Nel quadro giuridico e amministrativo europeo e nazionale attuale, le entità critiche non possono più essere considerate semplicemente come organizzazioni che richiedono un livello elevato di sicurezza, ma devono essere intese come istituzioni la cui continuità effettiva, affidabilità di governo e resilienza funzionale sono direttamente connesse alla stabilità della società, alla credibilità dell’azione pubblica e al funzionamento dei mercati e dei servizi pubblici. Questo spostamento non è di natura terminologica, bensì costituzionale e amministrativa. Mentre gli approcci precedenti ponevano spesso l’accento sulla protezione di singoli oggetti, impianti o infrastrutture, il baricentro si è ormai spostato sulla questione se le entità che forniscono servizi essenziali siano in grado di prevenire, resistere, assorbire, limitare e superare perturbazioni senza che la funzione pubblica sottostante perda in misura significativa affidabilità, accessibilità o governabilità. In tale concezione, la resilienza non è più un sottosettore tecnico, ma un criterio strutturante per l’organizzazione della responsabilità amministrativa, della valutazione del rischio, della governance delle catene di dipendenza, della supervisione e del contenimento normativo. Ciò mostra altresì perché la governance dell’integrità, in questo regime, non possa più essere pensata soltanto in termini di conformità interna, prevenzione delle frodi o tutela della reputazione. Una volta che i servizi essenziali sono concepiti come supporti della continuità sociale, la gestione della proprietà, del finanziamento, dei terzi, delle dipendenze operative, delle strutture di governo e della risposta agli incidenti diventa inevitabilmente parte integrante di un più ampio mandato di continuità. La questione, pertanto, non è più se l’integrità costituisca una prospettiva utile in aggiunta alla resilienza, ma se una resilienza durevole sia anche solo concepibile senza una forma di governance dell’integrità che penetri profondamente nel modo in cui un’entità classifica, gerarchizza e interiorizza istituzionalmente il rischio.
Questa evoluzione appare con particolare nettezza nel contesto della direttiva europea relativa alla resilienza delle entità critiche e della sua attuazione nazionale, nella misura in cui tale quadro normativo riconfigura in modo sostanziale il rapporto tra interessi pubblici, responsabilità privata di attuazione e supervisione istituzionale. Le entità interessate non sono soltanto tenute ad adottare determinate misure di protezione, ma devono anche essere in grado di dimostrare che il servizio essenziale rimane amministrativamente governabile in condizioni di perturbazione assai diverse. Ne deriva un nuovo punto di riferimento per la Gestione integrata del rischio di criminalità finanziaria. Mentre questo ambito era tradizionalmente associato al rischio di riciclaggio, al rischio sanzionatorio, alla corruzione, alla frode, alla concussione o corruzione impropria, ai conflitti di interesse, agli abusi commessi da terzi e ai flussi transazionali sensibili sotto il profilo dell’integrità, nel quadro della resilienza esso si amplia fino a divenire una forma di direzione capace di individuare anche il modo in cui il rischio di integrità finanziaria si traduce in perdita di continuità, rafforzamento delle dipendenze, influenza istituzionale e disorganizzazione operativa. Un fornitore esposto a sanzioni, un investitore caratterizzato da rapporti di controllo opachi, un prestatore di servizi dotato di accesso esteso a processi critici, oppure una configurazione contrattuale che trasferisce il potere decisionale effettivo al di fuori dell’organo di governo formalmente competente rappresentano, in questo contesto, non soltanto una questione di conformità, ma una potenziale via di destabilizzazione del servizio essenziale stesso. In tale prospettiva si delinea una concezione integrata della governance nella quale la resilienza delle entità critiche, la robustezza digitale, il controllo delle catene di dipendenza, la risposta alle crisi, il reporting e la supervisione convergono in un modello rafforzato di governance dell’integrità che non può più essere relegato alla periferia dell’organizzazione, ma deve estendersi al cuore della decisione, della definizione delle priorità e dell’autoprotezione istituzionale.
Le entità critiche come pilastri della continuità sociale, dell’affidabilità pubblica e della stabilità economica
Negli Stati moderni e nelle economie di mercato, le entità critiche svolgono una funzione che, dal punto di vista giuridico e amministrativo, è sensibilmente più gravosa di quanto potrebbe far pensare la sola classificazione settoriale formale. La fornitura di energia, servizi di trasporto, infrastrutture dei mercati finanziari, assistenza sanitaria, acqua potabile, infrastrutture digitali, approvvigionamento alimentare e altri servizi essenziali non ha soltanto carattere economico, ma sostiene il fondamento stesso della continuità sociale. Quando tali funzioni subiscono pressioni, le conseguenze non si sviluppano secondo uno schema lineare o isolato, bensì sotto forma di cascate accelerate: i processi produttivi si inceppano, l’erogazione dei servizi pubblici si disarticola, i flussi informativi perdono affidabilità, i pagamenti rallentano, il processo decisionale amministrativo si tende e l’incertezza sociale aumenta. Le entità interessate diventano così supporti di una funzione di stabilità di rilevanza pubblica, anche quando la loro forma giuridica è privata e le loro attività si collocano in strutture di mercato. La portata normativa delle loro azioni ne risulta accresciuta. Le scelte di governo relative a investimenti, esternalizzazione, selezione dei fornitori, strutture proprietarie, accesso ai dati, dispositivi di manutenzione e propensione al rischio non possono più essere giustificate unicamente alla luce dell’efficienza, del controllo dei costi o del valore per gli azionisti, ma devono essere valutate anche in rapporto alla capacità dell’entità di continuare a svolgere in modo durevole la propria funzione essenziale in condizioni di perturbazione.
Tale constatazione ha conseguenze dirette sul modo in cui deve essere intesa l’affidabilità pubblica. In questo contesto, l’affidabilità pubblica non è una qualità astratta di un’istituzione ben amministrata, bensì un’aspettativa giuridicamente e amministrativamente qualificata secondo cui i servizi essenziali devono rimanere disponibili, prevedibili, integri sotto il profilo del controllo e suscettibili di ripristino, anche quando l’ambiente circostante si deteriora. Per le entità critiche, ciò significa che la fiducia non deriva in primo luogo dalla comunicazione pubblica o da una certificazione formale, ma dalla presenza dimostrabile di strutture capaci di esaminare le dipendenze, far escalare i rischi, rilevare rapidamente gli scostamenti e mantenere il processo decisionale entro limiti normativi anche in situazioni di crisi. La posizione sociale di queste entità implica che le carenze di governo producano effetti pubblici più rapidamente di quanto avvenga nei settori non critici. Una visione incompleta del rischio connesso ai terzi, una selezione insufficiente dei rapporti di investimento, una conoscenza inadeguata dei rischi di concentrazione operativa o una concezione troppo ristretta dell’integrità, ridotta a un comportamento semplicemente conforme al diritto, possono in tale contesto trasformarsi in una falla nella garanzia dell’affidabilità pubblica. La distinzione pertinente non passa quindi tra organizzazioni pubbliche e private, ma tra entità la cui discontinuità rimane governabile all’interno dei propri confini organizzativi ed entità la cui discontinuità si traduce immediatamente in un disordine sociale più ampio.
La funzione di stabilizzazione economica delle entità critiche rafforza questa analisi. In un’economia profondamente interdipendente, i servizi essenziali non si limitano a sostenere l’attività economica, ma costituiscono la condizione stessa di possibilità del funzionamento dei mercati. L’affidabilità dei pagamenti, la stabilità dell’approvvigionamento energetico, l’accessibilità logistica, i servizi di dati e comunicazione, la continuità dell’assistenza sanitaria e la prestazione amministrativa non sono condizioni ex post, bensì precondizioni. Non appena uno di questi flussi subisce una perturbazione significativa, diviene evidente che l’ordine economico poggia in larga misura su istituzioni che possono essere organizzate settorialmente sul piano formale, ma che sul piano sostanziale rivestono un significato sistemico. Ciò richiede una filosofia di governo nella quale le entità critiche siano considerate supporti di infrastruttura sociale in senso funzionale, indipendentemente dalla loro forma giuridica o dall’origine della loro proprietà. È in questa prospettiva che diventa altresì comprensibile perché la governance dell’integrità debba essere approfondita e ampliata. Non perché l’integrità, quale categoria normativa, sia nuova, ma perché l’impatto delle carenze di integrità nelle entità critiche è sostanzialmente più grave: l’influenza finanziaria ed economica, il controllo indebito, i conflitti di interesse, gli abusi all’interno delle catene di dipendenza o il fallimento dei meccanismi di controllo possono incidere sull’affidabilità di servizi dai quali cittadini, imprese e poteri pubblici dipendono in modo continuo.
Gli obblighi europei di resilienza come nuovo quadro della governance integrata dell’integrità
Gli obblighi europei di resilienza segnano l’emergere di un nuovo ambiente normativo nel quale la governance integrata dell’integrità deve essere strutturata in modo sensibilmente diverso rispetto a quanto avveniva nell’approccio classico, prevalentemente settoriale, alla sicurezza e alla conformità. Nel quadro della direttiva relativa alla resilienza delle entità critiche, l’entità interessata non si confronta più soltanto con un obbligo circoscritto di protezione fisica o di notifica degli incidenti, ma con un sistema più ampio di identificazione, analisi del rischio, rafforzamento organizzativo, responsabilità dichiarativa e dimostrabilità amministrativa. Tale sistema produce un duplice effetto. Da un lato, sposta l’attenzione dagli oggetti e dagli attivi isolati verso l’entità prestatrice di servizi quale nodo di continuità pubblica. Dall’altro lato, impone una concezione del rischio nella quale i pericoli naturali, il sabotaggio, la minaccia interna, le pressioni ibride, il terrorismo, le situazioni di emergenza in materia di salute pubblica e le dipendenze intersettoriali non sono considerate come categorie separate poste l’una accanto all’altra, ma devono essere valutate nella loro interazione. In un simile contesto, la governance integrata dell’integrità non può essere limitata alla copertura dei rischi classici di criminalità finanziaria in senso stretto. La questione rilevante diventa allora se vulnerabilità finanziarie, legate alla governance o connesse ai terzi possano fungere da vie di accesso attraverso le quali si manifestano rischi di perturbazione più ampi.
Ne deriva un ampliamento fondamentale del campo della Gestione integrata del rischio di criminalità finanziaria. In un quadro di conformità più tradizionale, l’attenzione si concentra spesso su transazioni, clienti, indicatori di segnalazione, elenchi sanzionatori, lesioni dell’integrità, controlli interni e gestione degli incidenti entro i limiti di un determinato obbligo giuridico. Nel quadro della resilienza, la prospettiva si sposta sulla portata sistemica di quegli stessi elementi. Una controparte contrattuale opaca, allora, non è rilevante soltanto perché può esistere un rischio di riciclaggio o corruzione, ma anche perché il rapporto può dare accesso a processi essenziali per la continuità del servizio. Un investitore caratterizzato da una struttura proprietaria complessa non è rilevante soltanto ai fini della trasparenza di governo, ma anche perché un controllo poco chiaro può mettere sotto pressione la rapidità d’azione, l’autonomia e la gerarchizzazione delle priorità dell’entità quando si verifica una perturbazione. Un processo informatico esternalizzato non è semplicemente una questione di fornitore, ma una potenziale concentrazione di accesso operativo, esposizione dei dati e dipendenza sensibile in situazione di crisi. La governance integrata dell’integrità acquisisce così un significato amministrativo più ampio: deve rendere visibile il modo in cui vulnerabilità finanziarie ed economiche possono trasformarsi in vulnerabilità nell’esercizio di funzioni essenziali.
Tale ampliamento comporta anche conseguenze metodologiche. Laddove il controllo classico dell’integrità poteva spesso limitarsi a politiche, controlli, formazione e risposta agli incidenti all’interno di ambiti di conformità identificabili, il nuovo quadro richiede una forma di direzione capace di collegare tra loro i rischi attraverso le dimensioni giuridiche, operative, digitali e amministrative. Ciò significa che le funzioni di integrità devono essere articolate in modo più stretto con la pianificazione della continuità, la decisione in situazione di crisi, la governance delle catene di dipendenza, la classificazione degli attivi e il reporting destinato alle autorità di supervisione. Il criterio decisivo non è più la mera presenza di singole misure di controllo, bensì la questione se l’insieme costituito dalla decisione, dal rilevamento, dall’escalation e dal ripristino presenti una coerenza sufficiente per rimanere amministrativamente governabile sotto pressione. Sotto questo profilo, la logica europea della resilienza corregge gli approcci nei quali integrità e continuità sono trattate come domini distinti. Per le entità critiche, tale separazione è divenuta analiticamente e praticamente esaurita, poiché le perturbazioni più gravi si producono sempre più precisamente all’intersezione tra influenza finanziaria ed economica, dipendenza digitale, accesso da parte di terzi e vulnerabilità di governo.
Il collegamento tra rischio di integrità finanziaria e rischi di continuità, sicurezza e perturbazione
All’interno delle entità critiche, il rischio di integrità finanziaria deve essere compreso come una categoria che va ben oltre le irregolarità transazionali o le violazioni formali delle norme giuridiche. In un ambiente incentrato sui servizi essenziali, il rischio di integrità finanziaria può costituire un segnale precoce di vulnerabilità più profonde che riguardano il controllo, la suscettibilità all’influenza, la dipendenza operativa e l’autoprotezione istituzionale. L’approccio classico, nel quale l’integrità finanziaria è associata principalmente al riciclaggio, alla frode, alla corruzione o alle violazioni delle sanzioni, rimane rilevante, ma diventa insufficiente non appena l’entità esercita una funzione cruciale di continuità. In tal caso, emerge un legame diretto tra opacità finanziaria e potenziale di disorganizzazione. Una struttura di finanziamento inusuale, un terzo la cui origine dei fondi è incerta, un subappaltatore dotato di accesso esteso a sistemi critici oppure un’entità intermedia che occulta il potere di direzione effettivo rappresentano non soltanto un rischio normativo o penale, ma anche un rischio per l’esercizio sicuro, ininterrotto e autonomo del servizio essenziale. L’analisi del rischio di integrità finanziaria deve pertanto essere integrata in una valutazione più ampia della continuità, della sicurezza e della resilienza strategica.
Tale collegamento diventa sempre più importante perché l’ambiente contemporaneo delle perturbazioni è di natura ibrida. Il confine tra influenza finanziaria ed economica, intrusione digitale, sabotaggio fisico, pressione geopolitica e disorganizzazione guidata dalla reputazione diventa progressivamente più sfumato. Una dipendenza contrattuale può fornire accesso a reti o installazioni; una relazione di investimento apparentemente ordinaria può aprire canali informativi strategici; una deviazione apparentemente limitata nelle procedure di approvvigionamento può compromettere l’integrità della manutenzione, dei pezzi di ricambio o degli aggiornamenti software. In tali condizioni, il rischio di integrità finanziaria non è semplicemente un rischio fra gli altri, ma spesso la modalità attraverso la quale altre minacce si radicano nell’organizzazione. Il punto analitico essenziale è che le relazioni finanziarie ed economiche possono costituire l’infrastruttura attraverso cui si costruisce la vulnerabilità operativa. Per questa ragione, la Gestione integrata del rischio di criminalità finanziaria, all’interno delle entità critiche, non deve soltanto interrogarsi sull’esistenza di un’illegalità, ma anche sulla possibilità che relazioni lecite, semilecite o difficili da qualificare compromettano l’autonomia effettiva e la capacità di ripristino dell’entità.
Per la governance e la supervisione, ciò significa che le categorie di rischio non possono più essere valutate in compartimenti separati senza perdere di vista la dinamica reale della minaccia. Quando i segnali di integrità finanziaria sono trattati come una questione ristretta di conformità, rimane invisibile il fatto che essi possono tradursi in problemi di sicurezza, sensibilità agli incidenti o rischi strutturali di perturbazione. Inversamente, le discipline della continuità e della sicurezza possono prestare un’attenzione insufficiente ai meccanismi economici e giuridici attraverso i quali le vulnerabilità si radicano nell’organizzazione. Un approccio integrato esige pertanto che le decisioni relative a fornitori, investimenti, esternalizzazione, livelli di accesso, flussi di dati, proprietà e poteri di crisi siano valutate non soltanto alla luce dell’efficienza e della necessità operativa, ma anche in relazione alla questione se esse creino dipendenze indesiderate, margini di influenza o posizioni eccezionali difficili da circoscrivere sul piano normativo. Solo una volta che tale collegamento sia stabilito in modo strutturale, la governance dell’integrità finanziaria può contribuire a una protezione credibile dei servizi essenziali contro la disorganizzazione in senso ampio.
I settori critici come obiettivi di pressioni criminali finanziarie, ibride, fisiche e digitali
I settori critici operano in un ambiente di minaccia nel quale le diverse forme di pressione non si manifestano separatamente, ma si rafforzano e si condizionano reciprocamente. Reti di criminalità finanziaria, strategie di influenza statali o semistatali, attori cyber opportunistici, minacce interne, sabotatori fisici e soggetti che perseguono un vantaggio economico mediante perturbazione o manipolazione operano sempre più secondo schemi nei quali accesso, dipendenza e disorganizzazione si costruiscono attraverso molteplici domini. I settori critici ne risultano tanto più attrattivi quanto più elevati sono l’impatto potenziale, l’urgenza del ripristino e la scarsa tolleranza all’interruzione. È proprio tale combinazione a creare un ambiente favorevole all’uso efficace di strumenti di pressione. Una penetrazione finanziaria ed economica può servire a ottenere un accesso strutturale; una perturbazione digitale può essere utilizzata per accrescere l’incertezza operativa; incidenti fisici possono esaurire la capacità di ripristino; l’asimmetria informativa può offuscare il processo decisionale di governo. Ne consegue, per i settori che assicurano servizi essenziali, che la protezione non può più essere compresa come somma di misure di sicurezza distinte, bensì come processo continuo di identificazione di schemi di minaccia composti.
In questo contesto, i rischi legati alla criminalità finanziaria devono essere affrontati con particolare gravità. Non si tratta soltanto della possibilità che fondi di origine illecita penetrino in un settore, ma anche della questione se relazioni finanziarie, investimenti, contratti, joint venture, operazioni di intermediazione o strutture di terzi siano utilizzati per acquisire influenza, informazioni, accesso o dipendenze. I settori critici sono vulnerabili a tali meccanismi poiché le attività interessate sono spesso ad alta intensità di capitale, tecnicamente specializzate e inserite in relazioni contrattuali di lunga durata. Ciò apre spazi ad attori che non mirano principalmente all’appropriazione diretta di risorse, ma all’ottenimento di vantaggi posizionali all’interno delle catene di approvvigionamento, dei rapporti di manutenzione, degli ambienti software, dello sfruttamento dei dati o delle strutture proprietarie. Una limitata mancanza di trasparenza può, in tali circostanze, produrre conseguenze sproporzionate, perché gli effetti di una selezione difettosa o di una due diligence insufficiente non restano confinati a una singola transazione, ma possono penetrare fino al cuore stesso della prestazione del servizio. La Gestione integrata del rischio di criminalità finanziaria deve dunque essere collocata quale strumento capace di portare alla luce questo legame tra segnali finanziari ed economici ed esposizione strategica più ampia.
Le dimensioni digitale e fisica della minaccia rendono tale necessità ancora più pressante. Le dipendenze digitali sono, in quasi tutti i settori critici, così profondamente intrecciate con i processi operativi che un incidente informatico può produrre immediatamente effetti fisici, economici o sociali. Al tempo stesso, l’accesso fisico a impianti, mezzi di manutenzione, snodi logistici e personale resta una variabile centrale del rischio di perturbazione. Quando pressioni finanziarie, ibride, fisiche e digitali operano nel reciproco prolungamento, nessuna disciplina isolata è in grado di sostenere da sola l’intero quadro del rischio. Una vulnerabilità apparentemente tecnica può trarre origine da uno screening insufficiente dei fornitori; un guasto fisico può essere stato preceduto da segnali di conflitto di interessi o di clausole contrattuali atipiche ignorati dalla governance; un incidente informatico può essere agevolato da un’esternalizzazione mal concepita o da diritti di accesso esterni eccessivamente ampi. La lezione amministrativa rilevante è che i settori critici non devono essere protetti prioritariamente contro un catalogo di pericoli distinti, ma contro schemi di pressione multilivello che si insediano nell’entità tramite canali economici, digitali e organizzativi e che diventano pienamente visibili soltanto quando la governance dell’integrità e la governance della resilienza vengono esercitate congiuntamente.
L’analisi del rischio, il reporting e la supervisione come nuove esigenze fondamentali per le organizzazioni vitali
Per le organizzazioni vitali, l’analisi del rischio, il reporting e la supervisione non sono più processi di supporto che dimostrano a posteriori il rispetto di determinati requisiti formali, ma condizioni primarie di credibilità amministrativa nel nuovo quadro della resilienza. Il punto di partenza normativo è che un’entità critica può esercitare in modo convincente la propria funzione essenziale soltanto se è in grado, in maniera sistematica, di identificare quali fattori interni ed esterni possano incidere sulla continuità del servizio, in che modo tali fattori si articolino tra loro e come siano attuate misure organizzative, tecniche e amministrative per fronteggiarli. L’analisi del rischio acquisisce così un peso accresciuto rispetto agli ambienti tradizionali di conformità, poiché non serve soltanto a rendere operative obbligazioni note, ma a consentire all’entità di identificare tempestivamente slittamenti della minaccia, effetti di catena e nuove dipendenze. In assenza di una simile base analitica, anche il reporting stesso perde significato: notifiche, fascicoli e produzioni di assurance diventano allora meri atti di registrazione, anziché strumenti di direzione. In una situazione del genere, la supervisione delle organizzazioni vitali esaminerà in misura crescente la qualità della mappatura del rischio sottostante, il grado di coerenza tra le diverse funzioni di controllo e la capacità dell’organo di governo di intervenire effettivamente sulla base di tali informazioni.
In questa prospettiva, il reporting assume una funzione diversa rispetto al ruolo più limitato che tradizionalmente svolgeva in alcune organizzazioni. Non si tratta semplicemente di trasmettere tempestivamente gli incidenti o documentare gli scostamenti constatati, ma di costruire un sistema informativo di governo capace di distinguere il rumore operativo dai segnali di indebolimento strutturale. Per le entità critiche, tale funzione è essenziale, poiché un incidente raramente si presenta in modo isolato. Esiste spesso una storia di segnali frammentati: responsabilità poco chiare, eccezioni ripetute, schemi atipici di fornitori, accessi di audit limitati, strutture proprietarie insufficientemente tracciabili, rischio di concentrazione nell’esternalizzazione oppure lentezza nell’escalation delle questioni di integrità. Quando il reporting non è in grado di aggregare tali schemi e tradurli in urgenza amministrativa, l’organo di governo continua a operare sulla base di un’immagine troppo ristretta o acquisita troppo tardi. La Gestione integrata del rischio di criminalità finanziaria non deve dunque essere orientata esclusivamente all’individuazione di singole violazioni, ma anche alla produzione di informazioni che rendano visibile il punto in cui vulnerabilità di integrità finanziaria convergono con indicatori più ampi di disorganizzazione.
La supervisione completa questo triangolo rendendo visibile che il livello di esigenza applicabile alle organizzazioni vitali è strutturalmente più elevato di quello relativo alle organizzazioni che non svolgono una funzione essenziale di continuità. Il criterio pertinente non consiste soltanto nel verificare se una determinata norma sia stata violata, ma nel valutare se l’entità sia in grado di tradurre in maniera dimostrabile i propri obblighi di resilienza in un sistema coerente di analisi, decisione, controllo e ripristino. Ciò implica che le autorità di supervisione esamineranno sempre più la qualità della governance, l’affidabilità della classificazione del rischio, la profondità della valutazione dei terzi, il funzionamento dei canali di escalation, la coerenza della gestione degli incidenti e il grado in cui l’organo di governo integra i segnali di integrità finanziaria nelle questioni di continuità. Per le organizzazioni vitali, ciò significa che analisi del rischio, reporting e supervisione non costituiscono un onere esterno di conformità, ma condizioni fondamentali di legittimità istituzionale. Solo quando tali funzioni siano realmente capaci di produrre una rappresentazione nitida, attuale e integrata delle vulnerabilità, è possibile parlare di un modello di governance che tratti la protezione dei servizi essenziali non come un obbligo formale, ma come una responsabilità pubblica permanente e dimostrabilmente guidata.
La gestione integrata del rischio di criminalità finanziaria come ampliamento della conformità classica all’interno delle entità critiche
All’interno delle entità critiche, la gestione integrata del rischio di criminalità finanziaria non può più essere intesa in modo convincente come una funzione specialistica di conformità limitata alla rilevazione e al controllo del riciclaggio di denaro, del rischio sanzionatorio, della frode, della corruzione, della concussione o corruzione attiva, dei conflitti di interesse e di questioni analoghe di integrità in senso stretto. Tale impostazione classica presuppone implicitamente che il rischio di integrità finanziaria costituisca, in sostanza, un problema normativo, giuridico o reputazionale che può essere governato mediante politiche, attività di monitoraggio, formazione, procedure di screening e gestione degli incidenti entro confini organizzativi relativamente chiari. Per le entità che erogano servizi essenziali, tale presupposto risulta sempre più inadeguato. Nel momento in cui la continuità di una funzione socialmente vitale dipende da catene di fornitura, strutture di esternalizzazione, accesso digitale, relazioni contrattuali transfrontaliere, assetti proprietari e fornitori strategici, il rischio di integrità finanziaria si intreccia inevitabilmente con la questione se l’entità possa, in termini pratici, continuare a operare in maniera amministrativamente autonoma, normativamente delimitata e operativamente resiliente. In questa prospettiva, la gestione integrata del rischio di criminalità finanziaria si sviluppa da categoria classica della conformità a forma più ampia di indirizzo, che deve altresì essere in grado di rendere visibili le situazioni nelle quali schemi finanziari ed economici creano le condizioni per l’influenza, la dipendenza, la disorganizzazione o l’indebolimento dell’erogazione di servizi essenziali.
Tale ampliamento riguarda anzitutto l’unità di analisi. La conformità classica guarda spesso all’ammissibilità di comportamenti, transazioni o relazioni entro i quadri normativi esistenti. La gestione integrata del rischio di criminalità finanziaria, all’interno delle entità critiche, deve invece valutare anche il posto che tali comportamenti, transazioni o relazioni occupano nel funzionamento più ampio dell’organizzazione. Un terzo con un profilo di rischio formalmente accettabile può tuttavia, in un contesto critico, rappresentare un potenziale elevato di disorganizzazione laddove sia profondamente inserito nella manutenzione, nella gestione del software, nella gestione degli accessi, nella continuità operativa o nell’ambiente dei dati. Una struttura proprietaria può essere giuridicamente ammissibile e tuttavia introdurre un’opacità tale nel controllo effettivo da porre sotto pressione l’agilità amministrativa e il processo decisionale in situazione di crisi. Un rapporto di finanziamento può essere formalmente corretto e nondimeno spostare l’orientamento strategico dell’entità in modo tale da indebolire la garanzia della continuità pubblica. La questione, pertanto, non si limita più a stabilire se una norma sia stata coinvolta, ma concerne il significato strutturale che i rapporti finanziari ed economici assumono per l’affidabilità del servizio essenziale e per la capacità dell’organizzazione di agire in modo autonomo e coerente in circostanze sfavorevoli.
Ne consegue che la gestione integrata del rischio di criminalità finanziaria all’interno delle entità critiche non può restare un’attività isolata di seconda linea operante ai margini del processo decisionale. Essa deve permeare la selezione e la rivalutazione periodica dei terzi, le decisioni di investimento e disinvestimento, le questioni di governance relative all’accesso e al controllo, i protocolli di escalation, la pianificazione della continuità e l’interpretazione di incidenti che, a prima vista, non vengono riconosciuti come incidenti di integrità finanziaria. Un’interruzione dei dati, una carenza nella manutenzione, una modifica contrattuale inconsueta o un mutamento inatteso nel comportamento di un fornitore possono infatti contenere tracce di vulnerabilità di integrità più profonde. L’ampliamento della gestione integrata del rischio di criminalità finanziaria non consiste dunque in una mera estensione semantica, bensì in una riorganizzazione fondamentale del posto che la governance dell’integrità occupa nelle organizzazioni critiche. La questione centrale non è più se la conformità svolga ancora un ruolo di supporto, ma se la governance dell’integrità finanziaria sia radicata nell’organizzazione in modo tale da contribuire alla protezione dei servizi essenziali contro l’influenza, la perturbazione e la perdita di controllo amministrativo.
La dipendenza dalle catene, i terzi e le dipendenze digitali come vulnerabilità determinanti
Le entità critiche operano raramente in un vuoto istituzionale o operativo. L’erogazione di servizi essenziali si fonda sempre più su catene stratificate di fornitori, subfornitori, prestatori di software, soggetti che trattano dati, partner di manutenzione, ambienti cloud, nodi logistici, prestatori specializzati e relazioni finanziarie che, nel loro insieme, sostengono il funzionamento effettivo dell’entità. Questa interconnessione rende l’organizzazione più efficiente, più specializzata e più scalabile, ma aumenta nello stesso tempo la complessità delle dipendenze che diventano visibili quando si verifica una perturbazione. La dipendenza dalle catene, pertanto, non è soltanto un dato di economia aziendale, ma una categoria di rischio giuridico e amministrativo di primissimo ordine. Per le entità critiche, la questione decisiva non è se una dipendenza sia sorta in modo commercialmente razionale, bensì se tale dipendenza, in condizioni di pressione, interruzione, conflitto o influenza, conduca a una perdita di capacità d’azione, di capacità di ripristino o di controllo normativo. Nel momento in cui i servizi essenziali sono erogati attraverso catene lunghe e tecnicamente specializzate, il baricentro della protezione si sposta dal confine dell’organizzazione stessa alla questione più ampia se l’intero ambiente di esecuzione sia sufficientemente trasparente, verificabile e amministrativamente governabile.
I terzi occupano, in tale insieme, una posizione particolarmente sensibile, perché dispongono spesso di una combinazione di accesso, informazione, influenza operativa e radicamento contrattuale superiore a quanto la visibilità formale del loro ruolo lascerebbe presumere. Un servizio informatico esternalizzato, un contratto di manutenzione per impianti fisici, un fornitore esterno di gestione delle identità o degli accessi, un componente software specializzato o un partner logistico con posizione esclusiva di fornitura possono costituire, in pratica, un anello decisivo nella continuità di un servizio essenziale. Ciò significa che la gestione dei terzi all’interno delle entità critiche non può essere ridotta a un processo standard di gestione dei fornitori basato su screening elementare, clausole contrattuali e valutazione periodica. Occorre invece un regime più approfondito nel quale l’accesso, la sostituibilità, le possibilità di uscita, la struttura proprietaria, la sensibilità alle sanzioni, la qualità della governance, la sub-esternalizzazione sottostante e la concentrazione operativa siano valutati congiuntamente come un profilo di dipendenza. In tale contesto, la gestione integrata del rischio di criminalità finanziaria deve svolgere un ruolo marcato, poiché gli indicatori di integrità finanziaria rendono spesso visibili in una fase precoce le situazioni in cui un terzo rappresenta non solo un rischio di conformità, ma anche un rischio di disorganizzazione. Un controllo opaco, strutture di pagamento insolite, modifiche contrattuali atipiche, diritti di audit limitati o un grado notevole di influenza informale possono segnalare vulnerabilità che incidono direttamente sull’affidabilità del servizio essenziale.
Le dipendenze digitali approfondiscono ulteriormente tale problematica, perché spesso sfuggono alle intuizioni tradizionali relative a proprietà, controllo e prossimità fisica. Mentre le infrastrutture classiche potevano ancora essere affrontate attraverso beni tangibili, luoghi e strutture operative dirette, il funzionamento delle entità critiche contemporanee è, in misura significativa, sorretto da strati software, flussi di dati, piattaforme esterne, meccanismi di identità e accesso, archiviazione in cloud, gestione remota, aggiornamenti automatizzati e connessioni digitali con prestatori esterni. Ne può derivare una dipendenza che, in termini giuridici, appare contrattualmente limitata, ma che sul piano tecnico e operativo è estremamente profonda. Una perturbazione che colpisca un fornitore digitale apparentemente periferico può, in breve tempo, tradursi in paralisi funzionale, perdita di informazioni, direzione erronea o perdita di visibilità sui processi centrali. All’interno delle entità critiche, la valutazione della dipendenza dalle catene deve quindi esaminare non soltanto quali parti siano formalmente rilevanti, ma soprattutto quali relazioni esterne siano, in realtà, determinanti per la continuità operativa, la risposta agli incidenti e il controllo amministrativo. La vulnerabilità non risiede soltanto in un attacco malevolo, ma anche in un’eccessiva concentrazione, nella mancanza di sostituibilità, in un’insufficiente forza vincolante contrattuale e in una comprensione amministrativamente sottovalutata della profondità con cui le dipendenze digitali incidono sull’eseguibilità stessa del servizio.
La resilienza digitale come condizione della continuità operativa e della fiducia sistemica
All’interno delle entità critiche, la resilienza digitale deve essere intesa come una condizione preliminare per la preservazione della continuità operativa, della governabilità amministrativa e della fiducia sistemica. In quasi tutti i settori vitali, i sistemi digitali non sono più semplicemente di supporto al processo primario, ma costituiscono elementi costitutivi del suo funzionamento. Il controllo dei processi, il trattamento dei dati, l’interazione con i clienti, i pagamenti, il coordinamento logistico, la gestione delle identità, la pianificazione della manutenzione, la comunicazione di crisi e il processo decisionale interno transitano sempre più attraverso infrastrutture digitali e sistemi interconnessi. Ne consegue che la perturbazione digitale non è soltanto un incidente tecnico, ma un evento idoneo a incidere, nel suo nucleo, sull’eseguibilità del servizio essenziale. La distinzione tra danno digitale e danno operativo diventa così, in larga misura, artificiale. Nel momento in cui i sistemi diventano indisponibili, i dati vengono manipolati, i diritti di accesso diventano incerti o si manifestano dipendenze nelle catene software e cloud, non è soltanto la gestione delle informazioni a essere sotto pressione, ma la questione se l’entità sia ancora in grado di svolgere in modo affidabile la propria funzione pubblica o economica. La resilienza digitale perde così il carattere di dominio informatico specialistico e diviene una componente centrale della robustezza istituzionale.
Per le entità critiche, ciò ha altresì conseguenze dirette sul modo in cui la fiducia sistemica deve essere costruita e mantenuta. La fiducia sistemica presuppone che utenti, autorità di vigilanza, partner di catena e governi possano ragionevolmente fare affidamento sul fatto che il servizio essenziale non solo funzioni oggi, ma resti anche amministrativamente e operativamente governato in condizioni di pressione digitale. Tale fiducia non si fonda su assicurazioni astratte, ma su un controllo dimostrabile dei diritti di accesso, della segmentazione, della registrazione degli eventi, della rilevazione, dell’integrità dei backup, della sequenza di ripristino, della gestione delle modifiche, dell’accesso dei terzi e del collegamento tra risposta digitale agli incidenti ed escalation amministrativa. Un’organizzazione tecnicamente avanzata ma amministrativamente priva di adeguata visibilità sulle proprie dipendenze digitali non possiede una resilienza digitale convincente. Né è sufficiente che misure di cybersicurezza siano formalmente presenti se il processo decisionale relativo alle eccezioni, alle priorità e ai percorsi di ripristino resta insufficientemente delimitato sul piano normativo. È precisamente in questo punto che la resilienza digitale si interseca con il campo della gestione integrata del rischio di criminalità finanziaria. Le vulnerabilità di integrità finanziaria possono infatti manifestarsi nella scelta dei fornitori, nelle strutture di esternalizzazione, nella delega degli accessi, in pressioni contrattuali inusuali o in assetti di governance che approfondiscono le dipendenze digitali senza valutare adeguatamente la più ampia sensibilità alla perturbazione.
Il significato centrale della resilienza digitale risiede quindi nella sua capacità di collegare la continuità operativa con l’affidabilità amministrativa. Un’entità critica può essere considerata credibilmente resiliente solo quando i processi digitali non sono meramente protetti sul piano tecnico, ma sono integrati nella governance e nell’indirizzo dei rischi in modo tale che le perturbazioni non conducano immediatamente a improvvisazioni prive di quadro normativo, a soluzioni di emergenza non documentate o a spostamenti opachi del potere decisionale. Ciò richiede un approccio nel quale i rischi digitali non siano classificati isolatamente, ma siano posti in relazione con la proprietà, i terzi, l’accesso contrattuale, i poteri di crisi, le notifiche di incidenti e la vigilanza. La portata pratica di tutto ciò è considerevole. Non soltanto gli attacchi digitali, ma anche errori di configurazione, aggiornamenti falliti, carente coordinamento dei fornitori, attribuzione poco chiara delle responsabilità o migrazioni avventate verso il cloud possono incidere sulla continuità del servizio essenziale. La resilienza digitale non è pertanto un surplus tecnico che si aggiunge alla governance esistente, ma una condizione integrale della questione se le entità critiche possano continuare a svolgere la propria funzione con sufficiente stabilità, capacità di ripristino e credibilità istituzionale in un ambiente interconnesso e sensibile alle minacce.
La cooperazione pubblico-privato come condizione per la protezione delle funzioni vitali
Nel contesto attuale, la protezione delle funzioni vitali non può essere organizzata in modo convincente mediante un modello in cui lo Stato stabilisce norme e le entità private o semipubbliche successivamente le attuano in modo isolato. Le entità critiche si collocano all’intersezione tra interessi pubblici e capacità privata di esecuzione. Ciò significa che la protezione dipende da un’interazione continua tra strategia nazionale, competenza settoriale, indirizzo di vigilanza, scambio di informazioni, preparazione operativa e processi di apprendimento condivisi. La cooperazione pubblico-privato non deve quindi essere trattata come un complemento auspicabile alla regolazione formale, bensì come una condizione dell’efficacia pratica degli obblighi di resilienza. In assenza di cooperazione, la sfera pubblica rimane troppo lontana dalle realtà operative, mentre la sfera privata non può conservare una visibilità sufficiente sul quadro generale delle minacce, sulle vulnerabilità intersettoriali e sulle aspettative che l’interesse generale impone alla fornitura di servizi critici. La protezione delle funzioni vitali presuppone pertanto una costellazione amministrativa nella quale informazione, responsabilità e interpretazione normativa non coincidano interamente, ma siano sufficientemente allineate da consentire il riconoscimento tempestivo del rischio di perturbazione e il suo trattamento congiunto.
Tale cooperazione, tuttavia, richiede un elevato grado di precisione, poiché gli interessi e le logiche istituzionali degli attori pubblici e privati non coincidono naturalmente. Le entità critiche operano spesso sotto pressioni commerciali, contrattuali, tecnologiche e organizzative che impongono un proprio ritmo e una propria gerarchia di priorità al processo decisionale. Governi e autorità di vigilanza affrontano la medesima realtà dalla prospettiva della sicurezza nazionale, della continuità sociale, delle garanzie dello Stato di diritto e della responsabilità sistemica. Qualora tali prospettive non siano sufficientemente connesse, sorge il pericolo che le letture del rischio si incrocino senza incontrarsi. Un’entità può considerare una dipendenza come gestibile perché i livelli di servizio appaiono contrattualmente adeguati, mentre gli attori pubblici possono giudicare la stessa dipendenza indesiderabile in ragione dell’impatto sociale di un’interruzione o della sensibilità geopolitica della parte coinvolta. Inversamente, una preoccupazione pubblica relativa a scenari di perturbazione può non trovare sufficiente traduzione all’interno dell’organizzazione qualora il suo passaggio in scelte operative, strutture di costo e priorità rimanga oscuro. La gestione integrata del rischio di criminalità finanziaria può svolgere, in questo campo di tensione, una funzione di collegamento, poiché offre un linguaggio nel quale segnali finanziari ed economici, vulnerabilità di governance, rapporti con i terzi e potenziale di disorganizzazione possono essere discussi congiuntamente tra attori pubblici e privati.
In definitiva, la qualità della cooperazione pubblico-privato si misura in base al contributo che essa apporta a una consapevolezza situazionale condivisa, a un’escalation tempestiva e al rafforzamento concreto delle funzioni critiche. Ciò richiede qualcosa di più di un coordinamento occasionale o di uno scambio reattivo di informazioni dopo un incidente. Occorre un processo continuo nel quale entità, autorità di vigilanza, organismi settoriali e governi apprendano congiuntamente da quasi incidenti, perturbazioni di catena, risultanze di audit, evoluzioni geopolitiche e mutamenti nei modelli di minaccia. Per le entità critiche è di grande importanza che tale cooperazione non sia percepita come mera supervisione esterna, ma come parte della responsabilità più ampia che deriva dalla loro posizione di supporti della continuità sociale. Per gli attori pubblici, al contrario, la cooperazione è efficace solo se sviluppano una comprensione sufficiente della complessità operativa e contrattuale con cui le entità si confrontano quotidianamente. La protezione delle funzioni vitali diventa così un compito condiviso con ruoli differenziati: lo Stato presidia l’indirizzo, la produzione normativa e il coordinamento sistemico; l’entità assume l’esecuzione concreta, il controllo interno e la traduzione amministrativa; e la vigilanza garantisce che il collegamento tra i due non rimanga puramente dichiarativo, ma si manifesti concretamente in scelte, misure e miglioramenti dimostrabili.
La resilienza delle entità critiche come fase successiva dello sviluppo della gestione integrata del rischio di criminalità finanziaria
La resilienza delle entità critiche deve essere considerata come una nuova fase di sviluppo nel modo in cui la gestione integrata del rischio di criminalità finanziaria prende forma all’interno di organizzazioni che svolgono una funzione sociale essenziale. Questa fase di sviluppo non si caratterizza per la sostituzione dei dispositivi classici di controllo dell’integrità, bensì per il loro riordino all’interno di un quadro normativo più gravoso e più ampio. L’attenzione tradizionale al riciclaggio di denaro, alle sanzioni, alla frode, alla corruzione, ai conflitti di interesse, alla corruzione attiva, alle transazioni inusuali e all’integrità dei terzi resta pienamente rilevante. Ciò che cambia è il parametro alla cui luce viene misurata l’efficacia di tale controllo. All’interno delle entità critiche, non è più sufficiente che il rischio di integrità finanziaria sia identificato in senso formale e trattato secondo procedure stabilite. Ciò che diventa decisivo è se tale forma di indirizzo consenta anche all’organizzazione di riconoscere e delimitare percorsi più ampi di disorganizzazione. Il criterio si sposta così dal rispetto di singole norme alla questione se la governance dell’integrità finanziaria contribuisca effettivamente alla continuità, all’affidabilità amministrativa e alla capacità di ripristino del servizio essenziale. Si tratta di un orientamento radicalmente diverso, poiché collega direttamente la funzione della gestione integrata del rischio di criminalità finanziaria alla capacità istituzionale dell’entità stessa.
Questa nuova fase di sviluppo comporta che la governance dell’integrità finanziaria debba essere più profondamente integrata nel processo decisionale strategico, nelle scelte di catena, nella preparazione alle crisi e nell’analisi della proprietà e della dipendenza. Un’entità critica può soddisfare, in senso formale, singoli obblighi di conformità e tuttavia rimanere vulnerabile qualora le informazioni relative all’integrità finanziaria non siano poste in relazione con questioni di continuità, concentrazione dei terzi, accesso digitale, strutture di investimento o sostituibilità operativa. Il mutamento essenziale consiste, pertanto, nel fatto che la gestione integrata del rischio di criminalità finanziaria non opera più esclusivamente come meccanismo correttivo o di segnalazione ex post, ma come fonte di indirizzo nella configurazione stessa dell’organizzazione. La scelta di un fornitore, la definizione di un modello di esternalizzazione, l’accettazione di una struttura di finanziamento, la tolleranza verso una trasparenza limitata in materia proprietaria o il modo di trattare richieste di eccezione in situazioni di crisi devono essere valutati anche alla luce del loro significato per la resilienza dell’entità. La governance dell’integrità finanziaria acquisisce così una collocazione più costitutiva: non come regime separato accanto alla gestione operativa, ma come lente che rende visibile il modo in cui scelte giuridiche, economiche e organizzative possono rafforzare o indebolire l’affidabilità della funzione vitale.
In definitiva, questa fase di sviluppo mostra con chiarezza che la resilienza delle entità critiche e la gestione integrata del rischio di criminalità finanziaria non soltanto si completano, ma si presuppongono sempre più a vicenda. Un’entità che definisce in modo troppo ristretto il rischio di integrità finanziaria non avrà sufficiente visibilità sui percorsi di influenza e sulle dipendenze che compromettono il servizio essenziale. Un’entità che affronta la resilienza in termini puramente tecnici o operativi comprenderà in misura insufficiente attraverso quali meccanismi economici e di governance la vulnerabilità si radichi all’interno dell’organizzazione. La convergenza di entrambe le prospettive conduce a un modello di governance più intenso e più raffinato nel quale l’integrità non è ridotta a purezza giuridica e la resilienza non è ristretta alla sicurezza o alla capacità di ripristino. Ciò che emerge è una forma di indirizzo in cui l’entità apprende a leggere, entro un unico quadro continuo, i segnali finanziari ed economici, le dipendenze digitali, le vulnerabilità di catena, le informazioni relative agli incidenti e il processo decisionale amministrativo. In questo risiede il vero significato della resilienza delle entità critiche come nuova fase di sviluppo della gestione integrata del rischio di criminalità finanziaria: non semplicemente un ampliamento in estensione, ma un approfondimento di principio della questione di come i servizi essenziali rimangano istituzionalmente protetti contro l’azione combinata di abuso, influenza, disorganizzazione e perdita di affidabilità pubblica.
