L’emergere della direttiva sulla resilienza delle entità critiche (Critical Entities Resilience Directive, CERD) e della legge olandese sulla resilienza delle entità critiche (Wet weerbaarheid kritieke entiteiten, Wwke) segna una profonda riorganizzazione del pensiero giuridico in materia di protezione, continuità e responsabilità di governance nei settori vitali e critici. Laddove i modelli di protezione precedenti erano in larga misura orientati verso norme di sicurezza settoriali, obblighi di protezione tecnica e interventi determinati dall’incidente, questo nuovo quadro normativo riflette uno spostamento assai più fondamentale. Il centro dell’analisi non risiede più soltanto nella questione di come prevenire rischi isolati o di come contenere i danni dopo una perturbazione, bensì, in misura molto maggiore, nella questione di come garantire in modo durevole la prestazione di servizi essenziali in condizioni di disorganizzazione, pressione ibrida, tensione geopolitica, influenza economica, sabotaggio, infiltrazione e interruzione delle catene di approvvigionamento. Tale distinzione è decisiva. Essa implica che la valutazione giuridica delle entità critiche non si svolga più principalmente alla luce di obblighi di conformità rigidamente circoscritti, bensì con riferimento al criterio molto più esigente della resilienza strutturale. Nell’ambito di tale criterio, la governance, l’identificazione dei rischi, il controllo delle catene di approvvigionamento, l’esame degli assetti proprietari, le dipendenze operative, le strutture di investimento, i rapporti con i terzi e la preparazione alle crisi sono riuniti in un’unica logica analitica coerente. Ne deriva un campo normativo nel quale la protezione delle infrastrutture critiche e dei servizi essenziali non può più essere considerata come un insieme di obblighi tecnici o amministrativi distinti, bensì come un complesso di requisiti di diritto pubblico e di organizzazione che incide direttamente sulla stabilità dell’ordine sociale ed economico.
Per la gestione integrata dei rischi di criminalità finanziaria, tale evoluzione riveste un’importanza del tutto eccezionale, poiché il nuovo quadro di resilienza supera i confini tradizionali del governo dell’integrità. La criminalità finanziaria, gli abusi economico-finanziari e i rapporti opachi relativi ai flussi monetari e al controllo non sono più intesi esclusivamente come rischi suscettibili di comportare sanzioni amministrative, ammende, danni reputazionali o esposizione penale. Essi vengono invece letti come fattori idonei a incidere materialmente sull’autonomia, sulla governabilità, sull’affidabilità della prestazione dei servizi e sulla capacità di ripristino delle entità critiche. Un’entità può, sulla carta, soddisfare obblighi distinti in materia di antiriciclaggio, rispetto delle sanzioni, gestione delle frodi o screening dei fornitori e, nondimeno, rimanere sostanzialmente vulnerabile dal punto di vista della resilienza quando processi critici dipendano da soggetti la cui struttura proprietaria sia incerta, quando le linee di finanziamento restino materialmente esposte all’influenza di fonti rischiose, quando le catene contrattuali lascino spazio a forme corruttive o dissimulate di direzione, oppure quando la governance non consenta un sufficiente livello di visibilità sul modo in cui una pressione economico-finanziaria si traduce in un indebolimento operativo. La direttiva CER e la legge olandese sulla resilienza delle entità critiche introducono pertanto un approfondimento concettuale dalle conseguenze considerevoli per la gestione integrata dei rischi di criminalità finanziaria. Non è più l’incidente isolato a costituire il punto di riferimento centrale. La questione decisiva diventa se una contaminazione economico-finanziaria, una dipendenza strategica o un’erosione dell’integrità sia suscettibile di condizionare la continuità di un servizio essenziale fino al punto di porre sotto pressione la funzione critica in quanto tale. In questo modo, la gestione integrata dei rischi di criminalità finanziaria passa da ambito specialistico di controllo a elemento centrale della governance della resilienza, della robustezza in caso di crisi e della tutela della continuità pubblica.
Dal modello di protezione settoriale a un’architettura europea della resilienza
Il pensiero europeo e nazionale precedente in materia di protezione delle infrastrutture vitali è stato per lungo tempo, nella sostanza, di natura settoriale. Tale approccio obbediva a una propria logica, poiché i rischi erano tradizionalmente ordinati in funzione del tipo di infrastruttura interessata, della natura del servizio coinvolto e della struttura della vigilanza amministrativa. Energia, trasporti, telecomunicazioni, acqua potabile, sanità e infrastrutture finanziarie venivano così trattati, in larga misura, come universi regolatori distinti, ciascuno con le proprie norme, le proprie autorità di controllo e i propri strumenti. Questa struttura era amministrativamente intellegibile, ma soffriva di un limite rilevante: corrispondeva solo in parte all’effettiva interdipendenza delle moderne funzioni critiche. I servizi essenziali non sono più erogati all’interno di silos istituzionali chiusi. Essi operano attraverso reti digitali, catene internazionali di approvvigionamento, flussi transfrontalieri di capitale, complessi accordi di manutenzione, rapporti con fornitori di servizi cloud, dipendenze contrattuali, strutture di esternalizzazione e modelli organizzativi ibridi pubblico-privato. In una simile realtà, la vulnerabilità nasce raramente all’interno di un solo compartimento settoriale. La disorganizzazione si manifesta sempre più spesso nei punti di intersezione: tra infrastrutture fisiche e digitali, tra finanziamento e governance, tra logistica e pressione geopolitica, tra contratti di manutenzione ed esposizione alle sanzioni, nonché tra dipendenza operativa e influenza economica. Il passaggio da un modello di protezione settoriale a un’architettura europea della resilienza deve quindi essere compreso come una risposta all’insufficienza strutturale di modelli frammentati in un’epoca in cui le perturbazioni sono multidimensionali, transfrontaliere e reciprocamente rafforzanti.
In tale contesto, l’architettura europea della resilienza mira a stabilire un quadro coerente nel quale gli Stati membri, le autorità competenti e le entità critiche non possano più limitarsi a reagire a minacce già manifeste, ma siano sistematicamente tenuti a individuare in anticipo le vulnerabilità, a valutarne la rilevanza sistemica e a radicare la protezione della continuità a livello organizzativo. La nozione stessa di “architettura” è qui essenziale. Essa non designa soltanto una nuova legge o un regime di vigilanza aggiuntivo, bensì un progetto normativo nel quale diverse categorie di rischio e diversi livelli di governance sono posti in relazione reciproca. In tale schema, l’entità critica non è più soltanto l’oggetto della protezione, ma anche il titolare di una responsabilità propria consistente nell’analizzare i rischi, adottare misure, assorbire gli incidenti e mantenere, sotto pressione, la prestazione dei servizi essenziali. La dimensione europea accentua ulteriormente tale effetto, nella misura in cui introduce una struttura minima di concetti, obblighi e quadri di valutazione comuni, rendendo gli approcci nazionali meno discrezionali. Ne risulta un passaggio da una protezione ad hoc a un’organizzazione sistemica della resilienza. All’interno di tale organizzazione, la prevenzione, la preparazione, la governance, l’interdipendenza e la capacità di ripristino non sono più trattate come temi periferici, bensì come condizioni centrali della legittimità e dell’affidabilità delle organizzazioni che esercitano funzioni vitali.
Per la gestione integrata dei rischi di criminalità finanziaria, questa transizione significa che l’integrità finanziaria ed economica non può più essere relegata fuori dal dibattito sulla resilienza. In un modello settoriale, rimaneva ancora relativamente agevole circoscrivere il controllo dell’integrità come funzione di conformità incaricata di vigilare sul rispetto delle norme antiriciclaggio, del diritto sanzionatorio, degli indicatori di frode o di specifici obblighi di segnalazione. In un’architettura europea della resilienza, tale delimitazione diventa assai più difficile da mantenere. Nel momento in cui la prestazione di un servizio essenziale dipende da strutture di finanziamento, assetti proprietari, joint venture, fornitori, subfornitori, partner software, finanziatori o investitori stranieri, l’influenza economico-finanziaria diventa un elemento dell’analisi della vulnerabilità strutturale. Ne consegue che la gestione integrata dei rischi di criminalità finanziaria non può più limitarsi al monitoraggio delle transazioni o all’analisi del rischio caso per caso, ma deve essere collegata all’analisi della governance, allo screening delle catene di approvvigionamento, all’esame dei titolari effettivi, alla sensibilità dei terzi rispetto alle sanzioni, ai meccanismi contrattuali di escalation e agli scenari di pressione operativa esercitata attraverso mezzi economici. L’evoluzione verso un’architettura europea della resilienza mette così in evidenza che la protezione delle entità critiche non dipende soltanto da recinzioni, firewall e piani di crisi, ma anche dalla capacità dei rapporti economici sui quali l’entità si fonda di resistere ad abusi, alla creazione di dipendenze e all’infiltrazione strategica.
Finalità e impianto sistematico della direttiva CER
La direttiva CER non è, per la sua concezione, uno strumento tecnico di dettaglio, bensì una misura-quadro dotata di un marcato significato costituzionale per il funzionamento dei servizi essenziali all’interno dell’Unione. La sua finalità non consiste semplicemente nell’elevare il livello di protezione di determinate infrastrutture, ma nel rafforzare la resilienza delle entità che forniscono servizi il cui venir meno può provocare gravi perturbazioni sociali, economiche o amministrative. In termini giuridici, tale obiettivo è sensibilmente più ampio della classica protezione delle infrastrutture. Non si tratta né esclusivamente della sicurezza degli impianti, né semplicemente della protezione contro una sola categoria di minaccia, bensì di un approccio integrato alla perturbazione, alla vulnerabilità e alla continuità. La direttiva indica così chiaramente che la rilevanza di un’entità deriva dalla funzione che essa svolge per la società e per l’economia. Il centro normativo si sposta dalla protezione di singoli asset alla salvaguardia di servizi, processi e funzioni essenziali per la stabilità collettiva. In tale impianto sistematico, la continuità della prestazione diventa un concetto giuridico centrale e la questione se un’entità sia sufficientemente resiliente dipende dalla sua capacità di individuare i rischi, attenuarli, gestire gli incidenti e mantenere o ripristinare tempestivamente le funzioni operative sotto pressione.
L’impianto sistematico della direttiva CER è dunque deliberatamente costruito attorno a un insieme di responsabilità reciproche tra Stati membri ed entità critiche. Dal lato dello Stato membro, la direttiva esige una strategia nazionale, una valutazione nazionale dei rischi, un meccanismo di individuazione e designazione delle entità critiche, nonché una struttura di vigilanza proporzionata alla gravità degli interessi protetti. Dal lato dell’entità, il quadro impone la valutazione dei rischi pertinenti, l’adozione di adeguate misure tecniche, di sicurezza e organizzative, nonché la gestione degli incidenti aventi un impatto significativo nell’ambito di una logica più ampia di responsabilità in materia di resilienza. Questa struttura multilivello riveste grande importanza, poiché mostra che la resilienza non può essere ridotta a una questione puramente interna a singole imprese, così come non può essere interamente trasferita allo Stato. Il modello è ibrido: la definizione pubblica delle norme e la responsabilità privata di attuazione sono giuridicamente articolate l’una con l’altra. È in ciò che risiede la forza della direttiva, ma anche il suo peso amministrativo. La direttiva richiede una forma di allineamento strutturale nella quale l’analisi pubblica della sicurezza, la conoscenza settoriale, i processi d’impresa, le dipendenze delle catene di approvvigionamento e la realtà operativa siano riuniti in un unico quadro di valutazione.
Dal punto di vista della gestione integrata dei rischi di criminalità finanziaria, l’ampiezza sistematica della direttiva CER presenta un rilievo particolare. La direttiva non prescrive in modo esaustivo quali categorie concrete di rischio debbano, in ogni ipotesi, essere trattate in modo identico, ma crea un quadro normativo all’interno del quale ogni minaccia pertinente alla prestazione di servizi essenziali acquista rilievo giuridico non appena sia suscettibile di incidere sulla resilienza dell’entità. Ciò apre lo spazio, e spesso anche la necessità, per integrare in maniera molto più esplicita le minacce economico-finanziarie nell’analisi della resilienza. Strutture azionarie opache, montaggi di investimento manipolatori, finanziamenti sensibili alle sanzioni, corruzione negli acquisti, frodi nei contratti di manutenzione, dipendenze occultate da terzi economicamente rischiosi e rapporti logistici caratterizzati da una accresciuta sensibilità in materia di integrità non costituiscono, in tale logica, questioni accessorie. Essi appartengono ai meccanismi reali attraverso i quali un’entità critica può essere indebolita, orientata o colpita nella sua continuità. L’obiettivo stesso della direttiva CER, vale a dire il rafforzamento della resilienza effettiva delle entità critiche, implica dunque che la gestione integrata dei rischi di criminalità finanziaria non possa essere collocata al di fuori dell’impianto sistematico della direttiva. Al contrario, la direttiva impone una lettura nella quale l’integrità finanziaria è compresa come una delle condizioni strutturali del funzionamento affidabile dei servizi essenziali.
I rapporti tra la CER, la NIS2 e la normativa più ampia in materia di sicurezza
I rapporti tra la direttiva CER e la NIS2 mostrano che il legislatore europeo manifesta una preferenza sempre più esplicita per una legislazione coerente in materia di resilienza, piuttosto che per regimi separati e isolati. Entrambi gli strumenti mirano a proteggere funzioni essenziali e importanti, ma lo fanno da angolazioni differenti. La direttiva CER riguarda la resilienza più ampia, fisica, organizzativa e operativa delle entità critiche, mentre la NIS2 concerne innanzitutto la cibersicurezza, le reti e i sistemi informativi, nonché la governance dei rischi digitali. Tale distinzione è funzionale, ma non deve essere sopravvalutata sul piano analitico. Nel funzionamento reale delle entità critiche, i rischi fisici, operativi, digitali ed economici rimangono raramente nettamente separati. Un fornitore vulnerabile che presenti legami sensibili sotto il profilo sanzionatorio può avere simultaneamente accesso ad ambienti di gestione digitale, a processi di manutenzione fisica e a informazioni operative di rilevanza strategica. Un rischio di frode economico-finanziaria può manifestarsi attraverso gli acquisti informatici, attraverso l’esternalizzazione di servizi software critici oppure attraverso una dipendenza da soggetti stranieri profondamente integrati nell’infrastruttura non solo sul piano economico, ma anche su quello digitale. Ne deriva un panorama normativo nel quale la CER e la NIS2 rimangono formalmente regimi distinti pur riguardando materialmente la medesima realtà organizzativa. Le entità critiche che continuano ad affrontare tali regimi in modo compartimentato corrono il rischio che le vulnerabilità più gravi rimangano invisibili proprio nei punti di raccordo.
Tale configurazione è ulteriormente rafforzata dalla normativa più ampia in materia di sicurezza. Accanto alla CER e alla NIS2 esistono infatti quadri nazionali ed europei nei settori delle sanzioni, del controllo sugli investimenti, degli appalti pubblici, della protezione dei dati, dei requisiti prudenziali settoriali, degli obblighi antiriciclaggio, del controllo delle esportazioni, della gestione delle crisi e della tutela della sicurezza nazionale. Il panorama giuridico non corrisponde dunque a un semplice dualismo tra resilienza fisica e resilienza digitale, bensì a un sistema stratificato di responsabilità sovrapposte e di obiettivi di tutela parzialmente convergenti. La principale sfida non risiede solo nel rispetto di ciascuno degli strumenti considerati separatamente, ma nello sviluppo di un quadro interpretativo che consenta a un’entità di determinare in che modo tali strumenti definiscano congiuntamente la sua posizione di resilienza. Non si tratta affatto di un esercizio puramente teorico. Quando più regimi colgono ciascuno una parte del medesimo rischio, può facilmente determinarsi una situazione nella quale esiste una conformità formale sulla carta, mentre il controllo sostanziale rimane insufficiente a causa della frammentazione dell’informazione, della proprietà e del processo decisionale. Un’organizzazione può, ad esempio, disporre di una politica cyber adeguata, di procedure separate in materia di sanzioni, di un codice fornitori, di un quadro antifrode e di un piano di continuità, e nondimeno rimanere insufficientemente informata sul modo in cui un terzo economicamente rischioso esercita un’influenza sproporzionata su un servizio essenziale mediante accesso digitale, presenza fisica e intreccio contrattuale. I rapporti tra la CER, la NIS2 e la normativa più ampia in materia di sicurezza richiedono pertanto non solo una conoscenza giuridica di regimi paralleli, ma soprattutto un’integrazione della governance.
Per la gestione integrata dei rischi di criminalità finanziaria, da ciò discende che tale funzione non può più essere mantenuta come un ambito attivato esclusivamente in occasione di transazioni, segnalazioni, indagini sulla clientela o notifiche di incidenti. Nella logica interconnessa della CER, della NIS2 e della normativa più ampia in materia di sicurezza, la gestione integrata dei rischi di criminalità finanziaria deve essere collocata come disciplina-ponte che collega l’integrità economica alle vulnerabilità operative, digitali e strategiche. Ciò richiede una lettura molto più ampia del rischio. Un rischio sanzionatorio non è allora soltanto una questione di divieto giuridico, ma anche una questione di affidabilità dell’approvvigionamento e di dipendenza sistemica. Un rischio di corruzione negli appalti o negli acquisti non costituisce soltanto una questione di governance ed esposizione penale, ma anche un rischio per la qualità, l’affidabilità e la capacità di ripristino di un servizio vitale. Una struttura proprietaria complessa riguardante un partner software o di manutenzione non è rilevante soltanto in una prospettiva di conoscenza della controparte, ma anche dal punto di vista del verificare se un’influenza occulta, una pressione economica o un controllo opaco incidano su un nodo operativo critico. Il vero significato dei rapporti tra la CER, la NIS2 e la normativa più ampia in materia di sicurezza risiede dunque nella necessità di una struttura integrata di governance e gestione dei rischi. All’interno di tale struttura, la gestione integrata dei rischi di criminalità finanziaria deve occupare un posto pieno e proprio come strumento che consenta di tradurre una contaminazione economico-finanziaria in minacce concrete per la continuità dei servizi essenziali.
L’attuazione olandese attraverso la Wwke
L’attuazione olandese della direttiva CER mediante la legge sulla resilienza delle entità critiche presenta una particolare importanza tanto sul piano legislativo quanto su quello amministrativo, poiché si è scelto di concentrare tale attuazione in un unico quadro legislativo centrale invece di disperderla tra molteplici regimi settoriali. Tale scelta non è di natura puramente redazionale o codificatrice. Essa esprime una chiara visione della resilienza come principio complessivo di governance e di protezione. Collocando l’attuazione in un’unica legge centrale, emerge che l’interesse protetto non è, in primo luogo, settoriale, bensì riguarda il mantenimento dei servizi essenziali in quanto funzioni pubbliche ed economiche. Questa tecnica legislativa evita che l’unità normativa sottesa al quadro europeo della resilienza si frammenti in mini-regimi settoriali distinti, dotati di terminologie divergenti, di intensità variabili degli obblighi e di una limitata visibilità delle rispettive interdipendenze. La legge sulla resilienza delle entità critiche consente invece di muovere da una struttura comune di designazione, valutazione dei rischi, obblighi, vigilanza e coordinamento amministrativo, all’interno della quale le specificità settoriali possono certamente essere prese in considerazione, ma senza pregiudicare la logica centrale della resilienza.
Questa centralizzazione ha importanti conseguenze sul modo in cui le organizzazioni devono leggere e rendere operativi i propri obblighi. In un modello frammentato, esiste il rischio che le entità considerino gli obblighi di resilienza come requisiti settoriali di conformità suscettibili di essere assorbiti dai dipartimenti esistenti senza una sostanziale rifondazione della governance. Una legge centrale rende tale riflesso assai più difficile. Essa indica che non si tratta di una somma di obblighi amministrativi, bensì di un regime coerente di resilienza che si rivolge all’organizzazione nel suo complesso. Ciò comporta implicazioni per la direzione, la vigilanza, i controlli interni, le linee di escalation, gli acquisti, la gestione dei terzi, la gestione delle crisi, le decisioni di investimento e le dipendenze delle catene di approvvigionamento. Inoltre, i documenti esplicativi olandesi hanno espressamente chiarito che gli obblighi derivanti dalla direttiva CER si applicheranno nei Paesi Bassi soltanto dopo l’entrata in vigore della legge sulla resilienza delle entità critiche e dopo la designazione di un’organizzazione quale entità critica. Tale chiarimento riveste particolare importanza sotto il profilo dello Stato di diritto, poiché fornisce certezza riguardo al momento in cui obblighi concreti divengono giuridicamente vincolanti. Ciò nondimeno, questa chiarezza temporale non attenua in alcun modo il messaggio sostanziale della normativa: le organizzazioni potenzialmente rientranti nell’ambito di applicazione farebbero bene a sottoporre fin d’ora la propria governance, la propria valutazione dei rischi e la propria architettura dell’integrità al vaglio di tale regime, tenuto conto dell’ampiezza delle sue implicazioni organizzative.
Per la gestione integrata dei rischi di criminalità finanziaria, la scelta olandese di un’unica legge centrale di attuazione sottolinea che l’integrità finanziaria non può essere collocata come funzione periferica di conformità accanto all’esigenza di resilienza, ma deve essere integrata in essa. Nel momento in cui il legislatore organizza la protezione delle entità critiche attorno a una logica complessiva di resilienza, diventa sempre meno difendibile sostenere che gli assetti proprietari, i rapporti di capitale, l’esposizione alle sanzioni, l’integrità dei fornitori e l’influenza economico-finanziaria rimangano questioni di competenza esclusiva di team specialistici separati. La struttura centrale della legge sulla resilienza delle entità critiche indica la direzione di una governance integrata. Ciò significa che gli organi di direzione e le funzioni di controllo devono essere in grado di dimostrare non solo il rispetto formale di specifiche regole di integrità, ma anche che i rischi economico-finanziari siano stati sistematicamente collegati alla valutazione dei processi critici, degli asset essenziali, delle dipendenze operative e della robustezza in caso di crisi. Laddove tale connessione faccia difetto, sussiste il rischio che un’entità appaia giuridicamente ordinata in distinti fascicoli di conformità pur rimanendo materialmente esposta a perturbazioni suscettibili, attraverso rapporti economici o terzi opachi, di svuotare di sostanza la continuità di un servizio essenziale. È precisamente la centralizzazione legislativa olandese a mettere in luce il carattere sempre più insostenibile di una simile separazione tra conformità e resilienza.
Ambito di applicazione: quali settori e quali entità sono interessati
L’ambito di applicazione del quadro CER/Wwke è ampio ed è il risultato di una scelta strategica. Tale ampiezza non costituisce un effetto collaterale accidentale, ma la conseguenza diretta dell’approccio funzionale che sorregge il regime. Ciò che rileva in modo decisivo non è la qualificazione formale di un’organizzazione come pubblica o privata, grande o piccola, commerciale o semipubblica, bensì la questione se l’entità interessata fornisca un servizio essenziale la cui interruzione sia suscettibile di produrre gravi conseguenze sulla stabilità sociale, sulla salute pubblica, sulla sicurezza pubblica, sulla continuità economica o sull’ordine amministrativo. È per tale ragione che il quadro copre settori quali l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, la sanità, l’acqua potabile, le acque reflue, l’infrastruttura digitale, i servizi pubblici, l’alimentazione e lo spazio. Questa ampiezza settoriale riflette il riconoscimento del fatto che le dipendenze critiche non si limitano alle infrastrutture tradizionalmente visibili. Una società moderna dipende in larghissima misura da servizi che non sono sempre materialmente tangibili e che, tuttavia, svolgono una funzione di rilievo sistemico. Le infrastrutture dei mercati finanziari, il trattamento dei dati, il coordinamento logistico, le funzioni pubbliche essenziali e alcune catene industriali possono, in caso di interruzione, risultare altrettanto destabilizzanti dei tradizionali servizi pubblici. L’ambito di applicazione del quadro deve pertanto essere letto come un’espressione giuridica della dipendenza sistemica.
All’interno di questo ampio perimetro settoriale, tuttavia, non ogni attore diventa automaticamente un’entità critica. Il centro normativo risiede nell’individuazione e nella designazione delle organizzazioni la cui funzione, dimensione, posizione nella catena, importanza geografica, rilevanza di mercato o grado di sostituibilità siano tali che una perturbazione possa comportare conseguenze sproporzionate. È proprio tale selettività a conferire al regime la sua raffinatezza giuridica. Il quadro non mira a una regolazione economica generale, bensì alle entità che svolgono un ruolo sproporzionato nel funzionamento dei servizi essenziali. Ciò significa che, in pratica, la valutazione dell’ambito di applicazione dipenderà fortemente dal contesto: la posizione dell’entità nella catena, la disponibilità di alternative, il grado di concentrazione del mercato, l’ampiezza degli effetti a valle in caso di guasto, l’interconnessione con altre funzioni critiche e le possibilità di ripristino dopo una perturbazione. Per le organizzazioni, ciò comporta un’importante conseguenza sul piano della governance. La questione se un’entità sia interessata non può essere affrontata esclusivamente attraverso una lettura formale delle etichette settoriali, ma richiede un’analisi sostanziale della funzione e della dipendenza. In tale analisi, anche soggetti che tradizionalmente non si consideravano vitali o critici possono trovarsi di fronte alla realtà per cui la loro posizione operativa li colloca, di fatto, nel cuore dei servizi essenziali.
Per la gestione integrata dei rischi di criminalità finanziaria, questo ambito di applicazione ampio ma selettivo comporta conseguenze considerevoli. A mano a mano che un numero crescente di settori e di tipologie di entità entra nel quadro di resilienza, aumenta anche il numero dei contesti nei quali i rischi economico-finanziari devono essere letti come questioni di resilienza. Nel settore energetico, le questioni pertinenti possono riguardare veicoli di investimento, catene di approvvigionamento di carburanti, prestatori di manutenzione e fornitori di componenti. Nel settore sanitario, esse possono riguardare i rapporti di acquisto, la logistica farmaceutica, i sistemi digitali di cura e i prestatori esterni specializzati. Nelle infrastrutture dei mercati finanziari, l’accento può essere posto sulla proprietà, sulla governance, sui rapporti di compensazione, sull’esternalizzazione e sulle connessioni di mercato sensibili alle sanzioni. Nei trasporti e nella logistica, le catene contrattuali, la gestione dei terminali, le piattaforme digitali, le vulnerabilità legate alle dogane e l’influenza operativa straniera possono acquisire rilievo. Una simile ampiezza significa che la gestione integrata dei rischi di criminalità finanziaria non può fondarsi su un modello uniforme di controllo avulso dal ruolo funzionale dell’entità nel sistema. Essa richiede un’analisi sensibile alle specificità settoriali, ma capace di attraversare i diversi quadri, nella quale un’attenzione costante sia rivolta al modo in cui la contaminazione economico-finanziaria, il controllo opaco, l’influenza corruttiva, l’elusione delle sanzioni o rapporti fraudolenti all’interno delle catene di approvvigionamento siano suscettibili di incidere sull’affidabilità del servizio essenziale interessato. L’ambito di applicazione del quadro CER/Wwke dimostra così chiaramente che la rilevanza della gestione integrata dei rischi di criminalità finanziaria non si limita al settore finanziario, ma si estende all’intero ambito delle funzioni critiche sociali ed economiche.
Servizi essenziali, funzioni sociali e continuità economica
La coppia concettuale formata dai “servizi essenziali” e dalle “funzioni sociali” costituisce il cuore normativo del nuovo quadro di resilienza, poiché rende visibili gli interessi che la direttiva sulla resilienza delle entità critiche e la legge sulla resilienza delle entità critiche intendono, in ultima istanza, proteggere. Ciò si spinge ben oltre la salvaguardia di singoli interessi d’impresa o la prevenzione di guasti meramente tecnici. In questo quadro, i servizi essenziali assumono rilevanza giuridica perché creano le condizioni necessarie al funzionamento della società nel suo complesso e alla conservazione dell’ordine economico, della sicurezza pubblica, della salute pubblica, della continuità amministrativa e della stabilità sociale. La nozione stessa di “essenziale” acquisisce così un carattere fondamentalmente relazionale. Un servizio non è essenziale soltanto per la sua importanza astratta, ma per la catena di conseguenze che può prodursi quando la sua erogazione viene perturbata in modo strutturale. Ne consegue che lo sguardo giuridico si sposta dall’organizzazione considerata isolatamente al ruolo che essa svolge all’interno della più ampia rete di dipendenze nella quale sono inseriti cittadini, imprese, autorità pubbliche e altre funzioni critiche. L’interruzione di un servizio essenziale colpisce raramente il solo destinatario immediato. I suoi effetti si propagano attraverso catene di fiducia, disponibilità, flussi transattivi, logistica, salute, accesso ai beni essenziali e capacità di azione delle autorità pubbliche. È proprio questa concezione più ampia del sistema a spiegare perché il nuovo ordine della resilienza ponga al centro, come norma cardinale, la continuità dell’erogazione.
Il nesso tra funzioni sociali e continuità economica approfondisce ulteriormente tale analisi. Nei modelli di sicurezza più tradizionali vi era talvolta la tendenza a trattare la protezione sociale e la razionalità economica come sfere distinte, collocando la sicurezza e la continuità prevalentemente nel dominio pubblico, mentre il mercato, la contrattazione e il finanziamento venivano ricondotti al dominio privato. Il quadro CER/Wwke rompe tale separazione in modo radicale. Nelle economie moderne, infatti, le funzioni sociali sono spesso esercitate attraverso strutture private, ibride o fortemente esternalizzate, cosicché la continuità dei servizi vitali dipende in larga misura da relazioni commerciali, decisioni di investimento, modelli di approvvigionamento, strategie di digitalizzazione, disponibilità di capitale e organizzazione delle filiere. La continuità economica cessa pertanto di essere un mero interesse aziendale e diventa un elemento costitutivo della resilienza pubblica. Quando la base economica di un servizio essenziale diviene fragile a causa di finanziamenti rischiosi, dipendenze eccessive da fornitori opachi, concentrazione di processi critici presso terzi vulnerabili o assetti di governance insufficientemente resistenti alle influenze esterne, non è solo l’impresa a essere sottoposta a pressione, ma anche l’interesse sociale che il servizio stesso veicola. È per questo che il nuovo quadro non si accontenta dell’esistenza formale di processi e contratti, ma pone al centro la questione se la funzione critica possa continuare a operare materialmente in condizioni di perturbazione.
Per la gestione integrata dei rischi di criminalità finanziaria, ciò significa che l’integrità finanziaria deve essere direttamente collegata alla protezione delle funzioni sociali e della continuità economica. Nel momento in cui l’oggetto della protezione non è più esclusivamente l’organizzazione in sé, ma il servizio essenziale che essa fornisce, muta anche il significato dei rischi economico-finanziari. Un flusso di fondi fraudolento, una relazione contrattuale corruttiva, una struttura di controllo occultata o un livello intermedio sensibile sotto il profilo sanzionatorio non costituiscono più soltanto una questione di integrità in senso ristretto, ma una potenziale compromissione della funzione sociale svolta dall’entità. Ciò vale in particolare quando tali rischi si collocano in punti nei quali l’organizzazione dipende operativamente da terzi, dove le alternative di emergenza sono limitate, dove la sostituibilità è difficile o dove il processo decisionale deve accelerarsi sotto pressione. In simili circostanze, la contaminazione economico-finanziaria può indebolire a tal punto la continuità economica dell’organizzazione da mettere in pericolo il servizio essenziale stesso. La gestione integrata dei rischi di criminalità finanziaria deve pertanto essere concepita con una chiara consapevolezza dell’impatto funzionale. La questione rilevante non è soltanto se una transazione sia sospetta, se una relazione si discosti da un profilo di conformità o se un fornitore abbia formalmente superato un processo di selezione. La questione decisiva è se i rischi economico-finanziari siano in grado di condizionare, indebolire o interrompere la funzione sociale dell’entità. In tal modo, la gestione integrata dei rischi di criminalità finanziaria diviene parte inseparabile del mandato giuridico e amministrativo di protezione della continuità sociale ed economica.
Armonizzazione europea e margine nazionale di attuazione
La direttiva sulla resilienza delle entità critiche incarna una tensione classica, ma in questo dossier particolarmente acuta, all’interno del diritto dell’Unione: la tensione tra armonizzazione europea, da un lato, e margine nazionale di attuazione, dall’altro. L’armonizzazione è necessaria in questo contesto, poiché la vulnerabilità delle entità critiche e dei servizi essenziali non può essere contenuta entro i confini nazionali. Interconnessioni energetiche, corridoi di trasporto, infrastrutture dei mercati finanziari, reti digitali, catene logistiche, ambienti cloud e flussi di investimento operano tutti in misura significativa oltre frontiera. Un’impostazione nazionale profondamente divergente delle obbligazioni di resilienza comprometterebbe pertanto non soltanto il mercato interno, ma anche la sicurezza collettiva e la continuità dell’Unione. Per tale ragione, la direttiva crea un quadro concettuale comune, un livello minimo di obblighi e un dovere strutturale per gli Stati membri di individuare le entità critiche e di affrontarne la resilienza in modo sistematico. Questa armonizzazione europea svolge una funzione chiara. Essa impedisce che la resilienza dipenda unicamente da preferenze nazionali di politica pubblica e mira a garantire che in ogni Stato membro esista un’architettura minima di protezione per quelle funzioni che spesso rivestono un’importanza indiretta rilevante anche per altri Stati membri.
Al tempo stesso, uno spazio di attuazione nazionale è inevitabile e, in larga misura, auspicabile. Le dipendenze critiche differiscono infatti da uno Stato membro all’altro, così come differiscono la collocazione geografica, la struttura settoriale, l’organizzazione istituzionale, la percezione delle minacce, il grado di concentrazione di certi servizi e le architetture di vigilanza esistenti. Un Paese con grandi snodi marittimi, un Paese caratterizzato da un’economia altamente digitalizzata o un Paese con un’infrastruttura energetica eccezionalmente concentrata dovrà necessariamente porre accenti diversi nell’individuazione delle entità critiche e nell’operativizzazione concreta della vigilanza e degli obblighi di resilienza. Il margine nazionale di attuazione consente precisamente di tenere conto di tali fattori contestuali senza abbandonare l’obiettivo europeo sottostante. La tensione tra armonizzazione e spazio di attuazione non costituisce dunque soltanto un problema istituzionale; essa rappresenta un elemento essenziale del disegno stesso della direttiva. La vera questione non è se questi due poli coesistano, ma come debbano essere ordinati in modo da produrre sufficiente uniformità per imporre standard comuni di resilienza, preservando al contempo un grado adeguato di flessibilità per tenere conto delle realtà nazionali. Molto dipenderà, nella prassi, proprio da questo punto: dalle scelte di tecnica legislativa, dalle prassi di designazione, dal coordinamento amministrativo e dal modo in cui la vigilanza sarà definita sul piano sostanziale.
Per la gestione integrata dei rischi di criminalità finanziaria, tale tensione riveste una portata considerevole. L’armonizzazione europea accresce la pressione verso un approccio più coerente e meno discrezionale ai rischi economico-finanziari nei settori critici. Una volta che la protezione dei servizi essenziali venga elevata a interesse comune del diritto dell’Unione, diventa sempre più difficile lasciare che il controllo delle strutture proprietarie, la sensibilità alle sanzioni, l’integrità dei terzi o la valutazione delle dipendenze economicamente rischiose siano determinati soltanto da culture aziendali nazionali divergenti o da abitudini settoriali particolari. Al tempo stesso, il margine nazionale di attuazione implica che l’organizzazione precisa della gestione integrata dei rischi di criminalità finanziaria non sarà del tutto uniforme. I profili di rischio concreti delle entità critiche differiscono infatti in misura significativa, così come variano le aspettative istituzionali in materia di governance, vigilanza e scambio di informazioni tra settore pubblico e settore privato. La vera sfida consiste quindi nello sviluppare un modello che sia sufficientemente robusto da soddisfare una logica europea della resilienza, ma anche sufficientemente sensibile al contesto da incorporare modelli nazionali di minaccia, specificità settoriali e particolari strutture di filiera. Laddove questo equilibrio venga meno, si rischia, da un lato, un’armonizzazione formalistica priva di efficacia sostanziale o, dall’altro, una flessibilità nazionale interpretata in modo tanto ampio da svuotare di contenuto l’obiettivo centrale della resilienza. In questo campo di tensione, la gestione integrata dei rischi di criminalità finanziaria deve evolvere in una disciplina al contempo leggibile a livello europeo e applicabile a livello nazionale.
Obblighi giuridici, oneri amministrativi e praticabilità operativa
Il nuovo quadro di resilienza comporta indubbiamente un significativo irrigidimento degli obblighi giuridici, ma la portata di tale mutamento non risiede soltanto in un aumento della densità normativa. La trasformazione essenziale attiene alla natura stessa degli obblighi imposti. Non si tratta semplicemente di prescrizioni isolate o di atti amministrativi puntuali, ma di requisiti che penetrano profondamente nella governance, nella valutazione dei rischi, nella visibilità delle filiere, nella gestione degli incidenti, nell’architettura della sicurezza e nella responsabilità amministrativa. Obblighi di questo tipo appartengono a un ordine diverso rispetto ai classici requisiti di conformità, che possono relativamente agevolmente tradursi in checklist, relazioni periodiche o procedure delimitate. Il quadro CER/Wwke esige una preparazione dimostrabile, un controllo strutturale dei rischi e una coerenza organizzativa. Ne risulta un insieme di obblighi che non si lascia ridurre alla mera produzione di documentazione, ma richiede una valutazione sostanziale della questione se un’entità critica sia effettivamente in grado di continuare a fornire un servizio essenziale sotto pressione. In questo modello, gli obblighi giuridici non vengono semplicemente amministrati; essi vengono verificati alla luce della loro efficacia entro una più ampia logica di continuità. Ciò rende l’attuazione più gravosa, ma anche concettualmente più onesta: il quadro costringe le organizzazioni a mettere in relazione la loro conformità formale con la loro reale posizione di resilienza.
Tale irrigidimento conduce inevitabilmente a oneri amministrativi. Le analisi dei rischi devono essere approfondite, le strutture di governance ricalibrate, le linee di responsabilità chiarite, i rapporti con i terzi rivalutati e i meccanismi di crisi e continuità collegati, sul piano sostanziale, alle funzioni di integrità e sicurezza. Per molte organizzazioni, ciò implica investimenti significativi in competenze, sistemi, coordinamento e attenzione a livello dirigenziale. Tuttavia, gli oneri amministrativi non costituiscono qui un fenomeno puramente quantitativo, come se il problema consistesse soltanto in un aumento di relazioni, procedure o contatti con le autorità di vigilanza. Il carico è soprattutto di natura qualitativa. Le organizzazioni sono costrette a collegare tra loro discipline che storicamente erano organizzate in modo separato. Affari legali, sicurezza, rischio, approvvigionamenti, finanza, cyber, operations, compliance e gestione della crisi non possono più funzionare come compartimenti distinti affiancati, ma devono operare entro un quadro condiviso di resilienza. Ciò genera frizioni istituzionali, poiché concetti, priorità e criteri di valutazione differiscono. Ciò che appare efficiente dal punto di vista operativo può essere inaccettabile dal punto di vista dell’integrità; ciò che appare difendibile dal punto di vista giuridico può rivelarsi insufficiente sotto il profilo della continuità. L’onere amministrativo non consiste pertanto soltanto in lavoro aggiuntivo, ma anche nella necessità di riordinare e disciplinare logiche organizzative sotto un unico principio di protezione complessivo.
In questo contesto, la questione della praticabilità operativa diventa decisiva. Un quadro di resilienza perde legittimità quando grava le organizzazioni di obblighi formalmente estesi ma praticamente insufficientemente orientativi, oppure quando il peso dell’attuazione diventa così elevato da spostare l’attenzione verso la produzione documentale a scapito del controllo effettivo dei rischi. Per la gestione integrata dei rischi di criminalità finanziaria, questo costituisce un punto particolarmente acuto. Il dominio presenta già una notevole complessità normativa, elevati requisiti in materia di costruzione del fascicolo, intensi obblighi di monitoraggio e una tendenza alla proceduralizzazione. Se tale funzione viene semplicemente sovrapposta, senza un’ulteriore strutturazione, a un ampio regime di resilienza, esiste un rischio concreto di livelli di controllo duplicati, analisi parallele ed esaurimento amministrativo senza un corrispondente aumento della sicurezza sostanziale. L’approccio praticabile non risiede dunque nella somma di diversi obblighi, bensì nella loro integrazione. L’analisi della proprietà, il filtraggio dei fornitori, la valutazione delle sanzioni, i controlli in materia di approvvigionamenti, la governance dei terzi e gli scenari di continuità devono essere collegati in un unico modello coerente, cosicché gli stessi dati e le stesse valutazioni possano servire a più funzioni all’interno di un’architettura condivisa di resilienza. È qui che risiede la chiave di una gestione integrata dei rischi di criminalità finanziaria praticabile all’interno delle entità critiche: non come onere isolato, ma come componente integrata di una più ampia governance della resilienza. Laddove ciò riesca, gli obblighi giuridici e gli oneri amministrativi possono tradursi in un autentico rafforzamento della continuità. Laddove ciò fallisca, il quadro rischia di impantanarsi in una pressione formale senza un corrispondente aumento della protezione sostanziale.
Il significato del quadro CER/Wwke per la gestione integrata dei rischi di criminalità finanziaria nei settori vitali
È difficile sopravvalutare il significato del quadro CER/Wwke per la gestione integrata dei rischi di criminalità finanziaria nei settori vitali, giacché esso ridefinisce il posto dell’integrità economico-finanziaria all’interno della struttura di governance delle entità critiche. In molte organizzazioni, la gestione integrata dei rischi di criminalità finanziaria era tradizionalmente collocata come ambito specialistico di controllo, spesso concentrato attorno a obblighi legali in materia di contrasto al riciclaggio, osservanza delle sanzioni, prevenzione delle frodi, adeguata verifica della clientela, monitoraggio transazionale o meccanismi interni di indagine. Tale collocazione era comprensibile entro un paradigma classico di conformità, nel quale la questione centrale era se l’organizzazione rilevasse tempestivamente le irregolarità, rispettasse gli obblighi di segnalazione e limitasse la propria esposizione alle sanzioni giuridiche. Il quadro CER/Wwke sposta però il baricentro verso una questione radicalmente diversa. Non è in gioco soltanto la liceità di singoli comportamenti o rapporti, ma la questione se i rischi economico-finanziari siano in grado di compromettere l’affidabilità della fornitura, l’autonomia amministrativa e la stabilità operativa di una funzione vitale. Ciò significa che la gestione integrata dei rischi di criminalità finanziaria non costituisce più soltanto una linea difensiva contro il rischio di enforcement, ma diviene uno strumento di tutela della resilienza sostanziale dei servizi essenziali.
Nei settori vitali, tale mutamento assume un contenuto estremamente concreto. Nei contesti energetici, l’influenza economico-finanziaria può manifestarsi attraverso strutture di investimento che ruotano attorno ad attivi critici, rapporti di manutenzione con soggetti stranieri, approvvigionamento di componenti scarsi, catene contrattuali caratterizzate da elevata sensibilità alla corruzione oppure dipendenza da fornitori esposti a sanzioni. Nel settore sanitario, le questioni rilevanti possono riguardare la distribuzione di risorse cruciali, prestatori privati con accesso a processi essenziali, strutture di acquisto vulnerabili e l’incidenza della frode o dell’abuso economico sulla disponibilità della capacità di cura. Nei trasporti e nella logistica, i servizi terminali, la manutenzione, le piattaforme software, il subappalto e le catene transfrontaliere possono costituire importanti vettori di vulnerabilità economico-finanziaria. Nelle infrastrutture digitali e nelle infrastrutture dei mercati finanziari, proprietà, outsourcing, rapporti cloud, funzioni di clearing, trattamento dei dati e reti internazionali di governance possono sollevare questioni comparabili. In tutti questi contesti, la questione rilevante sotto il profilo dell’integrità non si limita a stabilire se vi sia un’irregolarità suscettibile di essere oggetto di un’indagine separata. Ciò che conta è se i rischi economico-finanziari siano situati in punti in cui essi consentono l’accesso a processi critici, possono influenzare la qualità delle decisioni, approfondire dipendenze o compromettere la capacità di ripristino durante perturbazioni. Il quadro CER/Wwke, pertanto, non si limita ad ampliare il perimetro della gestione integrata dei rischi di criminalità finanziaria, ma ne approfondisce anche l’intensità sostanziale.
Questa evoluzione richiede un riposizionamento strutturale della gestione integrata dei rischi di criminalità finanziaria all’interno della governance dei settori vitali. La funzione non può più operare ai margini dell’organizzazione come centro specialistico di controllo che si attiva soltanto dopo che le linee di business, gli acquisti o le operations hanno già assunto decisioni essenziali. Essa deve essere integrata al livello in cui vengono assunte decisioni relative alla proprietà, alla cooperazione strategica, alla selezione dei fornitori, alla struttura del capitale, all’outsourcing, agli acquisti di emergenza, all’accesso dei terzi, alle dipendenze digitali e ai modelli di fallback operativo. Solo a quel livello è possibile valutare se un rapporto economico-finanziario sia non soltanto giuridicamente ammissibile, ma anche difendibile dal punto di vista della resilienza. Ciò richiede nuove competenze. La gestione integrata dei rischi di criminalità finanziaria deve sviluppare una comprensione della criticità degli attivi, della dipendenza dei processi, della logica delle filiere, della governance della crisi e dell’impatto sistemico delle perturbazioni. In altri termini, questa funzione deve imparare a parlare il linguaggio delle operations e della continuità senza perdere la propria precisione giuridica e la propria acutezza in materia di integrità. È precisamente qui che risiede il significato del quadro CER/Wwke per i settori vitali. Esso fa della gestione integrata dei rischi di criminalità finanziaria una componente strutturale della questione se l’entità critica possa continuare a svolgere in modo credibile la propria funzione sociale sotto pressione.
Il quadro CER/Wwke come ampliamento normativo e operativo della governance dell’integrità
Il quadro CER/Wwke deve, in definitiva, essere inteso come un ampliamento normativo e operativo della governance dell’integrità. Normativo, perché la nozione di integrità non rinvia più principalmente alla conformità, alla gestione degli incidenti o alla correttezza morale delle decisioni all’interno di domini funzionali separati, bensì all’affidabilità strutturale dell’entità critica quale portatrice di un servizio essenziale. Operativo, perché tale ampliamento non si arresta a una ridefinizione astratta, ma si riverbera direttamente nell’organizzazione dei processi, nella governance, nella valutazione delle filiere, nella contrattualizzazione, nella supervisione dei terzi, nella preparazione alle crisi e nella reportistica destinata agli organi di direzione. In approcci più tradizionali, la governance dell’integrità poteva essere relativamente agevolmente isolata all’interno dei dipartimenti di compliance, delle funzioni investigative o dei domini di controllo giuridico. Il nuovo quadro di resilienza rende tale separazione organizzativa sempre meno sostenibile. Quando contaminazione economico-finanziaria, dipendenze sensibili alle sanzioni, influenze corruttive o strutture proprietarie opache possono compromettere la continuità dei servizi essenziali, la governance dell’integrità cessa, per definizione, di essere una disciplina periferica. Essa diviene una condizione di affidabilità operativa. Ciò modifica anche il significato giuridico di una governance dell’integrità carente. La questione non riguarda più soltanto un’inadempienza sul piano della conformità, ma potenzialmente una carenza strutturale di resilienza.
L’ampliamento operativo della governance dell’integrità implica che le organizzazioni debbano analizzare con molta maggiore precisione i punti in cui i rapporti finanziari ed economici toccano il nucleo della funzione vitale. Non ogni questione di integrità ha il medesimo impatto sistemico, e non ogni scostamento rispetto alla conformità deve essere elevato a minaccia esistenziale per la resilienza. Il nuovo quadro richiede dunque una differenziazione approfondita. L’attenzione più intensa deve concentrarsi su quei punti in cui proprietà, capitale, approvvigionamenti, manutenzione, dati, software, logistica, dipendenza da terzi e influenza amministrativa convergono intorno a processi determinanti per il servizio essenziale. In tali punti, screening, due diligence, garanzie contrattuali, protocolli di escalation, meccanismi di uscita, valutazione delle sanzioni, prevenzione della frode e analisi di scenario devono essere progettati in modo tale da rendere visibili, in una fase precoce, le vulnerabilità economico-finanziarie. Ciò richiede una forma di governance dell’integrità che faccia più che verificare se le regole siano state rispettate sulla carta. Essa deve valutare se una complessità legittima possa essere spiegata in modo convincente, se esistano dipendenze nascoste, se le procedure d’emergenza mettano sotto pressione le salvaguardie di integrità e se scelte operative rendano l’entità ricettiva a processi di condizionamento o infiltrazione. L’ampliamento non coincide pertanto con un irrigidimento indistinto, bensì con un collegamento molto più preciso tra integrità e impatto sistemico.
Per la gestione integrata dei rischi di criminalità finanziaria, è qui che si colloca la conseguenza più fondamentale. Nel quadro CER/Wwke, questo dominio viene sottratto alla sfera del controllo reattivo per essere posto al centro della protezione strategica della continuità. Ciò implica uno spostamento del linguaggio, delle priorità e delle aspettative degli organi di direzione. Il criterio di efficacia non risiede più esclusivamente nel numero di alert, segnalazioni, fascicoli o risultati investigativi, ma nella questione se i rischi economico-finanziari siano identificati in modo tempestivo e convincente proprio nei punti in cui essi sono in grado di incidere materialmente sulla funzione critica. Ciò che conta è il grado in cui l’entità sia in grado di dimostrare che proprietà, controllo, finanziamento, rapporti con i fornitori e accesso dei terzi siano stati compresi e governati in modo tale da impedire che l’abuso si trasformi in una vulnerabilità strutturale di un servizio essenziale. Questo è il significato profondo dell’ampliamento normativo e operativo prodotto dalla CER e dalla legge sulla resilienza delle entità critiche. La governance dell’integrità diviene così non soltanto la prova di una conformità ordinata, ma un elemento costitutivo della resilienza dell’entità critica stessa. Laddove tale trasformazione venga presa sul serio, emerge un modello integrato nel quale la gestione integrata dei rischi di criminalità finanziaria costituisce un pilastro portante della protezione delle funzioni sociali ed economiche vitali. Laddove ciò non accada, ciò che rimane è al massimo una conformità formale, mentre l’organizzazione continua a essere materialmente vulnerabile proprio in quei punti che il nuovo quadro di resilienza mira a rafforzare.
