttezza sostanziale dei controlli, delle policy e delle strutture di governance non basta per poter parlare di un sistema di integrità convincente. Un sistema può disporre di regole di rilevazione avanzate, di standard estesi di due diligence della clientela, di linee di escalation formalmente chiare e di requisiti documentali apparentemente robusti, ma se tali elementi, nella pratica, si rivelano dipendenti da infrastrutture fragili, capacità specialistiche limitate, fornitori insostituibili o processi decisionali di crisi scarsamente esercitati, allora la pretesa di protezione avanzata da quel sistema risulta fondamentalmente indebolita. Una protezione credibile non presuppone che la perturbazione possa essere esclusa. Presuppone però che la perturbazione non conduca immediatamente alla disintegrazione della funzione di integrità. Il requisito minimo consiste pertanto nel fatto che l’organizzazione dimostri in modo plausibile che i meccanismi critici di protezione conservino, anche al di fuori delle condizioni ordinarie, sufficiente sostanza operativa per identificare, valutare e affrontare i rischi in modo proporzionato.
L’importanza di tale carattere minimo risiede nel fatto che esso libera la discussione dall’equivoco secondo cui la resilienza operativa diverrebbe rilevante solo per istituzioni di eccezionale complessità o in rari scenari di crisi. Ogni organizzazione esposta a rischi di riciclaggio, rischi sanzionatori, rischi di frode o rischi di corruzione opera in un contesto nel quale perturbazioni possono verificarsi in molteplici forme: guasti tecnologici, contaminazione dei dati, indisponibilità del personale, picchi di volume, interruzioni di catena, evoluzione delle norme esterne o improvvisi sviluppi geopolitici. In tutte queste situazioni sorge la questione se la gestione integrata dei rischi di criminalità finanziaria continui a funzionare come un sistema coerente di protezione oppure ricada in reazioni di emergenza rudimentali. Nel momento in cui si verifica quest’ultima eventualità, l’istituzione perde non soltanto efficacia, ma anche credibilità agli occhi delle autorità di vigilanza, delle controparti, della clientela e dei propri organi di governance. Una protezione credibile, infatti, non richiede soltanto intenzione o conformità formale, ma una governabilità dimostrabile sotto tensione. Un’istituzione che non disponga di valori soglia espliciti per il degrado qualitativo, di percorsi di fallback sperimentati, di poteri di crisi chiari per le temporanee semplificazioni dei controlli e di visibilità sulle dipendenze di catena della propria funzione di integrità si trova in una posizione nella quale la pretesa di un’adeguata protezione è difficilmente sostenibile in modo convincente.
L’approccio globale alla resilienza operativa conduce così a una conclusione istituzionale chiara. La gestione integrata dei rischi di criminalità finanziaria deve essere progettata, valutata e migliorata sulla base della questione se la funzione di integrità resti intatta anche quando le circostanze si discostano dalla norma, quando la capacità è sottoposta a pressione e quando la tentazione di preferire semplicità, rapidità o calma manageriale a un controllo granulare e solidamente documentato del rischio diviene particolarmente forte. La resilienza operativa non costituisce, in questo quadro, uno strato aggiuntivo di qualità posto al di sopra dei controlli esistenti, ma la soglia inferiore al di sotto della quale tali controlli perdono il loro significato protettivo. Laddove tale soglia sia stata esplicitamente pensata e tradotta in ridondanza, fallback, governance di crisi, affidabilità dei dati, visibilità sulle catene, disciplina di processo e capacità di apprendimento, emerge un sistema di integrità che non è soltanto normativamente convincente, ma che rimane anche governabile sotto tensione. Laddove tale soglia non sia stata elaborata, la protezione rimane, in misura decisiva, dipendente da circostanze favorevoli. E un sistema che convinca soltanto in circostanze favorevoli non offre alcun fondamento solido alla pretesa di poter realmente proteggere l’integrità finanziaria in una realtà imprevedibile e soggetta a perturbazioni.
