Nell’attuale panorama istituzionale e del diritto d’impresa, il rischio, la continuità e la resilienza non dovrebbero essere trattati come elementi separati del lessico della governance, ma come tre dimensioni strettamente intrecciate di una medesima questione di indirizzo integrato, che attiene al nucleo stesso della conduzione delle organizzazioni in condizioni di incertezza persistente, crescente interdipendenza e accelerazione delle pressioni esterne. In molte organizzazioni, istituzioni finanziarie, entità semi-pubbliche e sistemi pubblici, queste nozioni continuano a coesistere all’interno di ambiti distinti di responsabilità, cicli interni di policy e percorsi separati di assurance: il rischio viene collocato in quadri di identificazione, classificazione e controllo; la continuità nella business continuity, nella gestione della crisi o nella disponibilità operativa; e la resilienza in nozioni più ampie di ripristino, robustezza o capacità di adattamento. A prima vista, tale separazione può apparire ordinata, poiché delimita ruoli di governance, linee di riporto e sfere di responsabilità. Proprio per questo, tuttavia, essa risulta fuorviante. Nel momento in cui le minacce non si sviluppano più in modo lineare, ma emergono dall’interazione tra dipendenze di filiera, concentrazioni digitali, pressioni geopolitiche, vulnerabilità di integrità, rischi di fornitura, errori umani, dinamiche reputazionali e aspettative normative delle autorità di vigilanza, della società e del mercato, un approccio frammentato perde al tempo stesso capacità esplicativa e forza di indirizzo. Un rischio che in astratto appare gestibile può, in circostanze concrete, mettere immediatamente sotto pressione la continuità di funzioni critiche. Una misura di continuità che sembra operativamente ragionevole può compromettere la resistenza complessiva agli shock quando si fonda sull’esaurimento del personale, su procedure d’emergenza ingestibili o su una dipendenza sproporzionata da soggetti terzi. Il richiamo alla resilienza può diventare privo di sostanza se non si è prima stabilito quali funzioni, quali valori, quali strutture decisionali e quali limiti normativi debbano essere preservati sotto pressione. In una simile configurazione, non è più convincente lasciare che rischio, continuità e resilienza coesistano come discipline separate, ciascuna dotata di una propria terminologia e di un quadro concettuale condiviso soltanto in misura limitata. La questione di governance è più fondamentale. Essa consiste nel comprendere se un’organizzazione o un sistema sia strutturato in modo tale da poter individuare tempestivamente le minacce rilevanti, continuare a svolgere sotto pressione le funzioni critiche da cui dipendono legittimità, erogazione e conformità, e adattarsi durante o dopo una perturbazione in modo da impedire l’erosione progressiva del proprio nucleo istituzionale.
Da questa prospettiva, si sposta anche il baricentro dell’analisi. La questione centrale di governance non consiste soltanto nell’individuare quali minacce esistano, né unicamente nel determinare quali processi debbano rimanere operativi, né ancora solo nel definire in che modo debba essere organizzato il ripristino successivo a un incidente. La questione essenziale è se l’insieme costituito dalla governance, dalla posizione informativa, dalla prioritarizzazione, dal processo decisionale, dai controlli, dalle strutture di escalation, dalla capacità finanziaria, dalle relazioni di filiera e dai limiti normativi presenti un grado di coerenza sufficiente a impedire che la minaccia degeneri automaticamente in disordine, che il disordine si trasformi da sé in discontinuità e che la discontinuità si tramuti progressivamente in indebolimento strutturale dell’istituzione. Tale problematica è particolarmente rilevante nell’ambito della Gestione integrata dei rischi di criminalità finanziaria, nel quale i rischi si manifestano raramente in modo isolato. I rischi di criminalità finanziaria incidono non soltanto sulla compliance o sull’esposizione giuridica, ma anche sul servizio alla clientela, sulla reputazione, sulle relazioni di correspondent banking, sulla qualità dei dati, sul monitoraggio delle transazioni, sull’integrità del personale, sulla fattibilità operativa, sulla fiducia nella governance e sulla capacità dell’organizzazione di continuare a operare in modo coerente sotto pressione di vigilanza. Lo stesso vale nei contesti pubblici e semi-pubblici, nei quali violazioni dell’integrità, interruzioni informative, perturbazioni della filiera e rotture del rapporto fiduciario con la società si rafforzano reciprocamente e possono restringere rapidamente il margine di manovra degli organi di vertice. Un approccio integrato riconosce dunque che il rischio non riguarda soltanto l’esposizione, la continuità non riguarda soltanto la disponibilità e la resilienza non riguarda soltanto il ripristino. Si tratta di governare le interdipendenze: tra minaccia e funzione, tra funzione e dipendenza, tra dipendenza e priorità normativa, e tra adattamento e preservazione del nucleo istituzionale. È qui che risiede il significato più profondo del rischio, della continuità e della resilienza come questione integrata di governance: non la promessa di invulnerabilità, ma lo sviluppo di un ordine di indirizzo che rimanga affidabile, spiegabile, giuridicamente sostenibile e funzionale sotto pressione.
Gestione integrata del rischio attraverso funzioni, minacce e ambiti di impatto
La gestione integrata del rischio presuppone, anzitutto, che il rischio non sia più letto come un insieme di esposizioni separate ripartibili secondo linee organizzative familiari, bensì come una costellazione di minacce che acquista significato di governance solo in rapporto alle funzioni che devono essere garantite in ogni circostanza. In molte istituzioni, la gestione del rischio continua a essere organizzata in larga misura per categorie, titolarità di responsabilità e tassonomie: rischio finanziario, rischio operativo, rischio di compliance, rischio cibernetico, rischio di integrità, rischio connesso a terze parti e rischio reputazionale vengono identificati, ponderati e aggregati all’interno dei rispettivi quadri. Tale modello produce classificazione, ma non necessariamente una reale intelligenza di governance. Un’istituzione può disporre di un registro dei rischi tecnicamente sofisticato e al contempo non cogliere con chiarezza quale combinazione di rischi apparentemente circoscritti sia in realtà suscettibile di determinare il venir meno di una funzione critica. Questo problema diventa più acuto man mano che i processi si digitalizzano, le filiere si internazionalizzano e le aspettative di vigilanza si intensificano. Una perturbazione nell’ambito della customer due diligence può produrre simultaneamente conseguenze sull’onboarding, sul monitoraggio delle transazioni, sulle relazioni di correspondent banking, sugli obblighi di segnalazione, sulla reputazione e sulla posizione commerciale. Un rischio sanzionatorio può apparire in origine di natura giuridica o di compliance, ma tradursi rapidamente in blocchi operativi, maggiore pressione sulla capacità manageriale, intensificazione dello scrutinio esterno e deterioramento dell’accesso al mercato. La gestione integrata del rischio non muove dunque dalla domanda su quale tipo di rischio sia in gioco, bensì dalla domanda su quali funzioni siano essenziali per un funzionamento continuativo, lecito e credibile, su quali minacce gravino su tali funzioni e attraverso quali percorsi il danno possa propagarsi nei diversi ambiti di impatto.
Un simile approccio richiede uno spostamento dall’analisi lineare a un’analisi relazionale. Ciò che conta non è soltanto la probabilità di accadimento di un incidente o l’entità del danno immediato, ma soprattutto l’interconnessione tra processi, sistemi, processo decisionale, soggetti esterni e obblighi normativi. Quando non è integrata attraverso funzioni, minacce e ambiti di impatto, la gestione del rischio tende a mostrare un modello ricorrente: singole misure di controllo possono apparire localmente adeguate, mentre la reale resistenza dell’insieme agli shock si indebolisce. Un controllo fortemente rafforzato in un nodo può sottrarre capacità altrove; un’outsourcing concepita in modo efficiente può aumentare la concentrazione delle dipendenze; un processo di incident response giuridicamente corretto può rivelarsi operativamente troppo lento rispetto alla velocità con cui si sviluppano il danno reputazionale o l’intervento dell’autorità di vigilanza. Una gestione integrata del rischio richiede pertanto che gli organi di vertice e il senior management non considerino soltanto le singole posizioni di rischio prese isolatamente, ma anche i loro effetti combinati, le traiettorie di escalation e il carico cumulativo esercitato sulle funzioni critiche. Ciò implica una concezione della governance nella quale le informazioni sul rischio non siano trasmesse come mera sommatoria di report settoriali, ma come rappresentazione coerente dei punti in cui l’ordine stesso diviene vulnerabile, dei margini di sicurezza realmente portanti e dei luoghi in cui la convergenza delle pressioni può ridurre materialmente la capacità di azione dell’organizzazione.
All’interno della Gestione integrata dei rischi di criminalità finanziaria, questa logica assume una particolare intensità, poiché i rischi di criminalità finanziaria sono, per definizione, trasversali sul piano organizzativo, funzionale e giuridico. Una debolezza nel presidio della customer due diligence non è soltanto una questione di compliance; essa può compromettere la qualità dell’accettazione della clientela, minare l’integrità del monitoraggio delle transazioni, ridurre l’affidabilità dell’informativa gestionale, diminuire l’efficacia delle segnalazioni di operazioni sospette, danneggiare la credibilità esterna nei confronti delle autorità di vigilanza e restringere il margine di manovra strategico dell’istituzione. Per tale ragione, la Gestione integrata dei rischi di criminalità finanziaria non può essere concepita in modo convincente come una raccolta di controlli applicati a sottoambiti isolati. Essa richiede una gestione integrata del rischio nella quale funzioni, minacce e ambiti di impatto siano riuniti in un quadro unitario comprensibile per la governance. Tale quadro deve rendere visibili i punti in cui i rischi di integrità si trasformano in pressione operativa, quelli in cui i vincoli operativi rafforzano a loro volta i rischi normativi, e quelli in cui gli effetti prudenziali o reputazionali possono compromettere la continuità di attività essenziali. Solo allora emerge un modello di indirizzo in cui il rischio non è gestito come un oggetto astratto, ma come fattore concreto che determina la capacità dell’istituzione di continuare a svolgere le proprie funzioni fondamentali in circostanze avverse.
Il collegamento tra rischio di integrità e rischi operativi, strategici e reputazionali
Nella prassi della governance e nella prassi giuridica, il rischio di integrità è ancora troppo spesso trattato come se potesse essere isolato nei soli ambiti della compliance, dell’etica o della condotta, mentre la sua manifestazione reale è quasi sempre più ampia e interferisce profondamente con la fattibilità operativa, il posizionamento strategico e la tenuta reputazionale. Tale riduzione è comprensibile alla luce della logica organizzativa: le questioni di integrità sono spesso affrontate mediante norme interne, obblighi di diligenza, meccanismi di monitoraggio, formazione e procedure di escalation. Ma nel momento in cui una vulnerabilità di integrità si materializza, il suo impatto raramente rimane confinato a una violazione normativa in senso stretto. Una carenza in un controllo sanzionatorio non incide soltanto sulla conformità giuridica, ma anche sui flussi di pagamento, sulle relazioni con la clientela, sul correspondent banking e sull’accesso ai mercati esterni. Un controllo insufficiente dei rischi di riciclaggio ha conseguenze sul trattamento delle transazioni, sul dimensionamento degli organici, sulla formazione di arretrati, sui programmi di remediation, sugli interventi di vigilanza, sull’esposizione a misure sanzionatorie e sulla reputazione di mercato. Una vulnerabilità culturale inizialmente percepita come questione di condotta può evolvere in erosione strategica quando il dissenso interno si attenua, i segnali del management si appiattiscono e gli indicatori critici di rischio vengono intercettati strutturalmente troppo tardi. Il rischio di integrità, pertanto, non può essere governato in modo convincente come una categoria normativa ristretta. Esso deve essere compreso come un rischio che incide sulla capacità operativa, sulla libertà strategica e sulla credibilità pubblica dell’istituzione.
In tale prospettiva, il legame tra rischio di integrità e rischio operativo non è occasionale, ma strutturale. Il presidio dell’integrità si fonda su dati, sistemi, giudizio umano, linee di escalation, qualità dei fascicoli, formazione, disciplina di governance e tempestività del processo decisionale. Qualsiasi debolezza in questa catena può aumentare il carico operativo e, al tempo stesso, approfondire l’esposizione normativa. Quando gli alert si accumulano, i fascicoli invecchiano o le escalation intervengono troppo tardi, non si è soltanto in presenza di un arretrato di compliance, ma di una situazione operativa nella quale la prioritarizzazione si irrigidisce, la qualità si deteriora e il margine di errore cresce. Ne deriva un meccanismo auto-rinforzante: il sovraccarico operativo può indebolire ulteriormente il presidio dell’integrità, mentre un presidio dell’integrità deteriorato genera a sua volta nuova pressione operativa sotto forma di remediation, review, blocchi della clientela o obblighi di vigilanza. Il collegamento con il rischio strategico è altrettanto essenziale. Quando fragilità di integrità conducono a misure coercitive, a restrizioni nello sviluppo di prodotti, a un inasprimento delle richieste di vigilanza o a danni reputazionali, non viene colpita soltanto la posizione di conformità, ma anche la capacità dell’istituzione di compiere scelte strategiche in modo libero e credibile. Piani di espansione, partnership, accesso al mercato, decisioni di investimento e perfino la capacità di trattenere talenti possono esserne direttamente compromessi.
Per la Gestione integrata dei rischi di criminalità finanziaria, ciò significa che il rischio di integrità non deve mai essere trattato come un blocco autonomo da collegare solo in un secondo momento a temi più ampi di governance. Tale collegamento deve essere incorporato sin dall’origine nel modo in cui il rischio viene percepito, rappresentato e governato. Gli organi di vertice traggono scarso valore da una visione isolata del rischio di integrità che non stabilisca alcun nesso con la capacità operativa, con le implicazioni strategiche e con gli effetti reputazionali. Ciò che occorre è un quadro di indirizzo integrato che renda visibile in quale modo una vulnerabilità di integrità possa incidere sulla continuità del rapporto con la clientela, sull’affidabilità delle filiere, sulla fiducia delle autorità di vigilanza, sulla percezione del mercato e sul margine di manovra strategico. Ciò vale a maggior ragione se si considera che, in questo contesto, la reputazione non è un semplice fenomeno comunicativo o di immagine esterna, ma spesso il risultato concentrato di carenze sottostanti nei controlli, nel processo decisionale e nell’applicazione delle norme. Il rischio reputazionale, pertanto, non deve essere affrontato come una conseguenza diffusa da gestire separatamente dopo l’incidente, bensì come un ambito di impatto che deve già essere integrato nella progettazione della Gestione integrata dei rischi di criminalità finanziaria. Solo a tale condizione può emergere una rappresentazione di governance realistica del modo in cui i rischi di integrità si sviluppano nella pratica: non come semplici deviazioni di compliance, ma come eventi o dinamiche capaci di compromettere direttamente l’articolazione tra norma, operatività, strategia e fiducia.
La robustezza come articolazione tra prevenzione, assorbimento, adattamento e ripristino
Nella prassi della governance, la robustezza viene spesso associata alla capacità di resistere alle perturbazioni o di riprendersi da esse, ma tale comprensione rimane insufficiente finché non venga esplicitata l’articolazione sottostante tra prevenzione, assorbimento, adattamento e ripristino. Un sistema può essere fortemente orientato alla prevenzione e nondimeno rivelarsi vulnerabile nel momento in cui si verifica una perturbazione che esula dagli scenari anticipati. All’opposto, un’istituzione può disporre di procedure di ripristino e di piani di crisi e tuttavia difettare di una capacità di assorbimento sufficiente a sostenere il primo shock senza una grave perdita di funzionalità, un danno reputazionale o il superamento di limiti normativi. La robustezza non è dunque una proprietà unitaria, bensì una condizione di governance stratificata. La prevenzione mira a ridurre la probabilità che una minaccia si materializzi oppure a limitare la vulnerabilità iniziale. L’assorbimento concerne la capacità di assorbire uno shock senza una perdita sproporzionata di funzionalità critica. L’adattamento riguarda la capacità di modificare modalità operative, priorità e allocazioni quando le circostanze cambiano, senza sacrificare il nucleo del mandato istituzionale. Il ripristino concerne la capacità, durante o dopo una perturbazione, di tornare a un livello di prestazione accettabile, normalizzare i processi e incorporare insegnamenti strutturali. Solo attraverso l’articolazione di queste quattro dimensioni la robustezza assume forma in senso proprio di governance.
Tale insegnamento riveste particolare importanza in contesti nei quali le perturbazioni non costituiscono più eccezioni rare, ma fenomeni frequenti e in parte sovrapposti. La sola prevenzione, in tal caso, non può offrire una risposta sufficiente, poiché non tutte le minacce possono essere interamente previste o escluse. L’assorbimento diventa allora determinante: occorre comprendere se sistemi, team, linee decisionali e catene di terze parti siano configurati in modo da poter sostenere un primo shock senza una disintegrazione immediata delle funzioni critiche. Eppure, neppure l’assorbimento, da solo, è sufficiente. Un’organizzazione che assorbe senza adattarsi consuma le proprie riserve senza riorganizzare la situazione sottostante. L’adattamento richiede una flessibilità tanto di governance quanto operativa: la capacità di modificare le regole decisionali, riallocare risorse, attivare processi alternativi, accelerare temporaneamente la governance e riprioritizzare i canali informativi, senza generare arbitrarietà né dissolvere i punti di ancoraggio normativi. Il ripristino, infine, non può essere ridotto a un semplice ritorno allo status quo ante. In ambienti complessi, il ripristino è spesso rilevante solo se accompagnato da una ricalibrazione: una correzione delle ipotesi, della progettazione dei processi, delle dipendenze e delle priorità alla luce di ciò che la perturbazione ha effettivamente rivelato circa il funzionamento del sistema.
All’interno della Gestione integrata dei rischi di criminalità finanziaria, tale articolazione emerge con particolare nettezza. La prevenzione comprende, tra l’altro, la conoscenza del cliente, lo screening, il monitoraggio, la governance, la formazione e la qualità dei dati. L’assorbimento riguarda la capacità dell’istituzione di fronteggiare picchi di carico, volumi elevati di alert, escalation, incidenti o interventi esterni senza che le funzioni critiche di compliance e di business si blocchino simultaneamente. L’adattamento concerne la capacità di modificare i modelli di rischio, i criteri di escalation, l’allocazione del personale, l’assurance di qualità e i ritmi decisionali quando il contesto di rischio muta, per esempio a causa di nuovi regimi sanzionatori, tensioni geopolitiche, evoluzione dei modelli criminali o intensificazione della vigilanza. Il ripristino non consiste solo nell’assorbire arretrati o nel colmare lacune di controllo, ma anche nel migliorare strutturalmente il modo in cui l’istituzione percepisce le minacce, definisce le priorità e organizza l’esecuzione. Una comprensione convincente della robustezza richiede dunque che la Gestione integrata dei rischi di criminalità finanziaria non sia concepita unicamente come un quadro di controllo volto a prevenire i rischi di criminalità finanziaria, ma come un ordine integrato di indirizzo nel quale prevenzione, assorbimento, adattamento e ripristino si rafforzano reciprocamente e determinano congiuntamente se l’istituzione possa continuare a operare in modo lecito, credibile e funzionale sotto pressione.
La resilienza strategica come capacità di ri-orientamento e agilità
La resilienza strategica designa la capacità di un’istituzione, in condizioni di incertezza strutturale, pressione esterna e tensione interna, non soltanto di sopravvivere, ma anche di ricalibrare la propria traiettoria in modo tale da preservare la continuità del mandato istituzionale, senza cadere né nell’inerzia né nella sovra-reazione opportunistica. Non si tratta qui di flessibilità tattica in senso stretto, bensì di verificare se il vertice sia in grado di leggere tempestivamente il significato delle circostanze mutevoli, di rivalutare la pertinenza delle ipotesi esistenti e, su tale base, di ridistribuire mezzi, priorità e direzione complessiva. Un’istituzione può essere operativamente solida e tuttavia strategicamente vulnerabile se continua troppo a lungo a fare affidamento su fattori di successo storici, su rappresentazioni del rischio superate o su ipotesi di crescita lineare. Allo stesso modo, un’istituzione può reagire rapidamente sul piano formale e nondimeno manifestare una resilienza strategica limitata se si sposta da un incidente all’altro senza rivedere le scelte sottostanti. La resilienza strategica presuppone dunque non soltanto rapidità, ma anche autentica capacità di discernimento: la capacità di distinguere ciò che, nel cambiamento, è temporaneo, strutturale, rimediabile oppure tale da richiedere una riprogettazione più profonda dell’indirizzo, del portafoglio, delle dipendenze o dell’appetito per il rischio.
Questa forma di resilienza è strettamente collegata alla qualità della percezione di governance. Quando l’informativa gestionale si frammenta, gli scostamenti divengono visibili troppo tardi o i segnali contraddittori non vengono interpretati nella loro articolazione d’insieme, il vertice perde la capacità di ri-orientarsi in tempo utile. La resilienza strategica richiede perciò più di un semplice ricorso al ragionamento per scenari come esercizio isolato. Ciò che occorre è un collegamento durevole tra sviluppi esterni, vulnerabilità interne, margine finanziario, capacità di carico operativa, aspettative di vigilanza e conseguenze reputazionali. Nel contesto dei mercati finanziari, dei settori regolamentati e delle infrastrutture pubbliche, ciò significa che i cambiamenti di rotta non sono dettati soltanto da considerazioni commerciali, ma anche dalla domanda se il modello esistente rimanga sostenibile sotto l’effetto cumulativo della pressione di integrità, delle trasformazioni tecnologiche, dei rischi di filiera e delle esigenze di legittimazione sociale. L’agilità, a questo riguardo, non è sinonimo di arbitrarietà o di riorganizzazione permanente. Essa significa che l’istituzione è in grado di muoversi in modo intenzionale senza perdere la propria coerenza istituzionale. Ciò richiede diritti decisionali chiaramente definiti, una rapida emersione dei segnali strategici, apertura verso informazioni sfavorevoli e una struttura di governance che consenta correzioni di rotta senza produrre paralisi decisionale.
Per la Gestione integrata dei rischi di criminalità finanziaria, la resilienza strategica riveste un’importanza particolare, poiché le trasformazioni dei rischi di criminalità finanziaria raramente rimangono confinate al solo ambito della compliance e incidono spesso direttamente sul modello di business, sulla strategia di mercato, sulla progettazione dei prodotti e sul posizionamento geografico. Nuovi regimi sanzionatori, l’evoluzione delle tecniche di riciclaggio, il mutare delle aspettative delle autorità di vigilanza, l’accentuarsi della frammentazione geopolitica e l’emergere di nuove tecnologie possono modificare in profondità la sostenibilità dei segmenti di clientela esistenti, delle relazioni di correspondent banking, dei flussi transazionali e dei modelli di servizio. Un’istituzione che tratti tali segnali esclusivamente all’interno di framework di controllo preesistenti, senza ricalibrare il proprio orientamento strategico, accumula una vulnerabilità latente. La resilienza strategica nell’ambito della Gestione integrata dei rischi di criminalità finanziaria richiede dunque la capacità non soltanto di controllare i rischi di criminalità finanziaria, ma anche di leggerli come informazione strategica: un’informazione che rivela i punti in cui il modello esistente è divenuto eccessivamente concentrato, troppo dipendente, troppo complesso o troppo fragile sotto il profilo normativo. In questo senso, la resilienza strategica non risiede nell’adesione immobile a direzioni un tempo prescelte, ma nella capacità di ri-orientamento, preservando al tempo stesso la credibilità istituzionale, la sostenibilità giuridica e la fattibilità operativa.
La resilienza operativa come capacità di mantenere i processi critici sotto pressione
La resilienza operativa designa la capacità di un’organizzazione di proseguire i propri processi, servizi e funzioni decisionali critiche in situazioni di perturbazione, degrado o pressione eccezionale, senza che il venir meno di un singolo elemento produca un effetto sproporzionato sull’insieme. Sotto questo profilo, essa va oltre le concezioni tradizionali di disponibilità o business continuity, spesso orientate principalmente al ripristino nell’ambito di scenari predefiniti oppure alla ridondanza tecnica di sistemi e siti. La resilienza operativa richiede una comprensione più fine di ciò che è realmente critico, delle catene di processo che sorreggono tale criticità, delle dipendenze che vi sono incorporate e del modo in cui le perturbazioni si evolvono nel tempo e nell’intensità. Un processo raramente è critico in sé; lo diviene in relazione a obblighi, diritti decisionali, interessi della clientela, funzioni di mercato, aspettative di vigilanza o esercizio di compiti pubblici. La questione non è dunque soltanto se un processo possa rimanere tecnicamente attivo, ma se la funzione che esso deve produrre rimanga, sotto pressione, credibile, controllabile e conforme alle norme. Questa distinzione è essenziale. Un sistema può risultare “disponibile” mentre i dati sono inaffidabili, le escalation si bloccano, le eccezioni si accumulano o la capacità umana di decidere risulta insufficiente. In una simile situazione, la disponibilità formale non costituisce una misura sufficiente della resilienza operativa.
Un approccio convincente alla resilienza operativa richiede, di conseguenza, un’analisi funzionale e orientata alle catene di dipendenza. Quali processi sorreggono le attività critiche dell’istituzione? Quali dipendenze interne ed esterne supportano tali processi? Dove si collocano i punti singoli di guasto, i rischi di concentrazione, le fratture di capacità e le soluzioni manuali di emergenza che possono essere scalate solo in misura limitata? Quali livelli minimi di prestazione devono essere preservati in condizioni di perturbazione per non compromettere gli obblighi giuridici, le responsabilità verso la clientela e la credibilità della governance? Tali interrogativi non possono essere affrontati unicamente dai team operativi, poiché implicano inevitabilmente scelte di prioritarizzazione normativa e di governo del rischio. La resilienza operativa è pertanto tanto una questione di governance quanto una questione di esecuzione. Essa richiede scelte chiare in materia di soglie di tolleranza, meccanismi di fallback, diritti decisionali in situazione incidentale, strutture di escalation e uso delle misure di emergenza. È inoltre fondamentale che le procedure di emergenza non esistano soltanto sulla carta, ma siano realmente eseguibili in condizioni di stress, di riduzione del personale, di carenza informativa e di perturbazione delle catene di dipendenza. Un dispositivo di fallback dipendente da competenze rare, da passaggi manuali non testati o da dati indisponibili può esistere formalmente e tuttavia risultare materialmente illusorio.
All’interno della Gestione integrata dei rischi di criminalità finanziaria, la resilienza operativa riveste una particolare importanza, nella misura in cui una parte significativa del presidio contro la criminalità finanziaria poggia su processi fortemente interconnessi, nei quali sistemi, dati, giudizio umano e fonti informative esterne sono indissolubilmente legati. La customer due diligence, lo screening, il monitoraggio delle transazioni, il case management, il reporting, la model governance e i meccanismi di escalation funzionano correttamente soltanto se la sottostante catena di processo, nel suo complesso, è realmente in grado di sostenere il carico. La perturbazione di un solo anello può avere conseguenze immediate sulla liceità del servizio alla clientela, sulla tempestività della rilevazione, sulla qualità del processo decisionale e sulla credibilità delle segnalazioni rivolte alle autorità di vigilanza o alle unità di informazione finanziaria. La resilienza operativa nell’ambito della Gestione integrata dei rischi di criminalità finanziaria richiede pertanto più della mera efficacia dei controlli in condizioni ordinarie. Occorre un assetto nel quale i processi critici di integrità possano continuare a funzionare a un livello sufficiente anche in presenza di carichi estremi, degrado dei sistemi, scarsità di personale, pressione di crisi esterna o remediation di ampia portata. Ciò significa che l’istituzione deve sapere quale funzionalità minima essenziale debba essere preservata sotto pressione, quali modalità operative alternative siano disponibili, quali strutture decisionali possano essere accelerate e quali limiti non possano essere superati, nemmeno in condizioni di crisi. Solo a tale condizione esiste una resilienza operativa che non rimane puramente formale, ma sostiene effettivamente, nella pratica, la continuità delle funzioni critiche di integrità.
La resilienza finanziaria come fondamento della continuità e dell’assorbimento degli shock
La resilienza finanziaria costituisce, all’interno di ogni organizzazione, istituzione finanziaria, catena di esecuzione o sistema pubblico, una condizione preliminare per una continuità effettiva, poiché nessuna intenzione di governo orientata alla stabilità, alla protezione o al ripristino può reggere quando manca lo spazio finanziario necessario per assorbire gli shock, adottare misure correttive, sostenere inefficienze temporanee e continuare a finanziare le funzioni critiche durante periodi di pressione accresciuta. Nei dibattiti di governance, la resilienza finanziaria viene ancora troppo spesso ridotta alla solidità patrimoniale, alla posizione di liquidità o alla generale tenuta di bilancio. Tali elementi hanno indubbiamente un peso rilevante, ma restituiscono soltanto una parte del quadro pertinente. In un senso più ampio, la resilienza finanziaria riguarda la questione se un’organizzazione disponga di una capacità di assorbimento sufficiente, di flessibilità allocativa e di uno spazio di governo tali da consentirle, in circostanze avverse, di non scivolare immediatamente in tagli reattivi ai costi, in meccanismi irresponsabili di rinvio o nel ridimensionamento proprio di quelle funzioni che devono garantire la continuità e l’integrità del sistema. Quando lo spazio finanziario è troppo ristretto, i rischi non vengono eliminati ma rinviati, i programmi di recupero non vengono accelerati ma rallentati, e le dipendenze critiche non vengono ridotte ma approfondite. Il significato di governance della resilienza finanziaria risiede pertanto non soltanto nella domanda se le perdite possano essere assorbite, ma soprattutto nella domanda se l’organizzazione disponga ancora, anche sotto pressione, dei mezzi necessari per proteggere le priorità, finanziare gli interventi indispensabili e continuare a sostenere le proprie funzioni essenziali senza erosione normativa, operativa o reputazionale.
L’importanza della resilienza finanziaria emerge con maggiore nettezza quando la perturbazione non viene considerata come un’eccezione episodica, bensì come una condizione ricorrente entro la quale le istituzioni assumono le proprie decisioni. In tali circostanze, è insufficiente collegare la robustezza finanziaria esclusivamente ai rapporti tradizionali o alla disciplina di bilancio. Occorre invece comprendere fino a che punto l’organizzazione sia in grado di assorbire costi inattesi, remediations, contenzioso, misure sanzionatorie, ritardi operativi, incremento del personale, interruzioni di filiera e pressioni esterne di mercato o di vigilanza, senza perdere immediatamente il proprio margine di manovra strategico. Ciò richiede attenzione alla qualità della struttura dei costi, all’adattabilità dei portafogli di investimento, alla disponibilità di riserve, alla rigidità contrattuale degli obblighi esterni, alla concentrazione delle fonti di ricavo e alla misura in cui le funzioni critiche di controllo e continuità siano divenute dipendenti da modelli di efficienza che cedono per primi sotto stress. In molte organizzazioni, è proprio quest’ultimo aspetto a rendersi visibile: l’ottimizzazione dei costi viene perseguita in un modo che appare razionale nei periodi tranquilli, ma che nei periodi di shock, di intervento dell’autorità di vigilanza o di pressione operativa mette in luce una pericolosa ristrettezza della capacità finanziaria di azione. Là dove la resilienza finanziaria è assente, emerge la tendenza a scegliere, sotto pressione, misure di breve periodo che aumentano la vulnerabilità reale, ad esempio differendo gli investimenti di ripristino, riducendo il personale nelle funzioni critiche, comprimendo la formazione, l’assicurazione della qualità o il miglioramento dei dati, oppure ridimensionando selettivamente attività senza una visibilità sufficiente sui relativi effetti di secondo ordine.
Nell’ambito della Gestione integrata dei rischi di criminalità finanziaria, la resilienza finanziaria riveste un’importanza particolare, poiché i rischi di criminalità finanziaria sono raramente neutrali sotto il profilo dei costi quando si materializzano e conducono spesso a oneri finanziari estesi, prolungati e multidimensionali. Programmi di remediation, riesami dei fascicoli, sostituzione dei sistemi, verifiche esterne, misure imposte dall’autorità di vigilanza, ritardi nelle transazioni, abbandono della clientela, danno reputazionale, maggiore fabbisogno di personale e definizioni giuridiche possono sottoporre l’organizzazione a tensione finanziaria per un periodo prolungato. Un’istituzione che non disponga di un’effettiva capacità di assorbimento finanziario tenderà, in tali condizioni, a trattare la Gestione integrata dei rischi di criminalità finanziaria come una voce di costo da contenere, mentre essa costituisce in realtà una condizione per un funzionamento continuativo, lecito e credibile. In questo contesto, resilienza finanziaria significa che l’organizzazione è in grado, anche sotto pressione, di continuare a finanziare le componenti essenziali della Gestione integrata dei rischi di criminalità finanziaria, di non rinviare i miglioramenti necessari per mero riflesso di contenimento di bilancio, e di assorbire interruzioni temporanee dei ricavi, dei processi o dei flussi di clientela senza rendere più fragile la funzione di integrità stessa. La resilienza finanziaria non costituisce quindi un tema marginale esterno, ma una condizione portante della continuità, dell’assorbimento degli shock e della conformità credibile in un contesto nel quale i rischi di criminalità finanziaria possono rapidamente tradursi in conseguenze materiali di governance e in effetti economici.
La rappresentazione del rischio, la governance e l’esecuzione come un unico ciclo interconnesso di indirizzo
Un approccio coerente al rischio, alla continuità e alla resilienza presuppone che la rappresentazione del rischio, la governance e l’esecuzione non siano trattate come componenti successive o debolmente collegate, ma come elementi di un unico ciclo continuo di indirizzo nel quale percezione, assunzione di decisioni, definizione delle priorità, attuazione e retroazione si influenzano costantemente a vicenda. In molte istituzioni permane ancora una separazione implicita tra la mappatura dei rischi, l’attribuzione formale delle responsabilità e l’azione effettiva nei processi e nei controlli. La rappresentazione del rischio viene allora prodotta mediante assessments, dashboard e tassonomie, la governance prende forma in comitati, mandati e linee di reporting, e l’esecuzione si svolge all’interno del business, delle operations, della compliance o delle funzioni di supporto. Tale modello offre chiarezza organizzativa, ma spesso nasconde il grado in cui le sue componenti si estraniano l’una dall’altra. Una rappresentazione del rischio può essere analiticamente raffinata e tuttavia produrre scarso effetto sul piano della governance quando non si riflette sufficientemente nelle scelte concernenti risorse, soglie di tolleranza ed escalation. La governance può essere formalmente accurata nella sua impostazione e nondimeno rimanere inefficace quando i processi decisionali sono troppo lenti, troppo frammentati o troppo astratti per incidere sulla realtà dell’esecuzione. L’esecuzione, a sua volta, può essere impegnata e tecnicamente competente e tuttavia non conseguire effetti sufficienti quando non sia alimentata da una rappresentazione del rischio attuale e funzionale o quando la governance invii segnali contraddittori sulle priorità. Il compito di governance consiste dunque nel creare un ciclo nel quale l’informazione sul rischio non sia meramente riportata, ma effettivamente tradotta in scelte di indirizzo, e nel quale l’esecuzione non si limiti a riferire su conformità o carenze, ma restituisca anche informazioni sul modo in cui il sistema funziona realmente sotto pressione.
Quel ciclo interconnesso di indirizzo richiede, in primo luogo, una rappresentazione del rischio che sia più di una mera raccolta di esposizioni o di una panoramica statica dei rischi per categoria. Occorre una rappresentazione del rischio che mostri l’interrelazione tra minacce, funzioni critiche, dipendenze, vulnerabilità, ambiti di impatto e opzioni di azione. Essa deve rendere visibili i punti in cui il controllo apparente poggia su presupposti fragili, i punti in cui le priorità entrano in concorrenza tra loro, i punti in cui la capacità appare sufficiente in condizioni normali ma si rivela insufficiente sotto stress, e i punti in cui l’escalation di un evento limitato verso un effetto di perturbazione sistemica risulta plausibile. La governance deve poi essere in grado di agire sulla base di tale rappresentazione. Ciò richiede non soltanto una supervisione formale, ma anche una disciplina istituzionale nell’assunzione di scelte difficili: quali rischi vengano accettati, quali funzioni siano protette con intensità accresciuta, quali dipendenze siano ridotte, quali eccezioni siano circoscritte e quali segnali facciano scattare un intervento accelerato. Infine, l’esecuzione non deve essere considerata come l’ultimo anello che semplicemente “dispiega” la policy, ma come il luogo in cui si rende visibile la qualità dell’intero modello di indirizzo. È proprio nell’esecuzione che emerge se i controlli siano praticabili, se le linee di escalation funzionino, se i dati siano utilizzabili, se la prioritarizzazione sia spiegabile e se le strutture di emergenza offrano realmente sostegno sotto pressione.
Per la Gestione integrata dei rischi di criminalità finanziaria, questa interrelazione è particolarmente marcata. Un’istituzione può disporre di un’ampia rappresentazione dei rischi di criminalità finanziaria, di molteplici sedi di governance e di estesi quadri di controllo, e tuttavia fallire sul piano della governance quando tali componenti non siano collegate fra loro all’interno di un unico ciclo coerente. Quando gli indicatori di rischio non conducono a una tempestiva ridefinizione delle priorità, quando le discussioni di governance si distaccano dalla fattibilità operativa, o quando i problemi di esecuzione non rifluiscono nel modo in cui i rischi vengono compresi e le scelte vengono effettuate, ne deriva un sistema fortemente strutturato in termini formali ma materialmente privo di sufficiente capacità di indirizzo. Un ciclo di indirizzo connesso nell’ambito della Gestione integrata dei rischi di criminalità finanziaria richiede pertanto che il consiglio, la seconda linea e l’esecuzione operino sulla base di una comprensione condivisa di dove risiedano le minacce essenziali, di quali funzioni debbano essere preservate sotto pressione e di quali interventi siano necessari a tal fine. Ciò significa che l’informativa gestionale non deve essere rivolta soltanto a volumi, closure rates o stato delle policy, ma anche a coerenza, vulnerabilità, tempi di attraversamento sotto pressione, qualità del processo decisionale e grado in cui il sistema rimane lecito e credibile anche in condizioni di perturbazione. Solo quando la rappresentazione del rischio, la governance e l’esecuzione vengono così trattate come un unico ciclo di governo, emerge una forma di indirizzo che non resta confinata alla diagnosi o alla procedura, ma incide realmente sull’affidabilità e sulla capacità portante dell’organizzazione.
Controlli stress-resistant, strutture di fallback e ridondanza come scelte di progettazione
In molte organizzazioni, controlli, strutture di fallback e ridondanza sono ancora trattati come strumenti tecnici o operativi aggiunti soltanto dopo che processi, sistemi e governance sono già stati in larga misura progettati. Tale sequenza è rischiosa dal punto di vista della governance, perché presuppone che la resilienza possa essere incorporata a posteriori in un modello ottimizzato in via principale per velocità, efficienza o scala. In realtà, la questione se un’organizzazione possa continuare a funzionare in maniera ordinata sotto pressione, perturbazione e incertezza deve già essere inscritta nella progettazione dei controlli, della logica di processo, delle dipendenze e delle strutture decisionali. I controlli stress-resistant sono controlli che non sono soltanto efficaci in condizioni ordinarie di flussi di dati stabili, volumi prevedibili e piena dotazione di personale, ma che continuano a svolgere la propria funzione essenziale in condizioni di pressione accresciuta, scarsità di tempo, degrado operativo o perturbazione di filiera. Ciò non significa che essi funzionino immutati in ogni circostanza, ma significa che sono progettati in modo tale che i margini di errore rimangano gestibili, che le eccezioni non si amplifichino senza limite e che le informazioni necessarie alle decisioni di governance e operative non scompaiano immediatamente. Le strutture di fallback svolgono un ruolo affine all’interno di questa progettazione. Esse non sono appendici del processo, ma modalità operative alternative che possono essere attivate in condizioni previamente considerate, al fine di continuare le funzioni critiche quando i meccanismi ordinari vengono meno o diventano insufficienti. La ridondanza, infine, non è mera duplicazione; essa rappresenta la scelta deliberata di costruire capacità aggiuntive, percorsi alternativi o fonti supplementari in determinati nodi, al fine di evitare dipendenze sproporzionate.
L’importanza di tali scelte progettuali diventa spesso pienamente visibile solo quando si verifica una perturbazione che richiede più dell’ordinaria efficacia dei controlli. Un controllo che in condizioni normali ottiene risultati elevati in termini di efficienza e precisione può rivelarsi del tutto inadeguato sotto stress quando dipende da un’unica fonte di dati, da un unico fornitore, da un’unica funzione specialistica o da un flusso di lavoro rigidamente orchestrato che non lascia spazio alla degradazione. Allo stesso modo, un meccanismo di fallback può apparire convincente sulla carta e rivelarsi impraticabile nella realtà perché si fonda su volumi manuali non scalabili, su personale contemporaneamente necessario altrove, o su linee decisionali che rallentano proprio nelle situazioni di crisi. Una progettazione stress-resistant richiede pertanto una riflessione fin dall’inizio sul modo in cui i controlli si comportano in condizioni anomale, sulle funzioni essenziali minime che devono in ogni caso rimanere in piedi, sulle tolleranze ammissibili e sui punti nei quali la ridondanza risulta giustificata nonostante l’apparente costo aggiuntivo. Ciò richiede un approccio di governance nel quale l’efficienza non domini automaticamente, ma venga bilanciata con l’importanza dell’affidabilità, della spiegabilità e della resistenza agli shock. In questo senso, la scelta della ridondanza non costituisce prova di inefficienza, ma può rappresentare il riconoscimento razionale del fatto che alcune funzioni, alcuni sistemi o alcuni momenti decisionali sono troppo critici per essere organizzati in modo unico o secondo una logica di estrema snellezza.
Nell’ambito della Gestione integrata dei rischi di criminalità finanziaria, queste questioni progettuali hanno un’immediata rilevanza di governance. Molti controlli in questo dominio dipendono in misura elevata dalla qualità dei dati, dai parametri di scenario, dagli output dei modelli, dal giudizio del personale, dalla tempestività dell’escalation e dalla disponibilità di fonti esterne. Quando i volumi aumentano, i sistemi si degradano, le circostanze geopolitiche cambiano o la pressione dell’autorità di vigilanza si intensifica, controlli che appaiono adeguati in condizioni normali possono rapidamente perdere la loro efficacia. Un controllo di screening dipendente da una sola fonte esterna di liste, un processo di monitoraggio delle transazioni privo di un meccanismo di fallback scalabile, o una struttura di escalation che si regga su poche persone chiave creano vulnerabilità latente proprio in quella parte dell’organizzazione nella quale liceità e fiducia devono essere protette sotto pressione. I controlli stress-resistant nell’ambito della Gestione integrata dei rischi di criminalità finanziaria richiedono pertanto scelte progettuali che tengano esplicitamente conto della perturbazione, dei picchi di carico e dell’incertezza. Le strutture di fallback non devono soltanto esistere, ma essere anche radicate in esercitazioni, governance e preparazione del personale. La ridondanza deve essere introdotta là dove il venir meno di dati, competenze, fornitori o sistemi avrebbe conseguenze dirette sulle funzioni critiche di integrità. In questa impostazione, i controlli non sono concepiti come barriere statiche contro la deviazione, ma come componenti di una più ampia architettura di indirizzo che consente al sistema di rimanere ordinato, spiegabile e conforme alle norme anche in circostanze avverse.
Fiducia e capacità di ripristino come componenti della resilienza
La fiducia e la capacità di ripristino rientrano tra le componenti più sottovalutate e, al tempo stesso, più essenziali della resilienza, perché nessuna organizzazione può continuare a funzionare in modo durevole sotto pressione quando la fiducia interna ed esterna evapora e quando, a seguito di una perturbazione, non esiste alcuna capacità credibile di ristabilire ordine, affidabilità e legittimità. Nei contesti di governance, la fiducia viene talvolta ridotta a reputazione, comunicazione o gestione degli stakeholder, ma tale approccio è troppo ristretto. In senso sostanziale, la fiducia è l’aspettativa che l’organizzazione continui, anche sotto tensione, a sostenere in modo coerente le proprie funzioni essenziali, i propri obblighi normativi e le proprie responsabilità di governance. La fiducia interna riguarda la misura in cui il consiglio, il management, i dipendenti e le funzioni di controllo possano fare affidamento sulla solidità delle informazioni, sulla spiegabilità delle decisioni, sulla serietà con cui vengono trattate le escalation e sul fatto che gli errori non conducano immediatamente a negazione o paralisi. La fiducia esterna riguarda la credibilità, agli occhi delle autorità di vigilanza, dei clienti, dei partner di filiera, degli azionisti, delle istituzioni pubbliche e della società, del fatto che l’organizzazione svolga il proprio ruolo in modo affidabile, anche quando emergano incidenti, incertezze o esigenze di correzione. Una volta che tale fiducia venga meno, non risultano compromesse soltanto reputazione e legittimità, ma anche il margine di azione operativo e strategico dell’organizzazione. La vigilanza può intensificarsi, i clienti possono allontanarsi, i partner possono divenire più esitanti, la collaborazione interna può irrigidirsi e le misure correttive possono diventare considerevolmente più costose e complesse.
In tale prospettiva, la capacità di ripristino non si esaurisce nel semplice riportare sistemi, processi o volumi produttivi a un livello preesistente. Essa riguarda la capacità più ampia di ricostruire, dopo una perturbazione, il controllo di governance, l’ordine operativo, la chiarezza normativa e la credibilità relazionale. Ciò richiede più della mera chiusura dell’incidente o della remediation tecnica. Occorre un processo attraverso il quale l’organizzazione possa determinare che cosa sia stato precisamente compromesso, quali funzioni abbiano priorità, quali errori o carenze fossero strutturali, quali misure di emergenza debbano essere ritirate e in che modo la fiducia possa essere nuovamente conquistata presso le parti interne ed esterne. La capacità di ripristino diviene così un criterio di verifica della profondità della resilienza. Un’istituzione che chiuda formalmente un incidente ma sia priva di un percorso credibile verso stabilizzazione, miglioramento e rinnovata legittimità non è realmente resiliente. Né si può parlare di resilienza quando la prosecuzione delle funzioni risulti possibile solo attraverso un sovraccarico prolungato delle persone, una tolleranza tacita di control gaps o una sospensione di requisiti normativi che in seguito non potranno essere ripristinati senza danno. La capacità di ripristino presuppone pertanto onestà di governance riguardo a ciò che è stato danneggiato, disciplina istituzionale nel mantenere nel tempo le misure correttive e spazio organizzativo sufficiente per intervenire non solo sui sintomi, ma anche sulle cause.
Per la Gestione integrata dei rischi di criminalità finanziaria, la fiducia e la capacità di ripristino hanno un’importanza eccezionale, perché le vulnerabilità collegate alla criminalità finanziaria compromettono spesso non soltanto il controllo interno, ma incidono immediatamente anche sulla credibilità esterna dell’istituzione. Le autorità di vigilanza valutano non solo l’esistenza di policy e controlli, ma anche la credibilità con cui le carenze vengono riconosciute, affrontate e migliorate in modo strutturale. Clienti, banche corrispondenti, investitori e altri stakeholder prestano attenzione non soltanto agli esiti, ma anche al modo in cui l’istituzione comunica, stabilisce priorità e corregge sotto pressione. La capacità di ripristino interna è, sotto questo profilo, altrettanto importante quanto la responsabilità esterna. Quando i dipendenti sperimentano che le carenze non possono essere discusse, che gli avvertimenti rimangono senza conseguenze o che i programmi di recupero sono prevalentemente simbolici, la capacità di apprendimento viene erosa e, con essa, la futura robustezza della Gestione integrata dei rischi di criminalità finanziaria. Fiducia e capacità di ripristino devono quindi essere componenti esplicite della resilienza in questo ambito. Ciò significa che il ripristino non viene inteso soltanto come chiusura dei findings o riduzione del backlog, ma come ricostruzione di una situazione nella quale processi, informazioni, governance e relazioni esterne funzionino in modo tale che l’istituzione possa nuovamente essere considerata affidabile, controllabile e conforme alle norme. Una resilienza priva di fiducia e di capacità di ripristino rimane una pretesa formale; soltanto là dove entrambe sono presenti emerge una durevole robustezza di governance.
L’indirizzo integrato della resilienza come obiettivo ultimo della Gestione integrata dei rischi di criminalità finanziaria
L’obiettivo ultimo di una Gestione integrata dei rischi di criminalità finanziaria impostata in modo convincente non risiede nella somma di singoli controlli, documenti di policy, meccanismi di escalation o giudizi di assurance, bensì nell’istituzione di un indirizzo integrato della resilienza: una forma di governance nella quale comprensione della minaccia, chiarezza normativa, continuità operativa, capacità finanziaria, attitudine adattiva e capacità di ripristino sono riunite in un insieme coerente. Tale obiettivo è fondamentalmente più esigente rispetto alle concezioni tradizionali della compliance, nelle quali il successo viene misurato principalmente dall’esistenza di framework, dalla completezza delle procedure o dalla riduzione di singole control deficiencies. L’indirizzo integrato della resilienza richiede infatti che la Gestione integrata dei rischi di criminalità finanziaria non venga trattata come una specializzazione delimitata all’interno della seconda linea o come un insieme di obblighi cui adempiere, ma come una componente integrale del modo in cui l’organizzazione governa sé stessa in condizioni di minaccia persistente, pressione di vigilanza e aspettativa sociale. In tal modo, si sposta anche il criterio della qualità della governance. La domanda non è se ogni rischio possa essere interamente escluso, ma se l’istituzione sia in grado di identificare, contenere, assorbire e correggere i rischi di criminalità finanziaria in modo tale da preservare le funzioni critiche, l’affidabilità normativa e il margine di manovra strategico.
Un simile obiettivo esige che le tradizionali linee di separazione tra identificazione del rischio, gestione della continuità, risposta alla crisi, esecuzione della compliance e programmi di recupero vengano in misura significativa oltrepassate. Quando ciascuna di queste componenti è organizzata separatamente, senza sufficiente coerenza sostanziale, emerge una direzione frammentata: i rischi vengono nominati senza tradursi in protezione funzionale, le misure di continuità vengono predisposte senza un adeguato ancoraggio normativo o strategico, le strutture di crisi vengono attivate senza che i relativi insegnamenti rifluiscano strutturalmente nella progettazione e nella governance, e i programmi di recupero restano reattivi perché non alimentati da una rappresentazione integrata delle vulnerabilità più profonde. L’indirizzo integrato della resilienza richiede pertanto coerenza nell’informazione rivolta agli organi di governo, coerenza nella definizione delle priorità e coerenza nell’esercizio delle responsabilità. Il consiglio e il senior management non devono limitarsi a sorvegliare dashboard separate, ma mantenere presa sul nesso sottostante tra minaccia, funzioni critiche, dipendenze, controlli, resistenza agli shock e capacità di ripristino. Le esercitazioni di scenario non devono mettere alla prova soltanto outage di sistema o perturbazioni operative, ma anche la qualità delle scelte di governance, la chiarezza dei confini normativi, la capacità portante delle relazioni di filiera e la disponibilità di margini di assorbimento finanziari e di personale. L’informazione gestionale non deve limitarsi a presentare dati o statistiche di chiusura, ma offrire una rappresentazione dei punti nei quali l’istituzione corre il rischio maggiore di perdere il proprio nucleo sotto pressione.
All’interno della Gestione integrata dei rischi di criminalità finanziaria, l’indirizzo integrato della resilienza significa, in ultima analisi, che l’organizzazione non considera più i rischi di criminalità finanziaria come un compito di compliance collocato accanto al business, ma come una componente costitutiva della domanda se l’istituzione possa continuare, in senso più ampio, a operare come attore di governance affidabile. Ciò implica che i rischi di integrità siano collegati alle relative conseguenze operative e strategiche, che le scelte di continuità siano espressamente riferite alle funzioni critiche di integrità, che la resilienza finanziaria sia riconosciuta quale condizione per un controllo credibile, che i controlli siano progettati per condizioni di stress e non soltanto per l’operatività ordinaria, e che la fiducia e la capacità di ripristino siano considerate esiti essenziali della qualità del modello di indirizzo. Là dove tale coerenza viene realizzata, emerge una forma di governance che non mantiene la finzione secondo cui il rischio potrebbe scomparire, ma realizza l’ambizione, molto più realistica e più gravosa sul piano della governance, secondo cui l’istituzione può continuare a operare in modo lecito, ordinato, spiegabile e funzionale anche sotto pressione considerevole. È precisamente in ciò che risiede il significato più profondo dell’indirizzo integrato della resilienza come obiettivo ultimo della Gestione integrata dei rischi di criminalità finanziaria: non la promessa di assenza di errore, ma la strutturazione di un’organizzazione capace di sopportare la minaccia senza che continuità, integrità e credibilità di governance vengano progressivamente abbandonate.
