Nel quadro normativo europeo e olandese contemporaneo, la resilienza delle entità critiche non può più essere compresa in modo convincente attraverso un’analisi limitata all’organizzazione interna, alla propria struttura di governance, alla sicurezza fisica dei propri siti o al controllo formale dei processi direttamente impiegati dall’entità stessa. Un simile approccio presuppone implicitamente che l’entità critica produca il servizio essenziale prevalentemente all’interno di uno spazio istituzionale delimitato, le cui vulnerabilità siano, in larga misura, identificabili internamente, affrontabili internamente e rimediabili internamente. Tale presupposto, tuttavia, corrisponde sempre meno alla struttura effettiva della fornitura di servizi vitali in un’economia nella quale la continuità operativa è sostenuta in misura significativa da ecosistemi digitali, mercati di fornitori concentrati, modelli transfrontalieri di manutenzione e supporto, assetti specialistici di esternalizzazione, prestatori di servizi finanziari, snodi logistici, funzioni di gestione basate sui dati e strutture contrattuali che rendono sempre più porosi i confini organizzativi formali dell’entità critica. Il quadro europeo derivante dalla Direttiva sulla resilienza delle entità critiche e la legge olandese sulla resilienza delle entità critiche impongono pertanto una lettura molto più ampia della nozione di resilienza, nella quale non è posta al centro soltanto la condizione dell’organizzazione nucleare, bensì soprattutto la capacità del servizio essenziale di mantenersi anche in circostanze in cui l’interruzione si manifesta nelle relazioni esterne, nella catena che circonda l’entità, nelle strutture proprietarie e di controllo dei fornitori e dei prestatori di servizi, oppure in assetti di supporto che sulla carta appaiono secondari ma che, in realtà, sono costitutivi dell’erogazione della funzione vitale. In questa prospettiva, la resilienza non è più soltanto una qualità dell’entità in quanto tale, bensì una qualità di una rete di dipendenze della quale l’entità fa parte, dalla quale trae beneficio e dalla quale è altresì sostanzialmente condizionata. Ne deriva anche uno spostamento del baricentro giuridico e di governance: la questione non è più soltanto se l’entità critica sia ben organizzata al proprio interno, ma se il servizio essenziale possa continuare a funzionare quando i luoghi effettivi della vulnerabilità si collocano al di fuori dell’organizzazione formale.
Tale spostamento comporta conseguenze di ampia portata sul modo in cui devono essere affrontati, all’interno delle entità critiche, la dipendenza dalla catena di approvvigionamento, il rischio da terze parti e la Gestione integrata del rischio di criminalità finanziaria. In questo contesto, il rischio da terze parti non costituisce un tema isolato di procurement, né una questione meramente contrattuale, né tantomeno un problema di conformità circoscritto che possa essere gestito mediante questionari standardizzati o screening generici dei fornitori. Nel contesto delle entità critiche, tale nozione assume un significato sistemico assai più gravoso, poiché soggetti esterni dispongono spesso di accesso a infrastrutture critiche, dati essenziali, regimi di manutenzione, ambienti software, flussi logistici, circuiti di pagamento, processi di identità e accesso o routine operative che incidono direttamente sulla continuità, sull’integrità e sulla governabilità del servizio essenziale. Ne consegue che l’interruzione operativa, la vulnerabilità in materia di cibersicurezza, i problemi di integrità, l’opacità proprietaria, l’esposizione alle sanzioni, il rischio di frode, l’esposizione alla corruzione e la concentrazione delle dipendenze si intrecciano nella pratica in modo inscindibile. Un fornitore può apparire tecnicamente competente e commercialmente affidabile, mentre dietro la controparte contrattuale giuridica può celarsi una struttura di controllo o di finanziamento che espone l’entità critica a manipolazione, influenza indebita, rischio sanzionatorio o perdita improvvisa della sicurezza dell’approvvigionamento. Un partner di manutenzione può offrire prestazioni adeguate sul piano operativo, mentre l’esclusività di fatto della sua competenza colloca l’entità in una posizione di lock-in strutturale nella quale la sostituibilità rimane in larga misura teorica. Un prestatore di servizi digitali può apparire, sulla carta, solo come uno fra molti soggetti di supporto, mentre l’architettura dei sistemi, dei dati e delle interfacce fa sì che esso sia divenuto, in termini sostanziali, un anello centrale senza il quale il servizio essenziale non può essere erogato, o può esserlo solo in forma fortemente degradata. In tale contesto, la Gestione integrata del rischio di criminalità finanziaria non deve essere concepita come un programma di controllo parallelo rispetto alla politica di resilienza, bensì come una componente costitutiva della più ampia architettura di resilienza delle entità critiche, poiché la criminalità finanziaria, l’opacità proprietaria, l’elusione delle sanzioni, la corruzione all’interno della catena e la manipolazione fraudolenta dei servizi di supporto possono compromettere direttamente la continuità e l’affidabilità delle funzioni vitali.
Perché la resilienza delle entità critiche non si arresta ai confini dell’organizzazione
L’affermazione secondo cui la resilienza delle entità critiche non si arresta ai confini dell’organizzazione non costituisce un’esagerazione retorica, bensì una correzione necessaria di un modello organizzativo superato nel quale l’entità viene rappresentata come un insieme più o meno autosufficiente che ricorre a soggetti esterni soltanto in via strumentale. Nel quadro della Direttiva sulla resilienza delle entità critiche e della normativa olandese sulla resilienza delle entità critiche, il punto di partenza deve invece essere il riconoscimento che il servizio essenziale è generalmente prodotto da un insieme di capacità interne ed esterne, nel quale le componenti esterne non sono né occasionali né marginali, ma incidono profondamente sul modo in cui gli asset sono mantenuti, i dati sono trattati, i sistemi sono gestiti, le decisioni operative sono supportate e il ripristino in situazione di crisi è reso concretamente possibile. Un’entità critica può essere proprietaria della propria infrastruttura fisica e disporre di una governance formale adeguata, pur rimanendo fortemente dipendente da fornitori di software per il controllo dei processi, da prestatori specializzati di manutenzione per la disponibilità operativa, da gestori di rete esterni per la connettività, da fornitori di cloud o di dati per il trattamento di informazioni essenziali, da prestatori logistici per l’approvvigionamento e da intermediari finanziari o amministrativi per l’integrità dei processi di supporto. In un simile modello, il confine proprio dell’organizzazione è sì visibile sul piano giuridico, ma è molto meno rilevante sul piano funzionale quale linea di demarcazione fra ciò che rientra nella resilienza e ciò che non vi rientra. Il servizio essenziale non si arresta laddove termina l’organigramma; le condizioni effettive della continuità si estendono nella catena, nelle relazioni contrattuali, nelle interfacce tecniche e nelle strutture proprietarie situate al di fuori della gerarchia di governance diretta.
Tale impostazione implica che i metodi classici di controllo interno possano presentare un punto cieco strutturale. Quando la valutazione del rischio si concentra principalmente sui propri siti, sui propri collaboratori, sulle proprie misure di sicurezza e sui propri processi, vi è il pericolo concreto che rimangano insufficientemente visibili proprio quelle dipendenze esterne dotate della più elevata capacità di disorganizzazione. Nel contesto delle entità critiche, ciò è particolarmente problematico, poiché la funzione sociale dell’entità non è valutata alla luce dell’eleganza della documentazione interna di governance, bensì in base alla disponibilità effettiva di un servizio essenziale in condizioni di stress. Un’organizzazione può essere formalmente fortemente regolamentata, disciplinata al proprio interno e ben strutturata sotto il profilo procedurale, mentre la continuità della funzione vitale si regge, nella realtà, su un numero ristretto di anelli esterni sui quali la visibilità rimane limitata. Ciò può riguardare un fornitore che detiene una conoscenza esclusiva del sistema, un produttore straniero di pezzi di ricambio, un prestatore che dispone di accesso remoto a tecnologie operative, un prestatore di servizi di pagamento che facilita processi di supporto oppure un subappaltatore che, in pratica, costituisce l’unico soggetto in grado di porre rimedio ai malfunzionamenti entro i tempi di risposta richiesti. L’implicazione giuridica è considerevole: la resilienza deve essere intesa come una nozione normativa che obbliga l’entità non soltanto a controllare le proprie vulnerabilità, ma anche a identificare, valutare e mitigare sistematicamente le condizioni esterne nelle quali il servizio essenziale continua a essere garantito.
Per la Gestione integrata del rischio di criminalità finanziaria, questa concezione transfrontaliera della resilienza riveste un’importanza diretta. I rischi di criminalità finanziaria, infatti, raramente si manifestano esclusivamente all’interno del nucleo formale dell’entità critica. Essi si sviluppano frequentemente nella periferia dell’organizzazione, nelle relazioni con i fornitori, nelle catene di procurement, nelle strutture di consulenza e manutenzione, nei modelli di agenzia, nei canali distributivi, nel subappalto, negli assetti di finanziamento e in servizi di supporto apparentemente routinari nei quali possono essere incorporati interessi opachi, pagamenti illeciti, controparti sanzionate, flussi di fatturazione fraudolenti o meccanismi di influenza manipolativa. Quando la nozione di resilienza resta confinata alla sfera interna, tali fenomeni vengono erroneamente trattati come questioni di integrità separate, prive di un nesso diretto con la sicurezza dell’approvvigionamento del servizio essenziale. Una simile lettura costituirebbe un errore categoriale. Uno schema corruttivo in contratti di manutenzione, una struttura fraudolenta di fornitore, un subappaltatore esposto a sanzioni o una catena logistica contaminata da criminalità finanziaria possono condurre direttamente a interruzioni, ritardi, perdita del controllo manageriale, interventi regolatori o cessazione forzata di servizi di supporto critici. È per questa ragione che la Gestione integrata del rischio di criminalità finanziaria deve essere collocata, all’interno delle entità critiche, come elemento essenziale dell’analisi più ampia della resilienza della catena di approvvigionamento, e non come un ambito di conformità autonomo che diverrebbe rilevante soltanto una volta che il danno operativo si sia già verificato.
Terze parti, fornitori e prestatori di servizi come portatori di vulnerabilità sistemica
Nel contesto delle entità critiche, le terze parti, i fornitori e i prestatori di servizi operano sempre meno come attori di mercato esterni neutrali che forniscono input rigorosamente delimitati, e sempre più come portatori di vulnerabilità sistemica. Ciò significa che la loro importanza non può essere adeguatamente compresa attraverso la tradizionale domanda se un determinato fornitore esegua correttamente il contratto, consegni nei tempi o offra condizioni commerciali vantaggiose. La questione decisiva è piuttosto se il soggetto interessato sia talmente intrecciato con il servizio essenziale che il suo fallimento, il suo ritardo, la sua manipolazione, le violazioni della sua integrità o la perdita improvvisa della sua disponibilità produrrebbero conseguenze sproporzionate per la funzione pubblica dell’entità critica. La nozione di vulnerabilità sistemica sottolinea che non rileva soltanto la qualità del terzo, ma anche la posizione che esso occupa all’interno della rete delle dipendenze operative. Un contratto di valore relativamente modesto può avere un impatto sistemico straordinariamente elevato quando il servizio interessato è profondamente integrato nell’architettura operativa, quando non esistono sostituti realistici, quando il sapere risiede esclusivamente presso la parte esterna oppure quando i punti di accesso controllati dal terzo riguardano processi, dati o asset vitali. Alla luce di questa realtà, la qualificazione giuridica e di governance delle terze parti deve evolvere: non più meri fornitori, ma co-portatori funzionali della struttura di resilienza.
Tale approccio riveste particolare rilievo nei settori nei quali la specializzazione, la complessità tecnologica e la concentrazione del mercato hanno condotto, nella pratica, a far sì che le entità critiche dipendano da un numero limitato di prestatori per software, manutenzione, dati di sensori, monitoraggio remoto, pezzi di ricambio, supporto alla conformità o esecuzione logistica. Un prestatore che abbia accesso a tecnologie operative può costituire contemporaneamente una fonte di rischio cibernetico, di esposizione a minacce interne, di problemi di integrità dei dati e di paralisi operativa. Un fornitore di componenti critici può rappresentare, nello stesso tempo, una dipendenza produttiva, un rischio di concentrazione geografica e un’esposizione sensibile sotto il profilo delle sanzioni. Un soggetto incaricato di una gestione esterna può, a prima vista, svolgere soltanto compiti di supporto, mentre tali compiti sono in realtà essenziali per la risposta agli incidenti, per la capacità di ripristino o per la ripresa sicura dei processi dopo una perturbazione. Ne consegue che la vulnerabilità sistemica non può più essere misurata in base al solo valore nominale del contratto o alla classificazione formale del servizio fornito, ma deve esserlo alla luce della capacità effettiva di disorganizzazione del terzo interessato. Ciò richiede un quadro analitico capace di resistere alla tentazione istituzionale di classificare i fornitori esclusivamente secondo categorie di acquisto e che, al contrario, si concentri sulla posizione operativa, digitale, finanziaria e di governance del terzo all’interno della catena del valore del servizio essenziale.
Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, inoltre, la nozione di vulnerabilità sistemica possiede un’incontestabile dimensione di integrità. Un terzo profondamente integrato in processi critici può non soltanto causare un pregiudizio operativo a causa del proprio fallimento, ma anche fungere da veicolo di corruzione, frode, conflitti di interesse, concussione, favoritismo indebito, falsificazione di dati di performance o occultamento dei titolari effettivi ultimi con trascorsi problematici. In simili situazioni, il terzo non costituisce soltanto un rischio operativo, ma anche un meccanismo di trasmissione attraverso il quale la criminalità finanziaria e le violazioni dell’integrità possono incidere sulla continuità del servizio essenziale. Un fornitore selezionato sotto influenza corruttiva anziché sulla base del merito, un partner di manutenzione che produca relazioni false, un consulente che agisca in realtà come intermediario di pagamenti illeciti o un partner logistico coinvolto nell’elusione delle sanzioni può esporre l’entità critica a una forma di vulnerabilità sistemica che non può essere ridotta a mero danno reputazionale o responsabilità giuridica. Una simile situazione può compromettere la governabilità del servizio, intensificare la pressione regolatoria, provocare il collasso delle relazioni contrattuali e compromettere la capacità di ripristino operativo proprio nel momento in cui rapidità e affidabilità risultano più indispensabili. Per tale ragione, l’analisi delle terze parti quali portatori di vulnerabilità sistemica deve sempre essere condotta, almeno in parte, attraverso il prisma della Gestione integrata del rischio di criminalità finanziaria, valutando non soltanto prestazione e sicurezza, ma anche integrità, trasparenza proprietaria, flussi finanziari e rischio di influenza.
Esternalizzazione, digitalizzazione e crescita delle dipendenze indirette
L’esternalizzazione e la digitalizzazione hanno profondamente ridisegnato il panorama dei servizi critici provocando un forte incremento delle dipendenze indirette. Laddove in passato le dipendenze erano spesso visibili in relazioni contrattuali dirette con fornitori identificabili, l’organizzazione contemporanea dei servizi essenziali ha dato origine a catene stratificate nelle quali l’entità critica dipende, in realtà, da molteplici livelli di subappalto, dipendenza da piattaforme, strati software, anelli di dati, ambienti di hosting, partner di integrazione e funzioni di supporto che non sono sempre pienamente visibili nel quadro contrattuale primario. Un’entità critica può, ad esempio, stipulare un contratto con un fornitore principale per una soluzione digitale, mentre tale soluzione si fonda a sua volta su infrastrutture cloud sottostanti, su servizi esterni di identità, su centri di supporto situati in altre giurisdizioni, su accessi specialistici di cibersicurezza, su team di sviluppo esternalizzati e su dipendenze da soggetti di terza o quarta linea sui quali l’entità stessa può esercitare soltanto un’influenza diretta molto limitata. Il profilo di rischio si sposta così da catene direttamente controllabili a strutture di dipendenza complesse e intrecciate nelle quali la fonte della perturbazione, della manipolazione o della contaminazione dell’integrità si colloca spesso a uno o più anelli di distanza rispetto al contraente formale. Sul piano giuridico e della governance, si tratta di una complicazione sostanziale, poiché l’entità critica rimane responsabile, soggetta a vigilanza e vincolata da obblighi di resilienza, mentre una parte significativa delle condizioni effettive di erogazione del servizio può collocarsi al di fuori della sua visibilità e del suo controllo diretto.
La digitalizzazione intensifica tale evoluzione nella misura in cui la continuità operativa dipende sempre più da servizi immateriali e persistenti che non possono essere localizzati, ispezionati o sostituiti con facilità. Un asset fisico è visibile; una dipendenza digitale può, al contrario, essere sepolta in profondità nell’architettura e divenire percepibile soltanto quando un guasto o una compromissione si siano già verificati. Un’entità critica può, ad esempio, ritenere di ricorrere a diversi fornitori e di avere così realizzato una diversificazione, mentre in realtà differenti applicazioni, interfacce e flussi di lavoro si fondano, sotto la superficie, sul medesimo fornitore cloud, sulla medesima libreria software, sul medesimo livello di dati o sul medesimo integratore specializzato. L’illusione della diversificazione può, in tali circostanze, mascherare una concentrazione effettiva. Lo stesso vale per l’esternalizzazione di funzioni di supporto che appaiono, sulla carta, non critiche, mentre nella pratica offrono accesso a sistemi critici, a processi operativi o a informazioni sensibili di carattere decisionale. Le funzioni di assistenza, i servizi di monitoraggio, gli aggiornamenti software, la gestione delle identità e degli accessi, la risposta esterna agli incidenti e la manutenzione remota possono essere presentati singolarmente come semplice supporto tecnico, mentre nel loro insieme creano una considerevole sfera di influenza esterna all’interno del nucleo del servizio vitale. Le dipendenze indirette, pertanto, non emergono come fenomeno marginale, ma come conseguenza strutturale del modo in cui la digitalizzazione e l’esternalizzazione riorganizzano la produzione dei servizi essenziali.
Per la Gestione integrata del rischio di criminalità finanziaria, la crescita delle dipendenze indirette riveste un’importanza particolare, poiché i rischi di criminalità finanziaria in catene digitalizzate ed esternalizzate a più livelli sono spesso più diffusi, meno visibili e più difficili da tracciare. Strutture complesse di subappalto possono essere utilizzate per occultare i titolari effettivi ultimi, mascherare giurisdizioni ad alto rischio, distribuire flussi finanziari irregolari o nascondere un coinvolgimento sensibile sotto il profilo sanzionatorio dietro modelli di prestazione di servizi apparentemente neutrali. Inoltre, in ambienti fortemente esternalizzati e digitalizzati, diviene più probabile che decisioni di procurement, richieste di modifica, contratti di supporto ed eccezioni tecniche vengano utilizzati come veicoli di favoritismo indebito, prestazioni fittizie, fatturazione frammentata, manipolazione dell’onboarding dei fornitori o costruzione selettiva di dipendenze a vantaggio di una cerchia ristretta di soggetti. La questione dell’integrità si sposta così dal singolo contraente all’intero stack di servizi attraverso il quale il servizio essenziale diviene possibile. Un efficace quadro di Gestione integrata del rischio di criminalità finanziaria all’interno delle entità critiche deve pertanto valutare non soltanto il fornitore diretto, ma anche la catena operativa e finanziaria sottostante, compresi i subappaltatori, le strutture proprietarie, i circuiti di pagamento, l’esposizione geografica e il grado di dipendenza effettiva dell’entità da anelli indiretti privi di strumenti propri di governance diretta. In mancanza di una simile impostazione ampliata, sussiste un serio rischio che la vulnerabilità materiale e l’esposizione alla criminalità finanziaria vengano sottovalutate proprio nei punti in cui digitalizzazione ed esternalizzazione hanno reso l’organizzazione maggiormente dipendente da terzi invisibili.
Criminalità finanziaria nelle catene dei fornitori e nei servizi di supporto
Nel contesto delle entità critiche, la criminalità finanziaria all’interno delle catene dei fornitori e dei servizi di supporto deve essere intesa come una fonte di pregiudizio diretto alla resilienza, e non come un mero rischio derivato di reputazione o di conformità. Tale qualificazione è di grande rilievo, poiché gli approcci tradizionali alla criminalità finanziaria nelle organizzazioni si sono spesso concentrati sulla protezione degli asset propri, sull’integrità delle transazioni interne e sul rispetto, in senso stretto, delle regole in materia di antiriciclaggio, lotta alla corruzione e sanzioni. Per le entità critiche, tale quadro è necessario ma insufficiente. Quando la criminalità finanziaria si inserisce nelle catene dei fornitori, nelle strutture di manutenzione, nei servizi generali, nel supporto informatico, nell’esecuzione logistica o nel subappalto specialistico, essa non colpisce soltanto l’integrità del rapporto commerciale, ma può danneggiare il servizio essenziale anche nel cuore stesso del suo funzionamento operativo. La corruzione può condurre alla selezione o al mantenimento di fornitori inadeguati, oppure di fornitori che rafforzano la dipendenza. La frode può comportare l’assenza effettiva di manutenzione, la fornitura di componenti di qualità inferiore o l’esistenza, sulla carta, di capacità che nella realtà fanno difetto. L’elusione delle sanzioni o strutture proprietarie occultate possono determinare improvvisamente blocchi giuridici, congelamento dei servizi o risoluzione forzata dei rapporti contrattuali. Il riciclaggio o i flussi finanziari fraudolenti nei servizi di supporto possono innescare interventi penali o amministrativi che pongono sotto pressione il controllo manageriale dei processi critici. In ciascuno di questi casi, la criminalità finanziaria non è un fenomeno periferico, bensì un meccanismo di perturbazione idoneo a compromettere la continuità della funzione vitale.
Le catene dei fornitori sono particolarmente sensibili a tali rischi, poiché sono spesso caratterizzate da una combinazione di pressione concorrenziale, trasparenza limitata, asimmetria tecnica e responsabilità frammentata. In simili condizioni, le irregolarità possono occultarsi con relativa facilità dietro contratti apparentemente routinari, ordini di variazione, forniture urgenti, consulenti, agenti locali, subappaltatori o deroghe giustificate con riferimento alla necessità operativa. Nell’universo delle entità critiche, questa dinamica è particolarmente pericolosa, poiché rapidità, disponibilità specialistica ed esigenze di continuità possono indurre l’organizzazione ad accettare eccezioni che successivamente si rivelano avere costituito la porta d’ingresso di violazioni dell’integrità o di strutture fraudolente di dipendenza. Un prestatore di manutenzione titolare di una posizione esclusiva di lunga data, un fornitore informatico con costi di uscita molto elevati, un partner logistico dotato di un accesso regionale dominante o un fornitore di dati o software beneficiario di integrazioni profondamente radicate può creare una situazione nella quale l’entità critica dispone, in pratica, di pochissime alternative e sviluppa, di conseguenza, una maggiore tolleranza verso carenze, strutture opache o deviazioni contrattuali. È precisamente in un simile contesto che la criminalità finanziaria spesso prospera: non attraverso un confronto aperto, ma mediante la progressiva normalizzazione di posizioni eccezionali, l’insufficienza del vaglio critico, la mancanza di trasparenza e l’idea che la necessità operativa debba prevalere sulla disciplina dell’integrità.
La Gestione integrata del rischio di criminalità finanziaria deve incorporare esplicitamente tale realtà trattando la criminalità finanziaria all’interno della catena come un rischio di perdita della governabilità operativa. Ciò richiede un approccio nel quale la due diligence sui fornitori, l’analisi dei titolari effettivi, il controllo rispetto alle sanzioni, i controlli sui pagamenti, il rilevamento delle frodi, la governance del procurement e il monitoraggio contrattuale non operino isolatamente, ma siano collegati alla questione di quali terze parti siano essenziali per la funzione vitale e di quali violazioni dell’integrità siano suscettibili di produrre un impatto sproporzionato sull’erogazione di tale funzione. Un’entità critica, pertanto, non può limitarsi a constatare che un fornitore esiste giuridicamente, appare finanziariamente plausibile ed è contrattualmente disponibile. Occorre, invece, un esame più approfondito della questione di chi eserciti realmente il controllo, di quali incentivi e dipendenze strutturino il rapporto, di quali eccezioni si siano sviluppate nella prassi, di quali segnali di frode in fatturazione, conflitti di interesse, corruzione o rischio sanzionatorio siano visibili, e della rapidità con cui il servizio essenziale risulterebbe compromesso se il rapporto dovesse essere interrotto improvvisamente per ragioni di integrità. Questo legame fra l’analisi della criminalità finanziaria e la continuità operativa costituisce il nucleo di una Gestione integrata del rischio di criminalità finanziaria solida all’interno delle entità critiche. In assenza di tale collegamento, il controllo dell’integrità rimane eccessivamente astratto, mentre la vulnerabilità reale risiede nella possibilità che relazioni di supporto contaminate da criminalità finanziaria finiscano per condizionare proprio quelle funzioni vitali che la Direttiva sulla resilienza delle entità critiche e la normativa olandese sulla resilienza delle entità critiche intendono proteggere.
Rischi di integrità nel procurement, nella manutenzione, nell’informatica e nel supporto logistico
I rischi di integrità nel procurement, nella manutenzione, nell’informatica e nel supporto logistico meritano, nel contesto delle entità critiche, un’attenzione distinta e particolarmente intensa, poiché in tali ambiti il confine formale fra supporto e funzione centrale è spesso fuorviante. Il procurement non determina soltanto quale soggetto ottenga un contratto, ma struttura, in numerosi casi, l’architettura delle dipendenze del servizio essenziale per anni. La manutenzione non determina soltanto se gli asset rimangano tecnicamente utilizzabili, ma anche se i malfunzionamenti possano essere corretti in tempo utile e se una capacità effettiva di ripristino sia realmente disponibile. Il supporto informatico non incide soltanto sulla performance dei sistemi, ma anche sugli accessi, sull’integrità dei dati, sulla visibilità dei processi operativi e sulla risposta agli incidenti. Il supporto logistico non si limita al trasporto o alla gestione delle scorte, ma può costituire la vera linea vitale per pezzi di ricambio, carburanti, componenti critici o accesso fisico alle infrastrutture. In tutti questi ambiti, il deterioramento dell’integrità può produrre un duplice pregiudizio: la qualità e l’affidabilità del servizio interessato diminuiscono, mentre al contempo l’entità critica costruisce una struttura di dipendenza difficile da smantellare. Di conseguenza, un incidente di integrità non costituisce soltanto una violazione normativa, ma potenzialmente l’inizio di una perdita strutturale di controllo su una parte della funzione vitale.
Nel procurement, tali rischi possono manifestarsi sotto forma di procedure di selezione distorte, collusione fra fornitori, manipolazione delle specifiche, eccezioni opache, artificiosi dispositivi di urgenza, conflitti di interesse, concorrenza fittizia o orientamento verso una parte già prescelta sotto il pretesto della necessità tecnica. Nella manutenzione possono emergere lavori fittizi, ispezioni strutturalmente rinviate, certificazioni difettose, dati di performance falsificati o dipendenza indebita da un unico prestatore di manutenzione. Nell’informatica, accessi privilegiati insufficientemente controllati, subappalti opachi, componenti software poco trasparenti, strutture nascoste di supporto remoto o catene di proprietà e sviluppo insufficientemente chiare possono condurre a una situazione nella quale l’entità critica è formalmente cliente, ma detiene, in sostanza, un controllo limitato sui sistemi che sostengono il suo servizio essenziale. Nel supporto logistico, anelli fraudolenti, deviazioni, intermediari non controllati, broker inaffidabili, rotte sensibili sotto il profilo delle sanzioni o informazioni manipolate su scorte e disponibilità possono compromettere l’affidabilità e l’integrità della catena. Ciò che accomuna tutti questi esempi è che il rischio di integrità non può qui essere disgiunto dalla governance della resilienza. Esso incide direttamente sulla questione se l’entità possa continuare ad assicurare la propria funzione vitale sotto pressione senza essere, in pratica, tenuta in ostaggio da relazioni di supporto compromesse o ingovernabili.
Per tale ragione, la Gestione integrata del rischio di criminalità finanziaria deve, in questi ambiti, andare ben oltre una lotta reattiva contro la frode o una due diligence standardizzata nei confronti delle terze parti. Occorre un quadro integrato nel quale le decisioni di procurement siano esaminate sotto il profilo della creazione di dipendenze, le relazioni di manutenzione sotto quello della sostituibilità reale e della verificabilità delle prestazioni, i servizi informatici sotto quello della trasparenza tecnica e di governance, e il supporto logistico sotto quello dell’integrità delle rotte, del rischio legato agli intermediari e dell’esposizione a sanzioni o frodi. Tale quadro deve inoltre comprendere una visibilità puntuale sui meccanismi eccezionali, poiché spesso non è la regola formale, ma la deviazione apparentemente temporanea a divenire il luogo in cui si incontrano favoritismo indebito e vulnerabilità strutturale. Una proroga contrattuale giustificata dall’urgenza, un aggiramento provvisorio dei requisiti di onboarding, una soluzione di emergenza che implichi accesso remoto, un intermediario logistico ad hoc o un meccanismo di variante contrattuale al di fuori del normale circuito decisionale possono trasformarsi in una fonte durevole di rischio di integrità e di continuità. All’interno delle entità critiche, il procurement, la manutenzione, l’informatica e la logistica devono pertanto essere intesi non semplicemente come funzioni di supporto che devono operare in modo efficiente, ma come ambiti strategici di resilienza nei quali la qualità della gestione dell’integrità contribuisce a determinare se il servizio essenziale rimanga governabile, affidabile e sottoposto a un controllo pubblico e organizzativo effettivo. È precisamente in tale contesto che un sistema fortemente strutturato e profondamente radicato di Gestione integrata del rischio di criminalità finanziaria diviene indispensabile.
Rischio di concentrazione, punti singoli di guasto e perturbazione intrecciata nella catena
Il rischio di concentrazione costituisce, nel dominio delle entità critiche, una delle manifestazioni più sottovalutate e, al tempo stesso, più destabilizzanti della dipendenza dalla catena di approvvigionamento. Esso non riguarda soltanto la situazione in cui un’entità critica dipende formalmente da un solo fornitore, da una sola tecnologia, da un solo partner di manutenzione o da un solo corridoio logistico, ma anche la configurazione più sottile e, nella pratica, spesso assai più pericolosa, nella quale relazioni che appaiono distribuite convergono in realtà nella medesima infrastruttura sottostante, nella medesima struttura finanziaria o proprietaria, nel medesimo bacino di competenze tecniche oppure nel medesimo spazio geografico e giuridico di dipendenza. Il rischio di concentrazione assume così una portata molto più ampia di quanto suggerisca la nozione classica di matrice giuspubblicistica degli acquisti o di gestione operativa. Ciò che rileva non è soltanto se esistano numericamente più controparti contrattuali, ma se tali parti operino in maniera materialmente indipendente, se rappresentino realmente capacità sostituibili, se poggino su fondamenta operative separate e se la loro simultanea indisponibilità o compromissione possa ragionevolmente essere esclusa. Nel quadro della resilienza delle entità critiche, il rischio di concentrazione non è dunque un problema astratto di struttura di mercato, bensì una minaccia diretta alla continuità di un servizio essenziale. Quando troppe funzioni critiche si concentrano in un numero limitato di anelli, prende forma un sistema nel quale la perturbazione non rimane più locale o proporzionata, ma si traduce rapidamente in una disarticolazione intrecciata della catena, con conseguenze potenzialmente intersettoriali.
I punti singoli di guasto non devono, in questo contesto, essere intesi in senso strettamente tecnico. La nozione non si riferisce esclusivamente a un solo server, a un solo data center, a un solo componente di rete o a una sola installazione fisica, ma anche a dipendenze giuridiche, contrattuali, umane, geografiche e fondate sull’expertise, che nella pratica possono svolgere la medesima funzione destabilizzante. Un’entità critica può, ad esempio, disporre formalmente di più prestatori di servizi e rimanere nondimeno, nella sostanza, dipendente da un solo gruppo di tecnici specializzati che soltanto essi hanno accesso a un sistema complesso, da un solo fornitore di software che soltanto esso può eseguire aggiornamenti e operazioni di ripristino, da un solo produttore estero di pezzi di ricambio oppure da un solo nodo logistico attraverso cui transitano flussi di beni essenziali. In tutti questi casi, un punto singolo di guasto non emerge perché l’organizzazione sia stata negligente in senso elementare, ma perché la combinazione di specializzazione tecnologica, concentrazione del mercato, lock-in contrattuale, pressione temporale e accumulo storico di dipendenze ha condotto a una situazione nella quale la sostituibilità operativa sembra teoricamente presente, pur essendo, in pratica, quasi del tutto assente. Per le entità critiche, ciò costituisce un presupposto particolarmente precario, poiché la funzione sociale del servizio essenziale non può attendere lunghi processi di sostituzione, rinegoziazioni internazionali o complesse migrazioni tecniche. L’esistenza di punti singoli di guasto nascosti solleva pertanto la questione se l’entità mantenga ancora realmente la direzione delle condizioni della propria continuità, oppure se tale direzione si sia già spostata, in termini materiali, verso anelli esterni insufficientemente visibili, insufficientemente influenzabili o insufficientemente sostituibili in tempi rapidi.
Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, il rischio di concentrazione assume un significato ulteriore e particolarmente acuto, poiché i rischi di criminalità finanziaria possono non soltanto accompagnare gli effetti della concentrazione, ma anche approfondirli e accelerarli. Un rapporto concentrato con un fornitore, accompagnato da opacità proprietaria, flussi finanziari inconsueti, favoritismi verso un fornitore preferito, incentivi alla corruzione, concorrenza fittizia o strutture sensibili alle sanzioni, non crea soltanto un problema di conformità; esso crea una situazione nella quale l’entità critica rimane ancorata a un unico anello rischioso proprio nel punto in cui la dipendenza operativa è già massima. In simili circostanze, la criminalità finanziaria diventa un amplificatore della vulnerabilità sistemica. Essa può condurre all’espulsione dal mercato di alternative, al prolungamento artificiale di dipendenze contrattuali, all’abuso di monopoli tecnici o logistici e alla captazione troppo tardiva o troppo esitante di segnali di malfunzionamento per timore di una disorganizzazione operativa. Un sistema robusto di Gestione integrata del rischio di criminalità finanziaria deve quindi guardare non soltanto alla questione se un fornitore o un prestatore di servizi operi con integrità, ma anche a quella se la concentrazione della dipendenza esponga strutturalmente l’entità a influenze indebite, alla prosecuzione fraudolenta di relazioni, all’escalation del rischio sanzionatorio o alla perdita improvvisa di servizi in caso di intervento regolatorio. Il rischio di concentrazione non è dunque, in questo senso, né una mera questione di resilienza né una mera questione di integrità, ma un tema convergente nel quale continuità, governabilità e gestione dei rischi di criminalità finanziaria coincidono.
Vigilanza sui terzi nel quadro della Direttiva sulla resilienza delle entità critiche e della Wwke, nonché nei più ampi regimi di resilienza
La vigilanza sui terzi nel quadro della Direttiva sulla resilienza delle entità critiche e della Wwke deve essere compresa alla luce di un orizzonte normativo profondamente mutato. L’oggetto dell’attenzione regolatoria non è più esclusivamente la conformità interna dell’entità critica in senso stretto, bensì la questione più ampia se l’entità sia in grado di proteggere il proprio servizio essenziale, in condizioni di perturbazione, da vulnerabilità che si collocano in misura significativa al di fuori dei propri confini organizzativi. Ciò non significa che le autorità di vigilanza acquisiscano, per questa via, un potere diretto e generico su tutti i soggetti esterni della catena, ma significa invece che ci si attende dall’entità critica una conoscenza dimostrabile dei terzi dai quali dipendono, in fatto, la continuità, l’integrità e la governabilità della funzione vitale. In questa prospettiva, muta anche il contenuto sostanziale di ciò che deve intendersi per governance adeguata e gestione sufficiente del rischio. Un’entità critica non può limitarsi a produrre contratti, fascicoli generali di due diligence o valutazioni standard dei fornitori quando la struttura effettiva delle dipendenze è molto più profonda e complessa. Più rilevante diventa, invece, la questione se l’entità possa dimostrare quali terzi siano stati qualificati come critici, su quali basi tale qualificazione sia avvenuta, come l’entità mantenga visibilità sulla subfornitura sottostante e sulle strutture proprietarie, quali scenari di fallback esistano e come la governance dell’entità assicuri che i segnali di deterioramento dell’affidabilità o dell’integrità presso i terzi siano affrontati tempestivamente.
Il più ampio quadro della resilienza rafforza questa evoluzione perché differenti ambiti regolatori si intersecano sempre più intensamente nella pratica. La resilienza delle entità critiche non è, infatti, separabile dalla cibersicurezza, dal rispetto delle sanzioni, dai regimi anticorruzione, dalla disciplina degli appalti e degli acquisti, dalla gestione del rischio operativo, dalla governance dell’esternalizzazione e dai requisiti di vigilanza settoriale. Ne deriva un paesaggio normativo stratificato nel quale uno stesso terzo può risultare rilevante sotto molteplici profili: quale punto di accesso cibernetico, quale partner di manutenzione, quale attore logistico chiave, quale soggetto che tratta dati, quale intermediario finanziario o quale potenziale rischio di integrità. Per l’entità critica ciò significa che la vigilanza non può più essere affrontata come una serie di linee di rendicontazione separate, ciascuna con il proprio limitato insieme di documenti. Occorre, al contrario, un’architettura di governance coerente, capace di soddisfare differenti aspettative di vigilanza senza perdere di vista la questione materiale centrale: dove si trovano gli anelli della catena che sostengono il servizio essenziale o che possono destabilizzarlo, e come viene esercitato su di essi un controllo effettivo sul piano della governance e su quello operativo? Da questa prospettiva, anche gli obblighi di notifica, la risposta agli incidenti e le valutazioni periodiche del rischio assumono un peso maggiore. Non soltanto gli incidenti interni, ma anche le perturbazioni, le violazioni dell’integrità o gli impedimenti giuridici che riguardano terzi possono acquisire rilevanza ai fini della vigilanza quando incidono, o possono incidere, sulla funzione vitale.
La Gestione integrata del rischio di criminalità finanziaria deve, in questa realtà di vigilanza, essere espressamente collocata come elemento integrante di una gestione dimostrabile della resilienza. La vigilanza sui terzi viene infatti svuotata nella sostanza se i rischi di criminalità finanziaria nella catena vengono portati all’attenzione soltanto in modo frammentario o puramente reattivo. Un’autorità di vigilanza che valuti la resilienza di un’entità critica difficilmente potrà ritenersi soddisfatta, sul piano materiale, di un modello nel quale la criticità operativa sia stata mappata mentre la trasparenza della proprietà, la sensibilità alle sanzioni, il rischio di corruzione, i pattern di frode e i flussi finanziari inconsueti rimangano al di fuori dell’analisi centrale. Un terzo può infatti essere operativamente indispensabile e, al tempo stesso, instabile dal punto di vista dell’integrità, giuridicamente precario o finanziariamente opaco. In simili circostanze, la vulnerabilità del servizio essenziale non può essere valutata seriamente senza includere la dimensione dell’integrità. Un modello credibile e pronto per la vigilanza deve pertanto dimostrare che l’entità critica non soltanto sa quale terzo sia importante, ma anche come venga valutata l’integrità di quel soggetto, come vengano monitorati i cambiamenti di proprietà o di controllo, come vengano affrontate le transazioni inconsuete o i rischi sanzionatori in aumento e in quale modo sia possibile un intervento di governance quando un terzo non possa più essere considerato affidabile. La vigilanza sui terzi nel quadro della Direttiva sulla resilienza delle entità critiche, della Wwke e dei quadri connessi presuppone quindi un’organizzazione che non consideri le proprie dipendenze esterne come meri rapporti commerciali, ma come oggetti di una governance della resilienza permanente e dimostrabilmente integrata.
Mappatura della catena, due diligence e monitoraggio continuo delle dipendenze critiche
All’interno delle entità critiche, la mappatura della catena non costituisce un semplice esercizio documentale di supporto, bensì un elemento costitutivo della questione se l’entità comprenda realmente l’architettura della propria vulnerabilità. Senza un’immagine profonda e dinamica della catena, ogni affermazione relativa alla resilienza rimane in larga misura speculativa, poiché resta incerto quali anelli esterni sostengano effettivamente il servizio essenziale, dove si collochino le concentrazioni di dipendenza, quali strati di subfornitura siano operativamente rilevanti e dove strutture giuridiche, geografiche o proprietarie possano indebolire la presa di governance sui processi critici. La mappatura della catena deve dunque andare ben oltre la redazione di un elenco di fornitori o la classificazione di contratti in base alla spesa o alla categoria formale di servizio. Ciò che occorre è un’immagine molto più raffinata, capace di rendere visibili i soggetti che hanno accesso a sistemi critici, i terzi che eseguono manutenzione su asset vitali, i prestatori che trattano o ospitano dati operativi, i nodi logistici essenziali per la continuità, i subfornitori specialistici indispensabili per il ripristino, nonché le infrastrutture sottostanti utilizzate simultaneamente da più prestatori di servizi che all’esterno appaiono indipendenti. Soltanto quando tali relazioni vengono portate alla luce in modo sistematico diventa possibile stabilire dove l’entità sia materialmente vulnerabile e dove siano necessari interventi preventivi, contrattuali, tecnici o di governance.
In questo quadro, la due diligence assume un carattere sensibilmente più gravoso di quello normalmente riscontrabile nei programmi convenzionali di gestione dei fornitori. Non si tratta soltanto di sapere se un terzo esista legalmente, sia in grado di produrre documentazione di base e appaia generalmente rispettabile. Più importante è, invece, stabilire se esista visibilità sui titolari effettivi ultimi, sui rapporti effettivi di controllo, sulla solidità finanziaria, sulla dipendenza da giurisdizioni ad alto rischio, sulla sensibilità alle sanzioni, sulla condotta storica in materia di integrità, sulle pratiche di subfornitura, sulle persone chiave, sulla postura di cibersicurezza e sulla questione se il fornitore o il prestatore di servizi occupi una posizione talmente singolare da lasciare all’entità critica pochissime alternative realistiche nella pratica. La due diligence deve inoltre differenziarsi in funzione della natura della dipendenza. Un fornitore di generici articoli per ufficio non richiede il medesimo livello di approfondimento di un prestatore con accesso privilegiato alla tecnologia operativa, di un partner di manutenzione per impianti vitali o di un attore logistico che controlla un corridoio esclusivo verso asset critici. Il baricentro normativo non risiede dunque in un’uniformità amministrativa universale, bensì in una profondità mirata in quei punti nei quali l’impatto potenziale sul servizio essenziale è massimo. In questo senso, la due diligence nelle entità critiche non è un semplice esercizio di spunta, ma uno strumento per rispondere alla questione materiale se la continuità della funzione pubblica possa essere affidata responsabilmente al terzo interessato.
Il monitoraggio continuo è poi indispensabile, poiché le dipendenze critiche raramente rimangono statiche. La proprietà può cambiare, la subfornitura può estendersi, le prestazioni possono deteriorarsi gradualmente, le condizioni geopolitiche possono mutare, i regimi sanzionatori possono irrigidirsi, la salute finanziaria può peggiorare, e ciò che inizialmente appariva come un rapporto con un fornitore governabile può trasformarsi silenziosamente in un anello di fatto indispensabile. Una semplice istantanea al momento dell’onboarding è dunque insufficiente. Occorre una forma continua di vigilanza all’interno dell’organizzazione, nella quale i segnali provenienti dalla gestione contrattuale, dagli incidenti operativi, dagli eventi cyber, dal comportamento di pagamento, dai cambiamenti nelle strutture di governance, dagli sviluppi del mercato e dal contesto giuridico o geopolitico siano riuniti in un unico processo valutativo integrato. Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, tale monitoraggio continuo assume un’importanza particolare. I rischi di criminalità finanziaria, infatti, spesso si rivelano soltanto nel tempo: attraverso mutamenti nei pattern di fatturazione, intermediari inconsueti, rapidi trasferimenti di proprietà, crescente dipendenza da contratti eccezionali, richieste di pagamento anomale, segnali di conflitti di interessi o crescente esposizione a regioni sanzionate o ad alto rischio. Un’architettura di monitoraggio efficace deve quindi essere rivolta non soltanto alla disponibilità e alla performance, ma anche all’evoluzione dell’integrità del rapporto e alla questione se l’entità critica rimanga capace di governare il servizio essenziale quando l’affidabilità di un terzo venga messa sotto pressione. Mappatura della catena, due diligence e monitoraggio continuo non costituiscono pertanto tre tecniche di controllo separate, bensì un’unica struttura coerente attraverso la quale la resilienza materiale del servizio essenziale viene resa visibile e governabile.
Cooperazione pubblico-privata in caso di perturbazioni nelle catene di approvvigionamento vitali
Nel pensiero contemporaneo sulla resilienza, la cooperazione pubblico-privata di fronte a perturbazioni che colpiscono le catene di approvvigionamento vitali non costituisce un semplice complemento facoltativo alla preparazione individuale delle imprese, ma una condizione strutturale per una risposta efficace quando la disorganizzazione supera i confini di una singola organizzazione. Le entità critiche operano, infatti, in ambienti nei quali le perturbazioni raramente rimangono confinate al rapporto diretto tra l’entità e un solo fornitore. Carenze, guasti di prestatori specializzati, impedimenti ai trasporti, blocchi geopolitici, incidenti cyber, atti di sabotaggio, disordini finanziari o violazioni dell’integrità nella catena possono colpire simultaneamente più attori e diffondersi rapidamente tra settori, regioni e strati di dipendenza. In simili circostanze, una logica di risposta esclusivamente privata risulta insufficiente, poiché la singola entità spesso non dispone né di informazioni sufficienti, né di capacità coercitive, né di un mandato di coordinamento, né di una visione complessiva del settore che le consenta di attenuare efficacemente la perturbazione. La cooperazione pubblico-privata acquista pertanto un significato strategico che va ben oltre il semplice scambio di informazioni in senso generale. Essa riguarda l’istituzione di un ordine di risposta nel quale poteri pubblici, autorità di vigilanza, alleanze settoriali ed entità critiche si scambiano informazioni in modo controllato, determinano priorità, allocano capacità scarse, individuano ostacoli giuridici e coordinano misure di emergenza destinate a proteggere i servizi essenziali.
La necessità di tale approccio emerge con particolare chiarezza quando la perturbazione riguarda catene nelle quali i meccanismi di mercato, sotto pressione di crisi, funzionano in modo insufficiente o addirittura controproducente. Una carenza di pezzi di ricambio, di personale specializzato di manutenzione, di capacità di ripristino digitale, di accesso logistico o di prestatori alternativi affidabili può indurre singole entità a competere per le medesime risorse limitate, mentre l’interesse collettivo richiede, invece, un’allocazione fondata sulla priorità vitale e sull’impatto sistemico. Allo stesso modo, un problema di integrità o di sanzioni che colpisca un fornitore dominante può incidere simultaneamente su più entità critiche, rendendo insufficiente un approccio puramente contrattuale e facendo emergere l’esigenza di un’interpretazione coordinata, di un allineamento giuridico e di percorsi di emergenza temporanei. In simili situazioni, la cooperazione pubblico-privata non deve essere intesa come una forma di consultazione ad hoc inventata soltanto nel momento della crisi, ma come una struttura preparata in anticipo, nella quale siano già stati sviluppati punti di contatto, linee di escalation, protocolli informativi, accordi di riservatezza, meccanismi settoriali di prioritarizzazione e scenari comuni. Solo a tale condizione diventa possibile evitare che una perturbazione nella catena di approvvigionamento vitale conduca a decisioni frammentate, ad asimmetrie informative e a una situazione nella quale ogni attore agisca separatamente mentre la vulnerabilità è, nella sostanza, collettiva.
Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, la cooperazione pubblico-privata in questo settore riveste anch’essa un’importanza fondamentale, poiché le perturbazioni nelle catene vitali si accompagnano frequentemente a una maggiore esposizione a frode, corruzione, manipolazione dei prezzi, elusione delle sanzioni, falsificazione di documenti, intermediari opportunistici e altre forme di abuso economico-finanziario. Le condizioni di crisi aumentano la pressione a contrarre rapidamente, a derogare ai controlli ordinari, ad ammettere fornitori di emergenza e ad accettare temporaneamente documentazione incompleta. È precisamente questo il contesto nel quale la criminalità finanziaria trova spesso lo spazio per emergere. Un’entità che operi in isolamento corre allora il rischio di servirsi degli stessi intermediari rischiosi utilizzati da altri attori, di non cogliere segnali di allarme già emersi altrove, oppure di adottare, sotto pressione operativa, misure che successivamente minano l’integrità e la sostenibilità giuridica della risposta. La cooperazione pubblico-privata può qui svolgere una funzione di contrappeso, aggregando segnali, costruendo rappresentazioni condivise del rischio, identificando più rapidamente i pattern di frode e organizzando un’allerta collettiva rispetto a prestatori rischiosi, strutture di pagamento inconsuete o fornitori di emergenza che compaiono improvvisamente. Diventa così chiaro che la cooperazione pubblico-privata in caso di perturbazioni nelle catene di approvvigionamento vitali non riguarda soltanto la continuità operativa, ma anche la prevenzione del rischio che la risposta alla crisi stessa diventi il veicolo di nuove dipendenze, di contaminazione dell’integrità e di indebolimento della presa di governance.
La resilienza dei terzi come componente indispensabile della Gestione integrata del rischio di criminalità finanziaria nelle entità critiche
Nelle entità critiche, la resilienza dei terzi deve essere considerata una componente indispensabile della Gestione integrata del rischio di criminalità finanziaria, poiché la classica separazione tra continuità operativa e controllo della criminalità finanziaria non è più, in questo contesto, sostenibile né sul piano analitico né da quello della governance. I soggetti esterni dai quali dipende un’entità critica non costituiscono infatti soltanto fonti di incertezza in materia di approvvigionamento o di performance, ma anche potenziali vettori di opacità proprietaria, rischio di corruzione, sensibilità alle sanzioni, pattern di frode, influenza indebita e altre forme di danno all’integrità suscettibili di incidere direttamente sulla disponibilità, sull’affidabilità e sulla governabilità del servizio essenziale. Un terzo può essere contemporaneamente partner di manutenzione, titolare di accesso ai dati, anello logistico, destinatario di pagamenti e meccanismo di ripristino operativo. In un rapporto siffatto sarebbe artificiale collocare, da un lato, le valutazioni del rischio operativo e, dall’altro, l’analisi della criminalità finanziaria, come se i due piani fossero soltanto marginalmente connessi. Per le entità critiche, la questione centrale consiste piuttosto nel sapere se le dipendenze esterne siano governate in modo tale da non esporre la funzione vitale a una convergenza di perturbazione della continuità, deterioramento dell’integrità e perdita di controllo di governance. La resilienza dei terzi non costituisce dunque un capitolo aggiuntivo rispetto alla Gestione integrata del rischio di criminalità finanziaria, ma uno dei luoghi nei quali tale sistema di gestione dimostra la propria rilevanza materiale.
Questa conclusione comporta conseguenze profonde per l’assetto della governance, delle linee di reporting e dei processi decisionali. Quando la resilienza dei terzi viene seriamente trattata come parte della Gestione integrata del rischio di criminalità finanziaria, la valutazione di fornitori e prestatori di servizi non può più rimanere frammentata tra funzioni diverse in assenza di un quadro analitico unificante. Gli acquisti non possono più perseguire autonomamente un’ottimizzazione puramente commerciale mentre l’integrità e la formazione delle dipendenze vengono valutate altrove. Le funzioni cyber non possono limitarsi a controlli tecnici senza visibilità sulla proprietà, sulla subfornitura e sull’esposizione alle sanzioni. La compliance non può accontentarsi di controlli di ingresso restando estranea alla criticità operativa del rapporto. Le operations, a loro volta, non possono presumere che la performance storica costituisca prova sufficiente di affidabilità laddove la struttura sottostante sia fragile dal punto di vista dell’integrità o opaca sul piano finanziario. Ciò che occorre è un modello nel quale criticità, sostituibilità, concentrazione, trasparenza proprietaria, comportamento di pagamento, incidenti di integrità, esposizione giuridica e rilevanza in crisi dei terzi siano riuniti in un unico linguaggio di governance. Soltanto in un tale modello integrato diviene visibile quali terzi portino il più elevato valore di rischio composito e dove siano necessari intervento, ristrutturazione, rafforzamento contrattuale, monitoraggio supplementare o riduzione strategica della dipendenza.
Nel senso più fondamentale, questo approccio conferma che la Gestione integrata del rischio di criminalità finanziaria nelle entità critiche possiede reale forza persuasiva soltanto quando si concentra sui luoghi nei quali la protezione delle funzioni pubbliche e la realtà della catena si incontrano. La criminalità finanziaria, in questa sfera, non è semplicemente una questione di illecito finanziario, ma un meccanismo capace di deformare l’architettura della dipendenza, di collocare terzi inadatti o rischiosi in posizioni chiave, di paralizzare la rilevazione, di escludere alternative e di radicare vulnerabilità regolatorie o geopolitiche nel nucleo operativo del servizio essenziale. La resilienza dei terzi funziona, pertanto, come prova decisiva della profondità dell’intero sistema. Se un’entità critica dispone di regole generali di integrità ma manca di una visibilità precisa su quali parti esterne condizionino la funzione vitale, il collegamento materiale tra norma e rischio viene meno. Se, al contrario, trasparenza della proprietà, mappatura della catena, sensibilità alle sanzioni, rilevazione della frode, leva contrattuale, analisi della sostituibilità e monitoraggio continuo sono congiuntamente integrati nella governance delle dipendenze critiche, emerge una forma di Gestione integrata del rischio di criminalità finanziaria che non è soltanto formalmente solida, ma contribuisce effettivamente alla protezione dei servizi essenziali contro le minacce intrecciate dell’economia contemporanea. Sotto questo profilo, la resilienza dei terzi non è semplicemente una componente rilevante del sistema, ma una delle condizioni centrali della sua credibilità e del suo funzionamento effettivo.
