La disciplina dei soggetti critici ai sensi della direttiva sulla resilienza dei soggetti critici e della legge olandese sulla resilienza dei soggetti critici segna uno spostamento di eccezionale rilievo nel modo in cui il legislatore europeo e nazionale affronta, sul piano normativo, la continuità dei servizi essenziali. Se nelle precedenti impostazioni della sicurezza e della continuità l’accento era posto in misura considerevole su misure tecniche circoscritte, protocolli di sicurezza settoriali o interventi episodici successivi a disfunzioni concrete, il quadro CER/Wwke introduce invece un regime fondato su una resilienza strutturale, incorporata nella governance e suscettibile di controllo giuridico. In tale regime, il centro dell’attenzione non è rappresentato dalla singola misura di protezione in quanto tale, bensì dalla capacità di un soggetto di continuare a svolgere in modo durevole la propria funzione essenziale nonostante minacce multiple e spesso concomitanti. Il nucleo normativo si sposta così da una protezione reattiva a una preparazione sistematica, da strumenti di sicurezza isolati alla governance, e da una compartimentazione settoriale a una valutazione più ampia delle dipendenze, delle relazioni di filiera, delle influenze transfrontaliere e del coordinamento istituzionale. In tal modo, l’analisi del rischio cessa di essere un documento interno di limitata rilevanza giuridica e diviene il fondamento di un più ampio ordinamento pubblico e privato della resilienza, nel quale lo Stato, le autorità competenti e il soggetto critico assumono ciascuno responsabilità distinte ma strettamente intrecciate.
Tale spostamento non ha natura meramente tecnica o programmatica, ma incide direttamente sul modo in cui i destinatari delle norme, le autorità di vigilanza e gli organi di amministrazione devono comprendere la posizione giuridica dei soggetti critici. Nell’ambito della direttiva sulla resilienza dei soggetti critici e della Wwke, il servizio essenziale non è concepito come un semplice output operativo di un’organizzazione, bensì come una funzione portante per la società, la cui interruzione, compromissione o degradazione può produrre conseguenze gravi per la sicurezza pubblica, la salute pubblica, la stabilità economica, la fiducia istituzionale e la concreta governabilità della società. Ne consegue che l’analisi del rischio, la segnalazione degli incidenti e la vigilanza non devono essere considerate come obblighi di conformità separati e coesistenti, ma come componenti di un regime integrato volto alla conservazione governabile delle funzioni essenziali. Tale regime esige che le rappresentazioni pubbliche del rischio e le misure private di controllo siano tra loro coerenti, che le informazioni sugli incidenti siano rese disponibili con rapidità e con sufficiente profondità, e che la vigilanza non si limiti a una verifica documentale, ma possa in ultima istanza sfociare in interventi correttivi e coercitivi qualora la continuità di un servizio essenziale sia in pericolo. In questo contesto acquista particolare rilievo anche il collegamento con la Gestione integrata del rischio di criminalità finanziaria. Sebbene il CER/Wwke riguardi, nella sua essenza, la resilienza dei soggetti critici, le analisi del rischio richieste, l’attenzione rivolta alle dipendenze di filiera, la necessità di una governance dimostrabile e gli obblighi di informazione e notifica impongono di non trattare più il rischio di continuità, il rischio operativo, il rischio di integrità e il rischio di criminalità finanziaria come ambiti rigorosamente separati. Per molti soggetti critici, un assetto di resilienza credibile potrà pertanto essere sviluppato in modo convincente soltanto se i principi della Gestione integrata del rischio di criminalità finanziaria saranno espressamente collegati alla più ampia struttura di governance prevista dal CER/Wwke.
Inventario obbligatorio dei rischi come nucleo della resilienza dei soggetti critici
Nel regime CER/Wwke, l’inventario obbligatorio dei rischi costituisce il punto di partenza giuridico e amministrativo dell’intera architettura della resilienza. Ciò riveste un’importanza fondamentale, poiché stabilisce che la resilienza non si misura in primo luogo attraverso l’esistenza di singole misure di protezione, ma attraverso la qualità della comprensione sottostante dei possibili scenari di perturbazione, delle vulnerabilità, delle dipendenze e delle potenziali conseguenze sociali. In questo regime, un soggetto critico non viene valutato sullo sfondo di un ideale astratto di sicurezza, ma in base alla questione se la propria analisi sia sufficientemente precisa, aggiornata e coerente da proteggere in modo significativo il servizio essenziale anche in condizioni di pressione. In termini giuridici, ciò significa che l’inventario dei rischi non può essere relegato al rango di esercizio preparatorio privo di autonoma rilevanza normativa. L’inventario costituisce il documento e il processo attraverso cui deve emergere che il soggetto comprende la propria posizione all’interno della più ampia catena della resilienza, che le minacce rilevanti sono state individuate, che l’interazione tra i processi interni e le dipendenze esterne è stata riconosciuta e che le misure adottate su tale base non sono state selezionate in modo arbitrario o frammentario. Un inventario carente incide pertanto direttamente sulla legittimità dell’intero quadro di controllo.
Ne deriva un modello normativo nel quale la qualità dell’inventario determina in larga misura la qualità delle decisioni successive. Se i rischi vengono definiti in modo troppo ristretto, affrontati in modo eccessivamente statico o ridotti in misura eccessiva a classici rischi di sicurezza, si produce una rappresentazione fallace della controllabilità. L’apparenza di conformità può allora permanere, mentre fattori materiali di perturbazione restano al di fuori dell’analisi. Tale pericolo è particolarmente acuto per i soggetti critici caratterizzati da strutture operative complesse, relazioni internazionali con fornitori, processi ibridi fisici e digitali e una forte dipendenza da personale specializzato o da infrastrutture gestite esternamente. In simili contesti, la perturbazione del servizio essenziale difficilmente può essere ricondotta a una causa unica e isolata. Più spesso si tratta di effetti a catena successivi o simultanei, nei quali un evento iniziale relativamente circoscritto si propaga attraverso sistemi digitali, dipendenze contrattuali, carenze di personale, interruzioni logistiche o danni reputazionali. Un inventario dei rischi che non renda visibile tale interdipendenza non manca soltanto di dettaglio, ma resta al di sotto di quanto necessario per cogliere la reale natura del destinatario della norma. Il quadro CER/Wwke presuppone pertanto un inventario che descriva l’essenza del servizio, le condizioni per la sua erogazione ininterrotta e le fonti materiali di vulnerabilità nella loro reciproca relazione.
Sotto questo profilo, l’inventario dei rischi non può essere considerato separatamente dalla più ampia governance interna del soggetto. Un’attuazione convincente dell’obbligo legale richiede che tale inventario non sia delegato a una funzione di compliance isolata e priva di mandato strategico, ma che venga incorporato nelle strutture decisionali dell’organo amministrativo, dei comitati rischi, della direzione operativa e delle funzioni di controllo. Per i soggetti che si trovano altresì ad affrontare obblighi in materia di rispetto delle sanzioni, presidio antiriciclaggio, prevenzione delle frodi, controllo dell’integrità e revisione della filiera, appare appropriato collegare l’inventario dei rischi previsto dal CER/Wwke con la Gestione integrata del rischio di criminalità finanziaria. Ciò non dipende da un’identità tra i due regimi, ma dal fatto che entrambi impongono all’organizzazione un’esigenza analoga: la capacità di costruire, gerarchizzare e tradurre le rappresentazioni del rischio in modo integrato, anziché isolato, in misure di controllo dimostrabili. Quando un soggetto critico dipende, ad esempio, da terzi, da flussi di pagamento complessi, da catene contrattuali transfrontaliere o da fornitori ad alto rischio, il mancato collegamento con la Gestione integrata del rischio di criminalità finanziaria può condurre a una valutazione incompleta dei rischi che gravano sulla continuità del servizio essenziale. L’inventario obbligatorio dei rischi ai sensi del CER/Wwke costituisce pertanto non soltanto un obbligo giuridico, ma anche un criterio istituzionale per valutare se il soggetto sia in grado di comprendere in modo integrato le proprie vulnerabilità più sostanziali.
Rappresentazioni del rischio relative a perturbazioni fisiche, digitali, del personale e della filiera
Uno degli aspetti più significativi del quadro CER/Wwke risiede nel fatto che la rappresentazione del rischio del soggetto critico non può espressamente essere limitata a un solo tipo di minaccia o a una sola dimensione organizzativa. La struttura legislativa e regolatoria impone un approccio nel quale le perturbazioni fisiche, digitali, del personale e della filiera siano valutate nella loro interdipendenza. Ciò significa che un soggetto non può limitarsi ad analisi separate, ad esempio, della sicurezza degli accessi fisici, della protezione delle reti o dei sistemi di alimentazione di emergenza, ma deve determinare in che modo tali elementi si condizionino reciprocamente e in quale sequenza o combinazione possano compromettere il servizio essenziale. Un sabotaggio fisico può innescare perturbazioni digitali, una compromissione digitale può provocare un sovraccarico del personale, carenze di organico possono condurre a errori con conseguenze operative, e una perturbazione che colpisce un fornitore apparentemente periferico può, attraverso le dipendenze di filiera, compromettere direttamente la capacità di continuare a fornire un servizio essenziale. La rilevanza giuridica di tale rappresentazione composita del rischio risiede nel fatto che il quadro di vigilanza non valuta il soggetto soltanto sulla base di incidenti visibili, ma sulla questione se combinazioni note o ragionevolmente prevedibili di fattori di perturbazione siano state adeguatamente mappate.
In particolare, il dominio digitale non può più essere trattato, nell’ambito del CER/Wwke, come una materia specialistica separata riservata esclusivamente ai professionisti della cybersicurezza. In molti settori critici, l’infrastruttura digitale non costituisce più un mero supporto, ma un elemento costitutivo della stessa erogazione del servizio essenziale. Ne consegue che ogni perturbazione riguardante l’integrità dei dati, l’accesso ai sistemi, la disponibilità delle reti o l’automazione dei processi acquisisce immediatamente una dimensione di continuità. Sarebbe tuttavia profondamente erroneo dedurre da ciò che i fattori fisici e del personale abbiano perso rilevanza. Al contrario, molte perturbazioni gravi sorgono là dove la vulnerabilità digitale si combina con una sicurezza fisica insufficiente, una segregazione inadeguata delle funzioni, uno screening problematico del personale, strutture di crisi carenti o una disponibilità insufficiente di operatori qualificati. La componente del personale merita, sotto tale profilo, un’attenzione particolare, poiché la disponibilità, l’affidabilità, la resilienza e la competenza dei collaboratori che svolgono funzioni critiche risultano spesso tanto determinanti per la resilienza effettiva quanto la qualità della tecnologia. Un soggetto che si limiti a rafforzare la tecnologia, senza possedere un’adeguata visibilità sulle persone chiave, sugli scenari di assenza, sulla concentrazione delle conoscenze, sulle minacce all’integrità o sul sovraccarico prolungato del personale, omette una parte essenziale della rappresentazione del rischio richiesta dalla legge.
La dimensione relativa alla filiera rende l’esercizio ancora più esigente. Il CER/Wwke impone, in sostanza, al soggetto critico di oltrepassare i propri confini organizzativi nell’analisi e di tenere conto dei fornitori, dei rapporti di esternalizzazione, delle connessioni infrastrutturali, delle dipendenze a monte e a valle e delle potenziali perturbazioni che insorgono al di fuori della sua immediata sfera di controllo formale. Tale obbligo trasforma l’analisi del rischio, che cessa di essere un documento interno di controllo per diventare uno strumento di comprensione sistemica. Non appena un servizio essenziale dipende da prestatori esterni di servizi informatici, ambienti cloud, collegamenti di telecomunicazione, approvvigionamenti energetici, pezzi di ricambio specializzati, processi esternalizzati o strutture di approvvigionamento distribuite a livello internazionale, si forma un paesaggio di rischio che non può più essere adeguatamente rappresentato mediante un tradizionale inventario interno dei rischi. È a questo punto che emerge un collegamento diretto con la Gestione integrata del rischio di criminalità finanziaria. In molte filiere, la dipendenza operativa, la vulnerabilità dell’integrità e il rischio di criminalità finanziaria convergono, in particolare quando la selezione dei fornitori, l’esposizione alle sanzioni, gli indicatori di frode, le strutture proprietarie, l’esposizione alla corruzione e l’integrità dei pagamenti incidono sulla sicurezza dell’approvvigionamento e sulla continuità operativa. Un soggetto che intenda analizzare in modo integrato le perturbazioni fisiche, digitali, del personale e della filiera dovrà quindi lavorare sempre più a partire da una rappresentazione consolidata del rischio nella quale la logica della Gestione integrata del rischio di criminalità finanziaria sia visibilmente incorporata come livello necessario di due diligence e di controllo amministrativo.
Il collegamento tra rischio di continuità e rischio di integrità finanziaria
Il quadro CER/Wwke non è stato formalmente concepito come legislazione in materia di integrità finanziaria, ma la prassi dei soggetti critici dimostra chiaramente che il rischio di continuità e il rischio di integrità finanziaria spesso non possono essere separati in modo convincente. La fornitura di un servizio essenziale può essere minacciata non solo da sabotaggi, guasti di sistema o eventi naturali, ma anche da frodi, corruzione, violazioni delle sanzioni, rapporti connessi al riciclaggio di denaro, filiere di fornitura contaminate, carenze di integrità nei processi di acquisto e strutture opache di proprietà o di finanziamento delle controparti commerciali. Un soggetto critico che collochi tali rischi esclusivamente in un silo separato di integrità o di compliance, senza collegarli espressamente alla continuità del servizio essenziale, corre il rischio di trascurare meccanismi di perturbazione sostanziali. Quando un fornitore chiave viene meno a causa di un’esposizione alle sanzioni, quando un prestatore esternalizzato è oggetto di un’indagine penale, quando una frode negli acquisti conduce a materiali o servizi difettosi, o quando la corruzione compromette l’affidabilità di contratti di manutenzione o di sicurezza, non si pone soltanto una questione di integrità, ma anche un problema diretto di resilienza ai sensi del CER/Wwke.
In tale prospettiva, è opportuno non considerare il sistema di Gestione integrata del rischio di criminalità finanziaria come un semplice strumento di compliance, bensì come una componente piena del più ampio quadro di resilienza dei soggetti critici. La Gestione integrata del rischio di criminalità finanziaria fornisce una struttura idonea a individuare in modo sistematico i rischi relativi ai clienti, ai fornitori, alle transazioni, alla proprietà, alla geografia e ai comportamenti, a rilevare schemi di abuso o infiltrazione e ad attribuire esplicitamente le responsabilità di governance. Per i soggetti critici, tale approccio può avere un valore determinante, in quanto consente di non trattare le perturbazioni connesse all’integrità come meri rischi reputazionali remoti, ma come eventi suscettibili di incidere direttamente sulla sicurezza dell’approvvigionamento, sulla stabilità contrattuale, sull’accesso ai servizi, sulle autorizzazioni, sui finanziamenti e sulla capacità operativa. Il collegamento tra CER/Wwke e Gestione integrata del rischio di criminalità finanziaria conduce pertanto a una comprensione più raffinata della minaccia: ciò che rileva non è soltanto l’attacco visibile all’infrastruttura, ma anche l’erosione progressiva dell’affidabilità all’interno delle relazioni, delle transazioni e dei processi decisionali dai quali dipende il servizio essenziale.
Tale collegamento riveste grande importanza anche sul piano della governance. Gli organi amministrativi e di sorveglianza che organizzano il rischio di continuità e il rischio di integrità finanziaria in linee di reporting distinte creano spesso una zona cieca istituzionale. Ne può derivare che i segnali individuati nell’ambito della Gestione integrata del rischio di criminalità finanziaria non vengano tradotti tempestivamente in misure di protezione del servizio essenziale, mentre i problemi di continuità operativa, a loro volta, non vengono riportati alla funzione di integrità. In un ambiente fortemente regolato, una simile separazione diventa sempre più difficile da sostenere. Il CER/Wwke non richiede infatti soltanto che i rischi siano registrati, ma che siano valutati alla luce della prestazione del servizio essenziale. Tale criterio impone un approccio funzionale: ogni rischio di integrità finanziaria suscettibile di incidere ragionevolmente sulla prestazione di tale servizio appartiene alla rappresentazione rilevante della resilienza. Il vantaggio strategico di un collegamento esplicito con la Gestione integrata del rischio di criminalità finanziaria risiede nel fatto che esso consente al soggetto di organizzare in modo coerente lo screening, il monitoraggio, la gestione del rischio relativo ai terzi, il rilevamento degli incidenti e i protocolli di escalation. Ne deriva una linea di difesa più solida contro perturbazioni che, in mancanza di tale collegamento, potrebbero essere erroneamente classificate come meri incidenti di integrità, mentre le loro conseguenze sociali si estendono in realtà ben oltre.
Dimostrabilità delle misure di resilienza e responsabilità amministrativa
Il regime CER/Wwke richiede non soltanto che esistano misure di resilienza, ma anche che sia dimostrabile per quali ragioni tali misure siano state scelte, in che modo corrispondano all’attuale rappresentazione del rischio, in quale maniera funzionino e chi assuma la responsabilità amministrativa della loro progettazione, attuazione, verifica e aggiornamento. Questo requisito di dimostrabilità va ben oltre la classica esistenza di politiche, protocolli o piani di gestione degli incidenti. In termini giuridici, l’accento si sposta sulla dimostrazione della ragionevolezza, della coerenza e dell’efficacia delle misure. Una misura che esista formalmente ma non possa essere ricondotta all’analisi del rischio, non sia stata tradotta nei processi operativi, non sia testata o non sia sottoposta a monitoraggio amministrativo contribuisce solo in misura limitata alla difendibilità del soggetto nei confronti delle autorità di vigilanza o delle autorità competenti. La questione, pertanto, non consiste soltanto nello stabilire se una misura esista sulla carta, ma se il soggetto sia in grado di dimostrare che l’assetto prescelto costituisce una risposta ponderata alle specifiche vulnerabilità messe in luce dall’analisi. Ciò richiede una documentazione disciplinata, un processo decisionale chiaro, una governance verificabile e un livello di supervisione amministrativa nel quale l’agenda della resilienza sia assunta in modo visibile.
Nella prassi, ciò significa che la responsabilità amministrativa non può essere esaurita mediante generici rinvii a compiti delegati alla sicurezza, alla compliance, al risk management o alle operations. Dagli organi amministrativi e dal senior management ci si attende che comprendano le ipotesi fondamentali del modello di resilienza, che stabiliscano priorità nell’allocazione delle risorse, che mantengano visibilità sulle dipendenze maggiori e che sorveglino attivamente la questione se le misure di mitigazione corrispondano realmente alla natura critica del servizio essenziale. Un organo di amministrazione che agisca soltanto in modo reattivo dopo gli incidenti, oppure che si accontenti di assurance generiche senza un esame sostanziale, colloca l’organizzazione in una posizione di vulnerabilità. Ciò vale a maggior ragione quando il soggetto opera in un contesto nel quale si intersecano molteplici regimi di vigilanza, quali la regolamentazione settoriale, gli obblighi in materia cyber, le norme sull’esternalizzazione, i requisiti di integrità e gli obblighi derivanti dalla Gestione integrata del rischio di criminalità finanziaria. In tali circostanze, la responsabilità amministrativa viene valutata alla luce della capacità di prevenire la frammentazione. Ciò che è decisivo non è la mera esistenza di numerosi documenti di controllo separati, ma la questione se esista una linea amministrativa identificabile che colleghi l’analisi del rischio, la selezione delle misure, l’escalation, gli investimenti, l’audit e il reporting.
Il ruolo della Gestione integrata del rischio di criminalità finanziaria è significativo anche sotto tale profilo, poiché in questo ambito la dimostrabilità e l’accountability risultano tradizionalmente molto sviluppate e offrono elementi costruttivi utili per la governance CER/Wwke. È del tutto concepibile, ad esempio, che le decisioni relative a fornitori, terzi, pagamenti, rapporti di esternalizzazione e connessioni operative ad alto rischio siano già documentate, nell’ambito della Gestione integrata del rischio di criminalità finanziaria, con un grado sufficiente di approfondimento quanto all’accettazione del rischio, all’escalation e all’attribuzione delle responsabilità. Quando tali elementi di governance vengono collegati agli obblighi derivanti dal CER/Wwke, un soggetto critico è meglio in grado di dimostrare che le misure non sono state adottate in modo improvvisato, ma discendono da una valutazione sistematica delle vulnerabilità e delle dipendenze. Ciò rafforza non soltanto la difendibilità esterna nei confronti dell’autorità di vigilanza, ma anche la disciplina interna dell’organo amministrativo. In questo contesto, la dimostrabilità non costituisce una semplice formalità successiva, ma un elemento costitutivo della resilienza stessa: un soggetto che non sia in grado di spiegare perché una misura esista, chi ne sia responsabile e come la sua efficacia venga monitorata incontrerà spesso, in una situazione di crisi, difficoltà anche nel far sì che tale misura funzioni realmente in modo efficace.
Obblighi di notifica, informazione e rendicontazione nei confronti delle autorità e degli organi di vigilanza
Gli obblighi di notifica, informazione e rendicontazione previsti dal CER/Wwke rientrano tra gli elementi più sensibili e, al contempo, più strategici del regime. Essi sono sensibili perché impongono al soggetto critico di condividere con le autorità competenti, in un breve lasso di tempo, informazioni potenzialmente gravose, operativamente delicate e talvolta sensibili sul piano reputazionale; sono strategici perché tali informazioni risultano essenziali per la costruzione di una posizione informativa amministrativa a livello nazionale e, ove necessario, transfrontaliero. L’obbligo di notificare gli incidenti che perturbano o possono perturbare in modo significativo il servizio essenziale non può quindi essere inteso come un requisito amministrativo autonomo. Si tratta di un meccanismo che consente allo Stato di valutare una perturbazione non soltanto dal punto di vista del singolo soggetto, ma in relazione al suo impatto più ampio sulla società, sull’economia, sulle filiere e su altre funzioni vitali. Per il soggetto tenuto alla notifica, ciò implica che la qualificazione degli incidenti, le linee di escalation, la formazione dei fascicoli e i processi interni di validazione debbano essere organizzati in modo tale che la tempestività non comprometta l’affidabilità, e che l’affidabilità non produca un ritardo paralizzante.
La complessità di tale obbligo aumenta considerevolmente una volta riconosciuto che, nella prassi, molti incidenti non si presentano come eventi immediatamente chiari e nettamente delimitati. In una fase iniziale è spesso incerto se si tratti di un difetto tecnico, di un atto malevolo, di un incidente di integrità, di un problema di approvvigionamento, di una carenza del personale o di una combinazione di tali fattori. Proprio per questo motivo, i processi di notifica e rendicontazione devono essere progettati sulla base dell’incertezza e dello sviluppo progressivo delle informazioni. Una prima notifica deve essere possibile anche in assenza di un’analisi causale completa, mentre la successiva relazione dettagliata deve offrire una struttura sufficiente per rendere intelligibili la natura, l’impatto, la probabile causa, le misure adottate, le conseguenze attese e le vulnerabilità residue. Un soggetto che non sviluppi anticipatamente tale processo corre il rischio, in una situazione incidentale, di cadere in una comunicazione frammentata e improvvisata, in un atteggiamento giuridicamente difensivo o in una trasmissione incoerente di informazioni a diverse autorità. Gli obblighi derivanti dal CER/Wwke richiedono pertanto una forma di prontezza alla rendicontazione: la capacità di comunicare, sotto pressione, in modo fattuale, accurato e istituzionalmente utile. Anche in questo caso, il collegamento con la Gestione integrata del rischio di criminalità finanziaria può presentare un valore aggiunto, poiché tale ambito dispone spesso di esperienza in materia di regole di escalation, governance delle attività sospette, trattamento delle informazioni, standard documentali e percorsi decisionali relativi a notifiche sensibili.
Inoltre, gli obblighi di notifica, informazione e rendicontazione non producono effetti soltanto all’esterno, ma penetrano in profondità nell’organizzazione interna del soggetto critico. La questione di quali informazioni debbano essere trasmesse, in quale momento, chi sia autorizzato ad approvare la comunicazione esterna, come venga garantita l’esattezza fattuale, quale ruolo svolga la consulenza legale e come venga assicurata la coerenza con notifiche parallele effettuate ai sensi di altri regimi, incide direttamente sulla struttura amministrativa dell’organizzazione. In molti settori, infatti, un incidente può essere contemporaneamente rilevante ai fini del CER/Wwke, della regolamentazione cyber, della vigilanza settoriale, degli impegni contrattuali verso le controparti, dei rapporti assicurativi, delle autorità penali o delle funzioni di integrità. In assenza di una direzione integrata, emerge rapidamente il rischio di qualificazioni contraddittorie e di frammentazione delle informazioni. Il valore aggiunto di un collegamento esplicito con la Gestione integrata del rischio di criminalità finanziaria risiede qui nel fatto che le competenze già esistenti in materia di triage, riservatezza, escalation, accertamento dei fatti e armonizzazione delle relazioni possono essere impiegate per rendere più robusta l’operativizzazione degli obblighi derivanti dal CER/Wwke. In questo regime, gli obblighi di notifica e rendicontazione non possono pertanto essere considerati come una semplice fase conclusiva successiva all’incidente, bensì come una componente essenziale del quadro preventivo di resilienza. Un soggetto che non sia in grado di notificare e interpretare in modo coerente una perturbazione grave rivela spesso, proprio per questo, che la comprensione sottostante del rischio, della dipendenza e della governance non è a sua volta sufficientemente integrata.
Il ruolo delle autorità competenti nella valutazione e nell’applicazione delle misure
Nel quadro del regime CER/Wwke, l’autorità competente occupa una posizione che si estende ben oltre quella di un’autorità settoriale classica incaricata unicamente di verificare ex post se gli obblighi formali di legge siano stati rispettati. In questo contesto, l’autorità competente è investita di un mandato di diritto pubblico che comprende dimensioni normative, valutative, di coordinamento e di enforcement. Già a livello della valutazione settoriale dei rischi risulta evidente che l’autorità non agisce come soggetto esterno rispetto al compito di resilienza, bensì come attore istituzionale che contribuisce a modellare il quadro entro il quale le entità critiche devono sviluppare la propria analisi del rischio e le proprie misure di resilienza. Ciò riveste grande importanza per l’interpretazione degli obblighi di legge. Esso chiarisce che la norma non si forma esclusivamente all’interno dell’entità stessa, ma viene ulteriormente specificata dalla rappresentazione pubblica del rischio, dalle aspettative proprie del settore e dall’interpretazione amministrativa di ciò che, in un dato contesto, costituisce un livello adeguato di resilienza. L’autorità, pertanto, non opera soltanto come destinataria di informazioni, ma anche come produttrice di contesto, priorità e cornici orientative che concorrono a strutturare il margine di apprezzamento giuridico dell’entità.
Nella pratica, tale posizione si traduce in una forma di vigilanza necessariamente stratificata e interpretativa. La valutazione di un’entità critica non può fondarsi su un approccio meccanico di tipo checklist, poiché la questione se un’entità sia realmente in grado di continuare a fornire un servizio essenziale di fronte a minacce diverse dipende da caratteristiche settoriali specifiche, configurazioni tecniche, strutture di dipendenza, collocazione geografica, grado di esternalizzazione, interconnessione internazionale e qualità della governance amministrativa. L’autorità competente deve quindi essere in grado di valutare se l’analisi del rischio dell’entità presenti sufficiente profondità, se le misure adottate corrispondano al suo specifico profilo di rischio, se le notifiche siano effettuate in modo adeguato e tempestivo e se le scelte amministrative relative alla prioritizzazione, agli investimenti e all’escalation trovino un fondamento ragionevole nell’obiettivo legale della protezione della continuità. La vigilanza assume così un carattere sostanziale. Ciò che diviene decisivo non è la mera esistenza di documenti in quanto tali, bensì la forza persuasiva della coerenza tra analisi, decisione e attuazione. Per le entità critiche, ciò significa che il rapporto con l’autorità competente non può essere affrontato in maniera puramente difensiva. Un’entità che cerchi soltanto di dimostrare una conformità formale minima, lasciando però visibilmente insufficiente la risposta alla vulnerabilità operativa sottostante, raggiungerà più rapidamente, in un modello di vigilanza sostanziale, i limiti della tolleranza amministrativa.
La dimensione dell’enforcement conferma tale quadro. Il regime CER/Wwke non è stato espressamente concepito come una vigilanza simbolica priva di forza coercitiva, bensì come un quadro entro il quale l’autorità competente può effettivamente intervenire quando la continuità dei servizi essenziali risulti protetta in misura insufficiente. La disponibilità di sanzioni amministrative pecuniarie, penalità di mora e misure di esecuzione amministrativa evidenzia che il legislatore non considera le carenze nella governance della resilienza come meri malfunzionamenti organizzativi interni, ma come rischi di rilevanza pubblica che, ove necessario, devono essere contenuti mediante interventi correttivi. Ciò comporta implicazioni anche per l’organizzazione della Gestione integrata del rischio di criminalità finanziaria all’interno delle entità critiche. Là dove rischi di integrità finanziaria, rischio legato ai terzi, esposizione alle sanzioni, indicatori di frode o strutture proprietarie dei fornitori possano incidere sulla continuità del servizio essenziale, l’autorità competente può legittimamente attendersi che tali elementi non restino esclusi dalla valutazione della resilienza. Il ruolo dell’autorità assume pertanto anche una funzione di collegamento tra la classica tutela della continuità e una vigilanza più ampia su integrità e dipendenze. Diviene così evidente che valutazione ed enforcement nel quadro CER/Wwke non riguardano soltanto la sicurezza in senso stretto, ma il controllo amministrativo di tutti i fattori rilevanti suscettibili di compromettere il servizio essenziale.
Dalla conformità formale alla qualità sostanziale della resilienza
Una delle ambizioni più caratteristiche del regime CER/Wwke consiste nel passaggio dalla conformità formale come punto di arrivo alla qualità sostanziale della resilienza come criterio di una strutturazione conforme alla norma. Questa distinzione è fondamentale. La conformità formale presuppone che il controllo giuridico si concentri soprattutto sull’esistenza di documenti prescritti, procedure, canali di notifica e funzioni organizzative. La qualità sostanziale della resilienza, al contrario, richiede di verificare se tali elementi, considerati nel loro insieme, contribuiscano effettivamente alla protezione del servizio essenziale contro scenari realistici di perturbazione. In un quadro orientato alla continuità di funzioni di grande rilevanza sociale, un approccio puramente formale sarebbe inevitabilmente insufficiente. Un’analisi del rischio che appaia metodologicamente curata ma lasci senza menzione dipendenze cruciali, una procedura di gestione degli incidenti che sembri giuridicamente completa ma si riveli operativamente inutilizzabile, oppure una struttura di governance che sulla carta attribuisca responsabilità chiare ma sia priva di una reale capacità di escalation, forse producono ordine amministrativo, ma non una resilienza convincente. Il quadro CER/Wwke indica quindi implicitamente che la conformità ha significato solo nella misura in cui si traduce in una capacità reale di protezione.
Ciò comporta conseguenze di vasta portata sul modo in cui le entità critiche strutturano i propri assetti di controllo interno. L’accento si sposta dalla produzione di documenti alla capacità di giustificare le scelte, dal semplice rispetto minimo dei requisiti alla dimostrazione della coerenza, e da una funzione di compliance isolata a una direzione amministrativa integrata. La questione non è più soltanto se esista una policy, ma se tale policy sia calibrata sulla concreta realtà di rischio dell’entità. Allo stesso modo, non è sufficiente che un processo di notifica degli incidenti sia formalmente stabilito; è necessario che i segnali siano riconosciuti tempestivamente, che i criteri di classificazione siano operativi, che l’escalation al livello dell’organo di amministrazione non fallisca a causa di frizioni organizzative e che la comunicazione di informazioni verso l’esterno possa avvenire in modo coerente quando la pressione è massima. La qualità sostanziale della resilienza richiede inoltre che l’entità sviluppi una capacità istituzionale di apprendimento. Incidenti, quasi incidenti, allerte esterne, problemi relativi ai fornitori, audit, informazioni sulle minacce e test operativi non devono essere amministrati separatamente, bensì trasformati in un quadro dinamico della qualità della resilienza. In assenza di questa dimensione di apprendimento, la conformità diviene rapidamente retrospettiva e statica, mentre il quadro CER/Wwke si fonda proprio su ambienti di minaccia dinamici e su una ricalibrazione periodica.
Il collegamento con la Gestione integrata del rischio di criminalità finanziaria rafforza ulteriormente tale spostamento. All’interno di un quadro correttamente organizzato di Gestione integrata del rischio di criminalità finanziaria, l’accento non cade normalmente soltanto sull’esistenza di procedure, ma sull’efficacia della rilevazione, del monitoraggio, della due diligence, dell’escalation e del seguito amministrativo. Tale approccio si accorda strettamente con l’idea di qualità sostanziale della resilienza. Quando un’entità critica riunisce queste discipline, emerge un modello nel quale la conformità non viene intesa come semplice produzione documentale, ma come controllo dimostrabile di rischi direttamente rilevanti per il servizio essenziale. Ciò vale in particolare per relazioni di catena ad alto rischio, strutture complesse di fornitori, dipendenze transfrontaliere e segnali di integrità suscettibili di incidere sulla continuità operativa. Un’entità che soddisfi formalmente obblighi distinti, ma non renda visibile l’interrelazione tra rischio di continuità e rischio di integrità finanziaria, sarà più debole sul piano sostanziale rispetto a un’entità che abbia esplicitamente integrato tali connessioni. Il passaggio dalla conformità formale alla qualità sostanziale della resilienza non è quindi soltanto un’aspirazione di policy, ma il nucleo stesso di un’attuazione giuridica convincente degli obblighi derivanti dal CER/Wwke.
La tensione tra requisiti di vigilanza e fattibilità operativa
Il regime CER/Wwke impone obblighi esigenti alle entità critiche, ma tali obblighi non sorgono in un vuoto istituzionale. Essi si applicano a organizzazioni già inserite in realtà operative, tecniche, contrattuali e umane complesse e spesso soggette simultaneamente a molteplici regimi di vigilanza, ciascuno dotato di una propria terminologia, di proprie linee di reporting e di proprie aspettative in materia di accountability. È a questo livello che emerge una tensione fondamentale tra requisiti di vigilanza e fattibilità operativa. Da un lato, il legislatore richiede un’analisi approfondita dei rischi, misure di resilienza dimostrabili, notifiche di incidenti senza indebito ritardo, una ricalibrazione periodica, il coinvolgimento degli organi amministrativi e la disponibilità a cooperare con le autorità di vigilanza. Dall’altro lato, molte entità critiche non dispongono né di risorse illimitate, né di strutture dati uniformi, né di modelli di governance pienamente armonizzabili. I dipartimenti operativi lavorano sotto pressione temporale, i sistemi si sono sviluppati storicamente, le relazioni di catena sono frammentate sul piano contrattuale o tecnico e le informazioni rilevanti per le autorità di vigilanza sono spesso distribuite internamente tra sicurezza, legale, operazioni, acquisti, compliance, risk, finanza e gestione della crisi. In questa realtà, un regime giuridicamente sofisticato può essere efficace soltanto se viene tradotto non solo come normativamente ambizioso, ma anche come amministrativamente praticabile.
Questa tensione non deve essere sottovalutata, poiché altrimenti conduce facilmente a due estremi ugualmente indesiderabili. Nel primo estremo, l’entità tenta di assorbire il più completamente possibile i requisiti della vigilanza costruendo un sistema sempre più pesante di documenti, controlli, riunioni e reporting, con il rischio che l’organizzazione operativa si impantani in un eccessivo carico procedurale e che l’essenza stessa della resilienza effettiva venga perduta di vista. Nel secondo estremo, emerge una resistenza al regime e quest’ultimo viene percepito come un onere esterno che occorre soprattutto gestire formalmente, con un’integrazione minima nei processi centrali dell’organizzazione. Entrambi gli esiti compromettono l’obiettivo del CER/Wwke. Una reale fattibilità richiede pertanto un approccio progettuale nel quale i requisiti di vigilanza siano integrati nei ritmi operativi esistenti, nelle linee decisionali e nei processi informativi, senza perdita di rigore normativo. Ciò esige sia comprensione giuridica sia competenza organizzativa. Non ogni obbligo richiede necessariamente un processo autonomo; molti obblighi possono essere attuati in modo più efficace mediante l’integrazione con strutture di crisi esistenti, comitati di rischio, governance dei terzi, change management e meccanismi di assurance.
Anche qui la Gestione integrata del rischio di criminalità finanziaria svolge un ruolo importante. Le organizzazioni che dispongono già di un’infrastruttura più sviluppata per la due diligence, il monitoraggio, l’escalation degli incidenti, lo screening dei fornitori, la documentazione di governance e l’informazione gestionale possono utilizzare alcuni di questi elementi per rendere operativamente applicabili gli obblighi del CER/Wwke senza creare duplicazioni inutili. Il valore della Gestione integrata del rischio di criminalità finanziaria in questo contesto risiede non solo nel collegamento sostanziale tra i rischi, ma anche nell’architettura organizzativa che essa può offrire. Così, quando informazioni su fornitori ad alto rischio, schemi transazionali anomali, strutture proprietarie, rischi sanzionatori ed escalation siano già raccolte in modo sistematico, tale infrastruttura può essere utilizzata anche per rendere più visibili i rischi di resilienza legati alla catena. In tal modo, la fattibilità operativa del quadro CER/Wwke ne risulta rafforzata. La tensione tra vigilanza e attuazione non scompare per questo, ma diventa più gestibile. Il punto decisivo è che le entità critiche non trattino i requisiti di vigilanza come un universo parallelo, bensì li traducano in una governance praticabile, allineata alla propria realtà operativa, senza scadere in un ritualismo puramente formale.
L’importanza di un’analisi congiunta delle minacce e di un quadro operativo integrato unitario
L’efficacia del quadro CER/Wwke dipende in larga misura dalla qualità della comprensione condivisa delle minacce tra entità critiche, autorità competenti e, ove rilevante, altri attori pubblici e privati coinvolti nella protezione dei servizi essenziali. Un’entità critica può operare con efficacia soltanto limitata quando la propria rappresentazione del rischio diverga in modo significativo dai segnali settoriali, dalle valutazioni nazionali delle minacce o dall’esperienza dei partner di catena. Inversamente, lo Stato può esercitare in modo solo limitato il proprio ruolo di coordinamento ed enforcement qualora notifiche di incidenti, analisi settoriali e informazioni di vigilanza non siano riunite in una visione coerente dei modelli di perturbazione, delle dipendenze e dei rischi di escalation. In questo contesto, l’idea di un’analisi congiunta delle minacce assume un’importanza decisiva. Non si tratta soltanto di uno scambio di informazioni in senso generale, ma della costruzione di un quadro analitico condiviso nel quale i rischi pertinenti siano classificati, interpretati e prioritizzati in modo comparabile. In assenza di una simile base analitica condivisa, ciascun attore rischia di operare a partire da una prospettiva parziale, con la conseguenza che rischi sistemici significativi vengono riconosciuti troppo tardi o in modo troppo incompleto.
Il concetto di un quadro operativo integrato unitario si colloca direttamente in tale logica. Per le entità critiche, ciò non significa necessariamente l’esistenza di un unico dashboard letterale o di un ambiente tecnico uniforme, ma piuttosto l’esistenza di una visione complessiva coerente, tanto sul piano amministrativo quanto su quello operativo, nella quale siano riunite perturbazioni fisiche, segnali digitali, vulnerabilità del personale, problemi relativi ai fornitori, notifiche di integrità, degrado operativo e informazioni esterne sulle minacce. Una simile rappresentazione integrata è essenziale, poiché le perturbazioni gravi raramente possono essere ridotte a una sola disciplina. Ciò che inizia come una perturbazione nella catena di approvvigionamento può acquisire una dimensione cyber, poi condurre a un sovraccarico del personale, successivamente degenerare in difficoltà di comunicazione con le autorità e infine sfociare in una disorganizzazione sociale. Se l’organizzazione non dispone di un quadro integrato di ciò che si sta sviluppando, ne deriveranno ritardi decisionali, incoerenze nel reporting e una prioritizzazione subottimale di risorse scarse. Il quadro CER/Wwke implica quindi l’aspettativa che le entità critiche organizzino i propri sistemi informativi, le proprie strutture di crisi e la propria governance in modo tale da limitare la frammentazione e consentire una valutazione tempestiva e interconnessa dei segnali rilevanti.
Anche qui il rapporto con la Gestione integrata del rischio di criminalità finanziaria è evidente. In molte organizzazioni, i segnali relativi a transazioni che aumentano il rischio, controparti dubbie, schemi anomali di fornitori, risultati di screening o avvisi legati alle sanzioni si trovano in sistemi e team istituzionalmente separati dalle funzioni di continuità operativa o di sicurezza. Ne può derivare la perdita di un contesto essenziale. Un quadro operativo integrato unitario che escluda strutturalmente i segnali di integrità finanziaria rimane incompleto, soprattutto in settori nei quali l’affidabilità dei terzi, la pulizia dei flussi finanziari e l’integrità delle catene di approvvigionamento e contrattuali incidono direttamente sulla sicurezza di fornitura del servizio essenziale. La Gestione integrata del rischio di criminalità finanziaria può dunque apportare un contributo sostanziale all’analisi congiunta delle minacce mettendo a disposizione dati, indicatori e processi di governance che altrimenti resterebbero al di fuori del dominio della continuità. Il vantaggio strategico di tale integrazione risiede nel fatto che l’analisi delle minacce non reagisce più soltanto a perturbazioni manifeste, ma diventa anche sensibile ai segnali precoci di erosione, abuso o infiltrazione suscettibili di incidere nel tempo sulla resilienza dell’entità. Un quadro operativo condiviso e integrato diventa così condizione per un intervento tempestivo, per la coerenza amministrativa e per un rispetto credibile degli obblighi derivanti dal CER/Wwke.
La vigilanza ai sensi del CER/Wwke come catalizzatore di una governance integrata della Gestione integrata del rischio di criminalità finanziaria
Quando il regime CER/Wwke viene considerato nella sua interezza, emerge una concezione della vigilanza che non si limita a correggere e a vincolare, ma può anche esercitare un effetto trasformativo sulla governance interna delle entità critiche. Il quadro obbliga infatti le organizzazioni ad approfondire la propria analisi dei rischi, a rendere esplicite le dipendenze, a ripartire più chiaramente le responsabilità amministrative, a strutturare il reporting degli incidenti e a rendere dimostrabile l’efficacia delle misure adottate. Questi requisiti esercitano pressione sulle tradizionali compartimentazioni organizzative e creano così un forte incentivo all’integrazione di funzioni che in precedenza coesistevano soltanto in parte. Da questa prospettiva, la vigilanza ai sensi del CER/Wwke può fungere da catalizzatore di una governance integrata della Gestione integrata del rischio di criminalità finanziaria. Non perché il quadro CER/Wwke si fonda formalmente nel diritto dell’integrità finanziaria, ma perché mette in luce le stesse debolezze amministrative che ricorrono anche nel campo della Gestione integrata del rischio di criminalità finanziaria: rappresentazioni frammentate del rischio, insufficiente conoscenza delle catene, escalation deficitaria, limitata assunzione di responsabilità a livello dell’organo amministrativo e un’enfasi eccessiva su descrizioni formali di processo senza sufficiente visibilità sull’effettiva efficacia.
Per molte entità critiche, ciò costituisce una rilevante opportunità strategica. Invece di considerare il CER/Wwke come un ulteriore quadro normativo separato che si aggiunge agli obblighi esistenti, esso può essere utilizzato come leva strutturale per costruire una governance del rischio più integrata, nella quale rischio di continuità, rischio operativo, cyber risk, rischio fornitore e rischio di integrità finanziaria siano gestiti congiuntamente. La Gestione integrata del rischio di criminalità finanziaria offre a tale scopo metodi e discipline preziosi, in particolare nei settori della due diligence sui terzi, dell’analisi della proprietà e del controllo, del monitoraggio delle transazioni, dello screening sanzionatorio, della governance dell’escalation, della registrazione degli incidenti e dell’accountability amministrativa. Quando questi elementi vengono intrecciati con i requisiti del CER/Wwke, ne deriva un modello di governance più capace di proteggere effettivamente la funzione sociale dell’entità critica. Il valore aggiunto che ne consegue non risiede soltanto nell’efficienza o nella riduzione delle sovrapposizioni, ma soprattutto in un innalzamento della qualità sostanziale. Un’entità che integri la logica della Gestione integrata del rischio di criminalità finanziaria nella propria architettura della resilienza accresce la probabilità che rischi sottili ma sistemicamente rilevanti di integrità e dipendenza vengano riconosciuti in tempo prima di tradursi in disfunzioni operative.
Diventa così evidente anche che la vigilanza ai sensi del CER/Wwke fa in definitiva più che verificare la conformità; essa ridefinisce le aspettative relative alla buona governance nei settori critici. Agli amministratori e ai dirigenti di vertice si richiede sempre più di non affrontare i rischi in modo ristretto sul piano settoriale o funzionale, ma di riconoscere che la continuità dei servizi essenziali dipende da un ampio insieme di fattori tra loro intrecciati. Una governance integrata della Gestione integrata del rischio di criminalità finanziaria può, in tale quadro più ampio, fungere da fondamento strutturante per il giudizio amministrativo, in quanto fornisce meccanismi per mettere in relazione rapporti, transazioni, terzi, flussi finanziari, strutture proprietarie e indicatori comportamentali con il compito di resilienza dell’organizzazione. Ne risulta una forma di governance nella quale normatività giuridica, realtà operativa e indirizzo strategico del rischio si avvicinano tra loro. È precisamente qui che risiede il significato più profondo del quadro CER/Wwke: non nell’aggiungere ulteriori oneri di conformità, ma nell’imporre un ordinamento istituzionale nel quale la protezione dei servizi essenziali venga affrontata come un mandato di governance integrata. In questa lettura, la vigilanza ai sensi del CER/Wwke non è soltanto un regime di controllo, ma una forza trainante di una nuova generazione di governance nella quale resilienza, integrità e continuità non sono più amministrate in compartimenti separati.
