I rischi di criminalità finanziaria ed economica non si governano con un documento di policy interna che fa soprattutto bella figura in un portale del consiglio di amministrazione, con una matrice dei rischi che mostra ogni trimestre gli stessi colori rassicuranti, o con una presentazione di conformità nella quale vulnerabilità complesse sono state ridotte a punteggi, controlli e “responsabili delle azioni”. Tutto questo può essere utile per mantenere ordinato lo svolgimento delle riunioni, ma dice ben poco sulla capacità della vostra organizzazione di dimostrare, sotto pressione, che cosa sia realmente accaduto, chi abbia visto quali segnali, perché si sia agito o non si sia agito, e in che modo le decisioni a rischio siano state prese, documentate, monitorate ed escalate. La criminalità finanziaria ed economica raramente nasce nel vuoto. Circola attraverso l’urgenza commerciale, la debolezza nella tenuta dei fascicoli, i percorsi di eccezione, i terzi, le transazioni complesse, l’assenza di responsabilità chiare, i controlli informatici fragili, lo screening insufficiente delle sanzioni, basi giuridiche imprecise in materia di protezione dei dati e una governance più impressionante sulla carta che nella pratica quotidiana. Ed è precisamente lì che il problema comincia: la vostra organizzazione può dichiarare per anni che i rischi sono sotto controllo, fino al giorno in cui un’autorità di vigilanza, un’autorità investigativa, una banca, un assicuratore, un revisore forense, un investigatore esterno, un comitato audit, una controparte o un giudice legge lo stesso fascicolo senza la cortesia con cui i rapporti interni vengono abitualmente accolti. A quel punto emerge che una “eccezione attentamente valutata” forse era semplicemente un aggiramento strutturale. Che uno “scostamento operativo” forse segnalava un fallimento dei controlli. Che un “incidente” viene chiamato così soprattutto perché la parola “schema ricorrente” risulta meno gradevole per la direzione. E che il linguaggio rassicurante delle policy, della cultura e delle procedure pesa poco quando i fatti mostrano che gli avvertimenti non sono stati seguiti, i segnali sono stati minimizzati, le responsabilità sono state spostate e le decisioni non possono essere ricostruite in modo convincente a posteriori.
I rischi di criminalità finanziaria ed economica non richiedono quindi una conformità decorativa, ma un controllo dimostrabile, capace di reggere quando la vostra organizzazione non controlla più la narrazione. Non appena il fascicolo viene letto attraverso la lente della prevedibilità, del dovere di diligenza, dell’imputabilità, degli obblighi di segnalazione, della responsabilità di vigilanza e della responsabilità degli amministratori, lo spazio per le astrazioni confortevoli scompare rapidamente. Che cosa significa la vostra policy anticorruzione quando nessuno è in grado di spiegare perché un agente, un distributore, un fornitore, un cliente o un partner di joint venture ad alto rischio sia stato comunque accettato? Che cosa significa lo screening delle sanzioni quando gli alert sono stati scartati in modo routinario, la responsabilità era incerta o la pressione commerciale determinava la valutazione effettiva del rischio? Che cosa significa il controllo delle frodi quando transazioni insolite, conflitti di interesse, schemi di note spese o circuiti di pagamento erano visibili, ma non hanno condotto a interventi dimostrabili? Che cosa significa la conformità in materia di protezione dei dati quando la vostra organizzazione non è in grado di dimostrare chi avesse accesso a quali dati, su quale base giuridica, con quale registrazione degli accessi, con quali misure di sicurezza e con quale seguito dato alle anomalie? Che cosa significa una policy di cybersecurity quando gli avvertimenti sono stati trattati come rumore tecnico fino a riapparire in un rapporto d’indagine come segnali mancati? In quella fase è troppo tardi per chiedere fiducia sulla base delle intenzioni. Contano i fatti, la documentazione, l’escalation e la credibilità del vostro processo decisionale. La gestione integrata dei rischi di criminalità finanziaria costringe quindi la vostra organizzazione ad affrontare una domanda scomoda ma necessaria: potete dimostrare che i rischi di criminalità finanziaria ed economica siano stati effettivamente governati, oppure disponete soprattutto di un sistema accuratamente progettato che sembrava convincente solo finché nessuno leggeva davvero il fascicolo con uno sguardo critico?
Il riposizionamento del governo dell’integrità in un panorama dei rischi strutturalmente trasformato
La gestione integrata dei rischi di criminalità finanziaria comincia con l’abbandono della comoda finzione secondo cui il governo dell’integrità sarebbe un’attività di conformità di supporto, che riferisce educatamente alla direzione legale, produce periodicamente un cruscotto e, per il resto, deve evitare di disturbare troppo la macchina commerciale. In un panorama dei rischi strutturalmente trasformato, questa concezione non è soltanto superata; è pericolosa. La vostra organizzazione opera in un ambiente in cui la criminalità finanziaria non si presenta più esclusivamente come una deviazione riconoscibile rispetto all’attività ordinaria, ma sempre più spesso come una transazione apparentemente normale, una partnership strategica, un’opportunità di crescita, un pagamento urgente, un appalto pubblico, un intermediario dotato di “conoscenza locale”, un veicolo d’investimento dal nome rispettabile o una relazione con un cliente appena troppo redditizia per essere esaminata criticamente. È esattamente lì che comincia la debolezza di governance. La gestione integrata dei rischi di criminalità finanziaria deve quindi essere riposizionata: non più sorveglianza passiva delle norme, ma contrappeso attivo di governance. Deve essere il luogo in cui viene posta la domanda che altrove si tende a evitare: perché questa operazione è così attraente, perché questa struttura è così complessa, perché questo terzo è così indispensabile, perché questo pagamento deve essere effettuato così rapidamente, perché manca la documentazione, perché la classificazione del rischio è così miracolosamente favorevole, perché le eccezioni vengono sempre vendute come necessità commerciali, e perché tutti iniziano a preoccuparsi solo quando un’autorità di vigilanza pone le stesse domande?
Questo riposizionamento esige che la vostra organizzazione smetta di considerare la gestione integrata dei rischi di criminalità finanziaria come una linea difensiva collocata alla fine della catena decisionale, e la tratti invece come una componente strutturale della strategia, dell’allocazione del capitale, dell’ingresso nei mercati, dello sviluppo dei prodotti, dell’approvazione delle transazioni, della partecipazione alle gare, della selezione dei partner e della risposta alle crisi. Sembra ovvio, ed è precisamente per questo che risulta sospetto che in tante organizzazioni ciò non accada. La realtà manageriale è spesso che l’integrità viene definita importante finché non ritarda una transazione, non scoraggia un cliente, non mette sotto pressione una previsione di fatturato e non costringe un dirigente influente a riconsiderare un’iniziativa a lui cara. La gestione integrata dei rischi di criminalità finanziaria viene allora invitata al tavolo quando le scelte essenziali sono già state compiute, dopodiché può ancora essere eseguita una piccola due diligence rituale per decorare il fascicolo. Questo non è controllo dei rischi; è costruzione documentale per rimpianti futuri. Un riposizionamento serio significa che la gestione integrata dei rischi di criminalità finanziaria riceve poteri, posizione informativa e diritti di escalation proporzionati al peso dei rischi. Senza accesso al processo decisionale, la funzione resta dipendente da ciò che gli altri accettano di condividere. Senza mandato, il parere resta facoltativo. Senza una linea diretta con la direzione e gli organi di supervisione, l’escalation resta una cortese proposta. Senza protezione dalla pressione commerciale, ogni norma finisce per diventare una moneta di scambio.
In un panorama dei rischi strutturalmente trasformato, la vostra organizzazione deve inoltre riconoscere che i rischi di criminalità finanziaria non sono statici. Un cliente che ieri sembrava accettabile può diventare domani sensibile alle sanzioni. Un fornitore operante in un mercato stabile può improvvisamente entrare in una catena ad alto rischio a causa di sviluppi geopolitici. Un contratto pubblico giuridicamente valido può diventare tossico sul piano della governance quando la decisione, gli interessi o i flussi di finanziamento vengono esaminati più a fondo. Un agente che per anni ha prodotto “risultati” può soprattutto dimostrare, retrospettivamente, che nessuno voleva davvero sapere come quei risultati fossero stati ottenuti. La gestione integrata dei rischi di criminalità finanziaria deve quindi essere dinamica, ma non nel senso alla moda di cruscotti, mappe di calore e aggiornamenti periodici che provano soprattutto che i colori possono cambiare. Dinamica significa che la vostra organizzazione rivaluta costantemente se le proprie ipotesi restano difendibili, se le classificazioni di rischio corrispondono ancora agli sviluppi fattuali, se i controlli rilevano davvero le anomalie, se le segnalazioni vengono esaminate seriamente, e se i dirigenti sono pronti ad accettare conclusioni commercialmente o politicamente sgradevoli. La prova più dura non è sapere se la vostra organizzazione dispone di regole, ma se è disposta ad accettare una perdita quando il rispetto delle norme lo impone. Un programma di integrità che funziona solo finché non costa nulla non è gestione integrata dei rischi di criminalità finanziaria. È un centro di costo con pretese morali.
Valori, prosperità e resilienza come fondamento normativo e di governance del governo dell’integrità
La gestione integrata dei rischi di criminalità finanziaria non può essere istituita in modo credibile senza una comprensione acuta del rapporto tra valori, prosperità e resilienza. La vostra organizzazione non può continuare a presentare l’integrità come un linguaggio culturale morbido mentre l’attività reale è guidata dagli obiettivi, dalle quote di mercato, dall’accesso politico, dalla pressione finanziaria e dal noto riflesso manageriale di parcheggiare le norme difficili presso specialisti finché il vertice conserva per sé margine di manovra. I valori hanno significato solo quando producono conseguenze sul denaro, sul potere e sullo spazio discrezionale. Un valore che non blocca mai un’operazione, non influenza mai un bonus, non corregge mai un dirigente e non limita mai una strategia commerciale non è un valore; è arredamento d’interni. La gestione integrata dei rischi di criminalità finanziaria espone questa ipocrisia. Obbliga la vostra organizzazione a stabilire se l’integrità costituisca una vera condizione per la creazione di prosperità, oppure soltanto una formula aggiunta ai rapporti annuali per dare l’impressione che il profitto venga realizzato in modo socialmente rispettabile. La verità scomoda è che la criminalità finanziaria nasce raramente in un vuoto di malvagità manifesta. Nasce più spesso nella zona grigia in cui la crescita diventa più importante della verifica, le relazioni pesano più della trasparenza, la pressione del tempo scaccia il controllo, le ambizioni manageriali vengono confezionate come necessità strategiche, e tutti sanno abbastanza per inquietarsi ma dicono troppo poco per apparire responsabili.
La prosperità senza resilienza rende la vostra organizzazione attraentemente vulnerabile. Sembra quasi cortese, ma la realtà è più ruvida: le organizzazioni prospere attirano il rischio. Chi gestisce flussi finanziari, dà accesso ai mercati, detiene licenze, distribuisce fondi pubblici, realizza investimenti o facilita transazioni internazionali diventa inevitabilmente interessante per soggetti che considerano la differenza tra imprenditorialità e abuso soprattutto semantica. La gestione integrata dei rischi di criminalità finanziaria deve quindi proteggere non solo dai deragliamenti interni, ma anche dall’instrumentalizzazione esterna. La vostra organizzazione può diventare vittima di inganno, reti corruttive, documentazione falsa, elusione delle sanzioni, strutture di riciclaggio, furto di identità, conflitti di interesse, manipolazione finanziaria cyber-guidata e abuso strategico da parte di controparti che sanno esattamente dove la fretta commerciale supera la disciplina di controllo. Ciò richiede una resilienza che va ben oltre le checklist di conformità. Servono vigilanza di governance, curiosità forense, acutezza giuridica, disciplina operativa e la volontà di sottoporre relazioni redditizie a domande scomode. Senza questa volontà, la vostra organizzazione non diventa resiliente; diventa prevedibile. E la prevedibilità è estremamente utile agli attori malevoli. A loro basta imparare dove la pressione è più forte nella vostra organizzazione, quali manager amano essere percepiti come dealmaker, quali controlli possono essere aggirati in nome dell’urgenza, quali eccezioni sono state storicamente accettate e quali dirigenti preferiscono essere rassicurati piuttosto che informati.
Il fondamento normativo della gestione integrata dei rischi di criminalità finanziaria non risiede quindi in dichiarazioni astratte di integrità, ma nella strutturazione concreta delle scelte di governance. La vostra organizzazione deve poter spiegare perché certi rischi vengono assunti, quali limiti non vengono oltrepassati, quali informazioni sono richieste, chi può derogare, chi esamina le deroghe, quando l’escalation è obbligatoria e quali conseguenze seguono quando i segnali vengono ignorati. È molto meno romantico che parlare di valori, ma molto più utile quando un’autorità di vigilanza, un pubblico ministero, una commissione d’inchiesta, una banca, un giornalista o una parte civile chiede che cosa sia realmente accaduto. La gestione integrata dei rischi di criminalità finanziaria deve tradurre i valori in criteri decidibili. Quali terzi sono inaccettabili? Quali giurisdizioni richiedono un esame rafforzato? Quali strutture di pagamento sono sospette, anche quando sono commercialmente pratiche? Quali regali d’affari, contributi di sponsorizzazione, compensi di consulenza o commissioni di introduzione sono indifendibili? Quali segnali rendono irresponsabile la prosecuzione di una relazione con un cliente? Quale ruolo svolge il rischio reputazionale quando la liceità giuridica non è ancora pienamente cristallizzata? Chi non risponde a queste domande in anticipo vi risponderà più tardi sotto pressione, di solito peggio, in modo più difensivo e con consulenti sensibilmente più costosi nella stanza. La conclusione sarcastica si impone: i valori sono magnifici finché nessuno chiede la prova che abbiano mai fermato qualcosa. La gestione integrata dei rischi di criminalità finanziaria esiste precisamente per poter fornire quella prova.
L’economia di transizione come fonte di rischi di integrità intensificati e intrecciati
L’economia di transizione ha reso considerevolmente più duro il terreno di gioco della gestione integrata dei rischi di criminalità finanziaria. Transizione energetica, digitalizzazione, autonomia strategica, investimenti nella difesa, economia circolare, rinnovamento delle infrastrutture, finanza climatica e innovazione tecnologica comportano flussi finanziari immensi, sovvenzioni pubbliche, investimenti privati, gare d’appalto, programmi di accelerazione e nuove dipendenze. Dove grandi quantità di denaro circolano rapidamente, il rischio appare. Dove l’urgenza pubblica viene usata per accelerare le decisioni, il rischio aumenta ulteriormente. E dove a un progetto viene attribuita una superiorità morale perché definito “verde”, “strategico”, “innovativo” o “socialmente necessario”, il controllo critico diventa talvolta miracolosamente più morbido. La vostra organizzazione deve comprendere che l’economia di transizione non è automaticamente pulita perché i suoi obiettivi appaiono simpatici. Un progetto qualificato come favorevole al clima può essere stato assegnato in modo corrotto. Un investimento strategico può passare attraverso strutture intermedie opache. Una catena circolare può dipendere da abusi del lavoro, frodi nei certificati o false informazioni d’origine. Un partner tecnologico può introdurre rischi di sanzioni. Un partenariato pubblico-privato può dissimulare conflitti di interesse dietro il gergo delle politiche pubbliche. La gestione integrata dei rischi di criminalità finanziaria deve quindi guardare oltre l’imballaggio morale. L’etichetta di utilità sociale non è un lasciapassare; costituisce spesso una ragione per raddoppiare la diffidenza.
Nell’economia di transizione, i rischi di integrità diventano inoltre intrecciati perché fattori giuridici, finanziari, geopolitici e operativi esercitano simultaneamente pressione sugli stessi fascicoli. La vostra organizzazione può trovarsi di fronte a catene di materie prime provenienti da aree ad alto rischio, finanziamenti da soggetti collegati a Stati, tecnologie con caratteristiche dual-use, fornitori indirettamente collegati a entità sanzionate, procedure locali di autorizzazione esposte al rischio di corruzione, pressione a costruire o consegnare rapidamente, e aspettative pubbliche che lasciano poco spazio al ritardo. È esattamente il tipo di ambiente in cui i modelli di controllo ben ordinati acquisiscono spesso un valore teatrale. La matrice appare ordinata; la realtà no. La gestione integrata dei rischi di criminalità finanziaria deve funzionare qui come disciplina integratrice, collegando diritto delle sanzioni, anticorruzione, controlli antiriciclaggio, diritto degli appalti pubblici, governance, rischio cyber, controllo contrattuale, analisi reputazionale e capacità di indagine forense. Non perché la coerenza sia seducente in un organigramma, ma perché i rischi di criminalità finanziaria si disinteressano dei confini interni tra dipartimenti. Un pagamento logico dal punto di vista finanziario può essere problematico giuridicamente. Un fornitore essenziale sul piano operativo può essere sensibile alle sanzioni. Un consulente locale commercialmente utile può introdurre un rischio di corruzione. Una domanda di sovvenzione attraente dal punto di vista politico può contenere un rischio di frode quando le prestazioni, i costi o le dichiarazioni di sostenibilità non sono sufficientemente verificabili. In un simile ambiente, la vostra organizzazione non può permettersi alcuna cecità frammentata.
L’economia di transizione aumenta inoltre il rischio che la vostra organizzazione si assolva moralmente prima ancora dell’accertamento dei fatti. È una patologia manageriale pericolosa. I progetti presentati come contributi al clima, alla sicurezza, all’innovazione o alle infrastrutture pubbliche acquisiscono talvolta internamente un’aura di necessità, così che le domande critiche vengono percepite come fastidiose, lente o insufficientemente strategiche. La gestione integrata dei rischi di criminalità finanziaria deve combattere questo riflesso. La vostra organizzazione deve accettare che l’urgenza non concede alcuno sconto in materia di integrità. Al contrario: l’urgenza aumenta il rischio di abuso, perché la velocità indebolisce la documentazione, concentra le decisioni, accresce la dipendenza e normalizza gli scostamenti. I fascicoli più problematici nascono spesso non perché nessuno conoscesse le regole, ma perché tutti ritenevano che quel fascicolo fosse troppo importante per essere ostacolato dalle regole ordinarie. È il momento in cui l’intelligenza manageriale scivola nella sopravvalutazione di sé. La gestione integrata dei rischi di criminalità finanziaria deve quindi garantire che i progetti di transizione restino sottoposti a domande dure su proprietà, finanziamento, beneficiari, intermediari, determinazione dei prezzi, prestazioni, contropartite, relazioni politiche, esposizione alle sanzioni, prove ed escalation. Un’organizzazione che utilizza la transizione come scusa per controlli deboli scopre generalmente più tardi che le autorità di vigilanza, le autorità investigative, le banche e i media sono nettamente meno impressionati dalle buone intenzioni che dai fascicoli mancanti.
Gli effetti sistemici della transizione su rischio, comportamenti, legittimità e fiducia
La gestione integrata dei rischi di criminalità finanziaria deve riconoscere che la transizione non crea soltanto nuovi rischi, ma modifica anche i comportamenti. Quando i mercati si spostano, le sovvenzioni diventano disponibili, i flussi di capitale vengono redistribuiti, emerge la scarsità e aumenta la pressione pubblica, gli incentivi all’interno della vostra organizzazione cambiano. I dipartimenti agiscono più rapidamente, i team commerciali spingono con maggiore forza, i dirigenti usano parole più grandi, i project manager chiedono eccezioni, e le funzioni di controllo ricevono il noto rimprovero di “non capire il business”. Questo rimprovero è generalmente destinato a produrre sedazione manageriale. Naturalmente la gestione integrata dei rischi di criminalità finanziaria deve comprendere l’attività. Ma deve soprattutto comprendere quando l’attività non vuole più comprendere sé stessa perché la ricompensa della velocità supera l’apprezzamento della prudenza. L’effetto sistemico della transizione risiede in questo spostamento comportamentale. Il rischio non è determinato soltanto dalla minaccia esterna, ma anche dalle razionalizzazioni interne. “Lo fanno tutti.” “Il mercato si muove velocemente.” “Lo Stato vuole ritmo.” “Anche il concorrente è dentro.” “Il partner è politicamente sensibile.” “Il finanziamento deve essere chiuso.” “È temporaneo.” “I documenti seguiranno.” Non sono frasi neutre; sono segnali d’allarme. La gestione integrata dei rischi di criminalità finanziaria deve trattarle come indicatori precoci di erosione normativa.
Questa erosione normativa incide direttamente sulla legittimità. La vostra organizzazione può forse ancora spiegare giuridicamente perché una transazione, una collaborazione o una struttura di finanziamento fosse formalmente ammissibile, ma ciò non significa che rimanga difendibile sul piano della governance quando il contesto più ampio diventa visibile. La legittimità è più fragile della legalità. Viene intaccata quando gli stakeholder percepiscono che la vostra organizzazione ha cercato i margini della norma, ignorato segnali critici, gestito fondi pubblici con eccessiva leggerezza, valutato i rischi di sanzioni in modo cosmetico o utilizzato l’integrità principalmente come linguaggio reputazionale. La gestione integrata dei rischi di criminalità finanziaria deve quindi andare oltre la domanda giuridica minima se qualcosa sia strettamente vietato. Nei fascicoli di criminalità finanziaria, la domanda è spesso se la vostra organizzazione, tenuto conto della sua posizione, delle sue conoscenze, dei suoi mezzi e del suo ruolo sociale, avrebbe ragionevolmente dovuto agire diversamente. È la domanda che fa male agli amministratori non esecutivi, rende difensivi i dirigenti e costringe i team legali a formulare con estrema prudenza. La realtà sarcastica è che molte organizzazioni scoprono che la legittimità era un asset solo dopo averla dilapidata. Allora si parla improvvisamente di ripristinare la fiducia, come se la fiducia fosse un difetto temporaneo riparabile con una dichiarazione, un’indagine esterna e qualche cambiamento di personale. La gestione integrata dei rischi di criminalità finanziaria dovrebbe impedire alla vostra organizzazione di giungere così tardi a questa presa di coscienza.
La fiducia, in questo ambito, non funziona come sentimento, ma come condizione operativa. Le banche devono essere disposte a servire la vostra organizzazione. Le autorità di vigilanza devono poter presumere che le informazioni siano complete e affidabili. Le controparti devono poter confidare che una collaborazione non crei rischio di contaminazione. I collaboratori devono credere che le segnalazioni vengano prese sul serio. Gli investitori devono potersi affidare a flussi finanziari e a una governance governabili. Le istituzioni pubbliche devono poter dimostrare che fondi e poteri non siano stati distorti. Non appena emergono accuse, ciascuna di queste relazioni di fiducia viene messa alla prova. La gestione integrata dei rischi di criminalità finanziaria deve quindi essere progettata per lo stress sistemico, non per i momenti ordinari di reporting. Deve poter stabilire quali fatti siano acquisiti, quali ipotesi rimangano incerte, quali documenti manchino, quali persone abbiano interessi, quali segnalazioni siano già state effettuate, quali transazioni debbano essere congelate, quali informazioni debbano essere fornite alle autorità di vigilanza, quale posizione di riservatezza sia giuridicamente sostenibile e quale comunicazione causi più danni di quanti ne risolva. In quel momento, la vostra organizzazione non ha bisogno di calmanti manageriali, ma di precisione. Il prezzo di un sistema debole è che ogni attore comincia a trarre le proprie conclusioni: le banche riducono l’esposizione, le autorità di vigilanza escalano, i collaboratori divulgano o tacciono, i media colmano i vuoti e le fazioni interne si proteggono. La gestione integrata dei rischi di criminalità finanziaria è la disciplina che deve impedire che un fascicolo si trasformi in caos organizzato su carta intestata.
Il governo dell’integrità in condizioni di fiducia, turbolenza e incertezza fondamentale
La gestione integrata dei rischi di criminalità finanziaria viene davvero messa alla prova solo quando fiducia, turbolenza e incertezza fondamentale si manifestano simultaneamente. È il momento in cui la vostra organizzazione non può più appoggiarsi alle routine ordinarie di governance. I fatti sono incompleti, la pressione temporale è elevata, gli interessi divergono, le parti esterne esigono risposte, gli attori interni diventano prudenti o sorprendentemente disponibili, e ogni dichiarazione può riapparire più tardi come elemento di prova. In un simile ambiente, il governo dell’integrità non è un processo calmo di analisi e decisione, ma una lotta contro il panico, la vanità, la negligenza giuridica e l’autoprotezione manageriale. La gestione integrata dei rischi di criminalità finanziaria deve allora assicurare un accertamento controllato dei fatti. Ciò non significa che la vostra organizzazione debba esporsi ritualmente a ogni richiesta esterna o rendere immediatamente tutto pubblico in nome della trasparenza. La trasparenza senza controllo fattuale non è una virtù; è temerarietà. Significa invece che la vostra organizzazione deve reprimere la tendenza interna a minimizzare il problema prima di averlo compreso. Il primo riflesso manageriale è spesso l’inquadramento: isolare l’incidente, limitare il perimetro, ammorbidire il linguaggio, spostare la responsabilità, stimare il danno sulla base della speranza e assicurare al mondo esterno che la questione viene presa “molto sul serio”. È precisamente la fase in cui molte organizzazioni creano i propri problemi futuri.
In condizioni di turbolenza, la vostra organizzazione deve distinguere tra difesa giuridica, indagine fattuale e decisione manageriale. Queste tre linee devono articolarsi tra loro, ma non devono dissolversi in un’unica routine di crisi nebbiosa. La difesa giuridica richiede protezione dei diritti, segreto professionale, posizione procedurale, analisi della responsabilità e gestione strategica dei rapporti con le autorità di vigilanza o investigative. L’indagine fattuale richiede conservazione dei documenti, selezione dei dati, colloqui, analisi forense, controllo del perimetro, indipendenza, affidabilità e conclusioni verificabili. La decisione manageriale richiede misure, comunicazione, continuità, scelte relative al personale, interventi di governance e ripristino del controllo. La gestione integrata dei rischi di criminalità finanziaria riunisce queste linee senza confonderle. Quando la difesa giuridica domina interamente l’accertamento dei fatti, sorge il rischio che l’organizzazione voglia soprattutto sapere che cosa sia difendibile, non che cosa sia vero. Quando l’indagine si distacca dalla strategia giuridica, la posizione probatoria può essere inutilmente danneggiata. Quando i dirigenti utilizzano il processo per proteggere reputazione o posizione, il fascicolo viene contaminato sul piano della governance. La vostra organizzazione deve quindi determinare fin dall’inizio chi sia responsabile di cosa, quali informazioni vengano condivise, quali decisioni siano documentate, quali conflitti di interesse esistano e in quale momento determinati titolari di funzioni debbano beneficiare di un proprio consulente legale. La finzione secondo cui tutti si trovano sulla stessa barca generalmente termina non appena la responsabilità riceve un nome.
L’incertezza fondamentale richiede inoltre un livello di umiltà manageriale raro in molte organizzazioni. La vostra organizzazione deve poter dire: questo è noto, questo è incerto, questo è oggetto di indagine, questa è la posizione giuridica, queste sono le misure immediate, e questi sono i limiti di ciò che può essere dichiarato responsabilmente. Sembra semplice, ma urta quasi tutto ciò che la comunicazione di crisi e l’istinto manageriale amano fare. La tentazione consiste nel suggerire certezza dove non esiste, esibire un controllo ancora in costruzione, riconoscere una responsabilità senza nominarne le conseguenze, o promettere cooperazione senza comprendere la posizione informativa. La gestione integrata dei rischi di criminalità finanziaria deve correggere questa tentazione. Deve proteggere la vostra organizzazione dal comfort delle conclusioni premature. Nei fascicoli di criminalità finanziaria, parlare troppo presto è spesso rischioso quanto agire troppo tardi. Un sistema solido impone quindi decisioni per fasi, revisione giuridica, disciplina forense, escalation manageriale e documentazione coerente. Pone le domande scomode prima che altri le pongano. Tratta l’informazione mancante non come un dettaglio fastidioso, ma come un rischio. Impedisce l’annuncio di piani di rimedio prima che la causa sia stata accertata. E mostra chiaramente che la fiducia non si ristabilisce dichiarando che l’integrità è una priorità, ma provando che la vostra organizzazione mente a sé stessa meno sotto pressione di quanto facesse prima.
Direzione pubblica, coerenza nazionale e coordinamento internazionale in un ambiente di minacce interconnesse
La gestione integrata dei rischi di criminalità finanziaria non può essere seriamente integrata nella vostra organizzazione senza tenere conto della direzione pubblica che plasma in modo sempre più marcato i dossier di criminalità finanziaria. L’idea che imprese, istituzioni e organismi pubblici gestiscano i propri rischi di integrità principalmente in modo autonomo, all’interno del proprio quadro di governance, è seducente per la sua chiarezza, ma ormai piuttosto ingenua. La criminalità finanziaria viene sempre più spesso affrontata come una minaccia alla sicurezza economica, alla resilienza nazionale, all’autonomia strategica, all’applicazione delle sanzioni, ai fondi pubblici, all’integrità dei mercati e alla fiducia istituzionale. Il campo di gioco, quindi, cambia. La vostra organizzazione non ha più a che fare soltanto con norme interne, obblighi contrattuali, aspettative settoriali e un’autorità di vigilanza occasionale che richiede periodicamente un fascicolo. Opera in un ambiente in cui autorità penali, regolatori amministrativi, catene di intelligence finanziaria, autorità competenti in materia di sanzioni, stazioni appaltanti, regolatori stranieri, meccanismi di cooperazione internazionale e organi politici rivendicano ciascuno una parte dell’immagine del rischio. Ciò rende inevitabilmente la gestione integrata dei rischi di criminalità finanziaria una disciplina che deve comprendere il potere pubblico, non soltanto il controllo privato. Chi tratta la direzione pubblica come rumore di fondo scopre di solito troppo tardi che lo sfondo ha già assunto il ruolo principale. Un incidente interno diventa allora improvvisamente parte di un approccio settoriale, di una valutazione nazionale della minaccia, di un dibattito internazionale sulle sanzioni o di una narrazione politica più ampia su vigilanza carente, uso improprio di fondi pubblici o compromissione dell’integrità economica.
Questa direzione pubblica rende necessaria la coerenza nazionale, ma anche scomoda. La vostra organizzazione non può limitarsi a spuntare obblighi di legge separati quando i rischi reali attraversano direttamente settori, livelli di governo e regimi di vigilanza. Un rischio di sanzioni può iniziare con una controparte contrattuale estera, incidere sui rapporti bancari, avere conseguenze in materia di controllo delle esportazioni, sollevare domande presso le autorità autorizzative e, infine, provocare un danno reputazionale in un dibattito politico. Un rischio di riciclaggio può presentarsi come una questione di accettazione del cliente, pur essendo contemporaneamente collegato a immobili, strutture fiduciarie, flussi commerciali internazionali, cripto-attività, settori ad alta intensità di contante o sovvenzioni pubbliche. Un rischio di corruzione può nascere in una gara d’appalto, ma diventare visibile attraverso segnalazioni interne, indagini giornalistiche, segnali fiscali o assistenza giudiziaria straniera. La gestione integrata dei rischi di criminalità finanziaria deve quindi rendere operativa la coerenza nazionale all’interno della vostra organizzazione. Ciò significa che le funzioni legale, compliance, finanza, acquisti, sicurezza, audit, affari pubblici, fiscalità, risorse umane e governance non possono ciascuna gestire la propria piccola verità come se il coordinamento fosse un lusso. Significa anche che la vostra organizzazione deve comprendere quali informazioni possano essere rilevanti per quale autorità, quali obblighi di segnalazione possano sorgere, quali posizioni di riservatezza siano sostenibili, quali sovrapposizioni di indagini possano verificarsi e quali scelte di governance possano essere successivamente interpretate come cooperazione, ostruzione, negligenza o rimedio cosmetico. Un’organizzazione che, in un simile contesto, continui ad affidarsi a note dipartimentali separate e alla disciplina delle riunioni merita quasi ammirazione per il suo ottimismo, ma certamente non per la sua gestione del rischio.
Il coordinamento internazionale rende l’intera questione ancora più acuta, perché i rischi di criminalità finanziaria raramente restano educatamente all’interno dei confini nazionali. La vostra organizzazione può disporre nei Paesi Bassi di un fascicolo apparentemente gestibile che in un’altra giurisdizione viene letto come elusione di sanzioni, corruzione, rischio di controllo delle esportazioni, abuso di mercato, frode o violazione di obblighi di reporting. Le autorità straniere possono applicare standard probatori diversi, formulare richieste di informazioni più aggressive, manifestare ambizioni extraterritoriali più ampie o utilizzare la denuncia pubblica come strumento di pressione. Le banche e gli investitori possono, a loro volta, applicare modelli di rischio globali, facendo sì che una questione locale produca effetti immediati su finanziamenti, linee di credito, clearing, correspondent banking o copertura assicurativa. La gestione integrata dei rischi di criminalità finanziaria deve quindi garantire coerenza internazionale senza degenerare in policy globali generiche che volano così in alto sopra la realtà da non atterrare da nessuna parte. La vostra organizzazione ha bisogno di coordinamento concreto: quali Paesi, entità, persone, flussi di merci, tecnologie e rotte di pagamento creino un’esposizione accresciuta; quali liste di sanzioni, quadri di controllo delle esportazioni e regimi anticorruzione siano rilevanti; quali decisioni interne possano produrre prove transfrontaliere; quali comunicazioni con partner stranieri siano giuridicamente rischiose; e quali indagini esterne possano rafforzarsi o contraddirsi reciprocamente. Il coordinamento internazionale non è l’arte di collezionare pareri legali stranieri finché nessuno si sente più responsabile. È la disciplina che consiste nel mantenere, in un ambiente di enforcement frammentato, un quadro fattuale difendibile, una strategia procedurale controllata e una linea di governance credibile.
Governo dell’integrità nelle strutture economiche, nei flussi finanziari e nelle dipendenze di filiera
La gestione integrata dei rischi di criminalità finanziaria assume il suo significato più incisivo quando la vostra organizzazione smette di trattare le strutture economiche, i flussi finanziari e le dipendenze di filiera come realtà commerciali neutrali, e le considera invece come possibili vettori di rischio di criminalità finanziaria. La maggior parte dei problemi, infatti, non si presenta come reato. Si presenta come una struttura. Come una rotta di pagamento. Come una catena commerciale. Come un modello di distribuzione. Come un contratto di consulenza. Come una società di progetto. Come un partner locale. Come un accordo di factoring. Come una relazione di clearing. Come un contratto di agenzia. Come una commissione complicata ma asseritamente conforme al mercato. E, naturalmente, sempre accompagnata da una spiegazione secondo cui in quel settore le cose funzionano semplicemente così. La vostra organizzazione deve armarsi contro questo tipo di spiegazioni con qualcosa di più del dubbio cortese. Le strutture economiche non sono mai innocenti solo perché esistono; devono essere comprese, testate e periodicamente rivalutate. La gestione integrata dei rischi di criminalità finanziaria deve poter stabilire chi benefici economicamente, chi sia il proprietario formale, chi eserciti il controllo effettivo, quale valore venga consegnato, quali pagamenti siano effettuati, perché gli intermediari siano necessari, quali giurisdizioni siano utilizzate, quale documentazione manchi e se la logica economica regga ancora quando la fretta commerciale viene tolta dal quadro. Quest’ultimo punto è spesso illuminante. Molte strutture presentate in riunione come efficienti, flessibili o conformi agli usi locali si rivelano, sotto esame forense, soprattutto eccezionalmente pratiche per evitare la visibilità.
I flussi finanziari meritano, nell’ambito della gestione integrata dei rischi di criminalità finanziaria, un’attenzione molto più severa rispetto allo sguardo amministrativo tradizionale, che verifica principalmente se gli importi tornano, se le fatture esistono e se le approvazioni sono state concesse. Un pagamento non è affidabile perché è stato processato. Una fattura non è credibile perché reca un numero. Un’approvazione non è rassicurante quando la persona che approva dipende essa stessa dal successo della transazione. La vostra organizzazione deve analizzare i flussi finanziari in base a origine, destinazione, tempistica, proporzionalità, controprestazione, fondamento contrattuale, indicatori di rischio e deviazioni dal comportamento normale. Questo vale per rischi classici quali corruzione, riciclaggio, frode e appropriazione indebita, ma anche per rischi più moderni e interconnessi come l’elusione delle sanzioni tramite rotte di pagamento alternative, l’abuso di cripto-attività, il riciclaggio basato sul commercio, la manipolazione di dichiarazioni di sostenibilità, le false certificazioni, le frodi sulle sovvenzioni, la consulenza fittizia, i costi di progetto gonfiati o i pagamenti successivi a terzi sconosciuti. La gestione integrata dei rischi di criminalità finanziaria deve essere in grado di riconoscere schemi che, presi isolatamente, possono sembrare spiegabili, ma che, nel loro insieme, formano un fascicolo la cui lettura successiva risulterà particolarmente sgradevole. I pagamenti frazionati. Le richieste urgenti. I contratti retroattivi. Le descrizioni vaghe dei servizi. Il terzo indicato in fattura ma non menzionato nell’accordo. Il conto bancario in una giurisdizione insolita. Il compenso esattamente abbastanza alto da meritare domande ed esattamente abbastanza basso da non svegliare nessuno. Non sono curiosità amministrative; sono segnali di fallimento della governance quando nessuno li esamina seriamente.
Le dipendenze di filiera rientrano, sotto questo profilo, tra le vulnerabilità più sottovalutate. La vostra organizzazione può disporre formalmente di eccellenti controlli interni ed essere al contempo pienamente esposta ai rischi che nascono presso fornitori, subappaltatori, distributori, prestatori logistici, consulenti, affiliati in franchising, rappresentanti locali, partner di joint venture o partner di cooperazione pubblica. L’idea confortevole secondo cui la responsabilità si arresta dove termina il controllo diretto diventa sempre meno sostenibile sul piano giuridico, della governance e reputazionale. La gestione integrata dei rischi di criminalità finanziaria deve quindi affrontare la filiera non come una questione di acquisti, ma come un’estensione della posizione di integrità della vostra organizzazione. Ciò significa che la due diligence non è una porta d’ingresso puntuale, ma un obbligo continuo di monitoraggio, governo contrattuale, diritti di audit, escalation, risoluzione e costruzione probatoria. La vostra organizzazione deve sapere quali anelli siano critici, dove nascano le dipendenze, quali alternative manchino, quali parti appaiano insostituibili, dove le relazioni politiche locali svolgano un ruolo, quali certificati siano affidabili e dove le informazioni siano fornite in modo asimmetrico da parti interessate alla vostra ignoranza. Detto sarcasticamente: è notevole constatare quante organizzazioni sappiano esattamente come funzionano margini, tempi di consegna e livelli di servizio nella filiera, ma diventino improvvisamente filosofiche quando viene chiesto chi si celi realmente dietro un subappaltatore o perché un consulente locale riceva una commissione di successo. La gestione integrata dei rischi di criminalità finanziaria dovrebbe porre fine immediatamente a questa filosofia.
Controllo interno, radicamento sociale e capacità locale di protezione
La gestione integrata dei rischi di criminalità finanziaria dipende interamente da un controllo interno che vada oltre una raccolta ordinata con cura di documenti di policy. La vostra organizzazione può disporre di codici di condotta, analisi dei rischi, piani di controllo, rapporti di audit, moduli formativi, procedure di segnalazione, procedure in materia di sanzioni, politiche anticorruzione, regole di accettazione dei clienti e protocolli d’incidente, ed essere tuttavia appena controllata quando il funzionamento effettivo è debole. La carta ha fatto, in molte organizzazioni, una carriera impressionante come sostituto della realtà. Il controllo interno deve quindi essere valutato alla luce dei comportamenti, delle informazioni, dell’escalation, del processo decisionale e delle conseguenze. I rischi vengono identificati in tempo? Le deviazioni vengono esaminate? Gli avvertimenti vengono documentati? La pressione esercitata dal management viene resa visibile? Le funzioni di controllo possono bloccare decisioni? Le eccezioni commerciali vengono analizzate ex post? I segnalanti vengono protetti? I rilievi vengono seguiti da azioni concrete? Gli amministratori vengono confrontati con schemi scomodi, oppure ricevono soprattutto sintesi che rispettano il loro sonno? La gestione integrata dei rischi di criminalità finanziaria esige che la vostra organizzazione non utilizzi il controllo interno come teatro del controllo, ma come strumento destinato a esporre le vulnerabilità fattuali. Un audit che non riscontra strutturalmente alcun problema rilevante in un ambiente ad alto rischio può, naturalmente, significare che tutto funziona perfettamente. Può anche significare che l’audit non guarda con sufficiente durezza. La seconda possibilità merita attenzione più spesso di quanta ne riceva.
Il radicamento sociale significa che la vostra organizzazione non può definire i propri rischi di integrità soltanto dal comfort della propria istituzione. La criminalità finanziaria tocca mercati, comunità, fondi pubblici, dipendenti, consumatori, concorrenti, contribuenti, autorità locali e settori vulnerabili. Un’impresa che facilita la corruzione danneggia non solo la propria reputazione, ma anche la concorrenza leale e la fiducia pubblica. Un’istituzione che controlla male i rischi di riciclaggio diventa parte di un’infrastruttura attraverso la quale circolano patrimoni criminali. Un organismo pubblico che lascia deteriorare la gestione finanziaria mina la credibilità dell’applicazione delle norme. Un’organizzazione che tratta con leggerezza i rischi di sanzioni può contribuire a un danno geopolitico ben oltre il proprio interesse commerciale. La gestione integrata dei rischi di criminalità finanziaria deve quindi tenere conto degli effetti sociali, non come appendice morale, ma come parte integrante della valutazione dei rischi e della responsabilità di governance. La vostra organizzazione non può continuare a nascondersi dietro il ragionamento secondo cui qualcosa era contrattualmente consentito quando il contesto sociale è manifestamente problematico. Questo genere di minimalismo giuridico può talvolta sembrare intelligente in riunione, ma invecchia male non appena il fascicolo diventa pubblico. La domanda non è soltanto se la vostra organizzazione fosse formalmente autorizzata ad agire, ma se avrebbe ragionevolmente dovuto comprendere quale danno la sua condotta potesse causare o facilitare.
La capacità locale di protezione è una dimensione spesso dimenticata della gestione integrata dei rischi di criminalità finanziaria. La criminalità finanziaria non si manifesta soltanto nelle transazioni internazionali e nelle grandi strutture societarie, ma anche negli appalti locali, nei progetti immobiliari, nei fondi sanitari, nelle sovvenzioni, nei permessi, nelle cooperazioni comunali, nei fondi regionali di sviluppo, nelle fondazioni, nel finanziamento dello sport e della cultura, nelle attività portuali, nei nodi logistici e nelle catene immobiliari. La vostra organizzazione può disporre di politiche nazionali e acquistare consulenza internazionale, pur restando vulnerabile localmente perché i segnali non vi sono riconosciuti, manca la capacità, le dipendenze sono troppo strette o la prossimità amministrativa mina la distanza critica. La gestione integrata dei rischi di criminalità finanziaria deve quindi organizzare la capacità locale di protezione: formazione, canali di segnalazione, escalation verso l’expertise centrale, supporto forense, poteri chiari, protezione contro le pressioni, standard contrattuali e valutazione giuridica accessibile. Ciò vale in particolare per gli organismi pubblici e le istituzioni finanziate con fondi pubblici, dove l’intreccio locale può essere al tempo stesso utile e rischioso. L’amministratore locale conosce l’imprenditore, il capo progetto conosce il fornitore, la fondazione conosce il consulente per le sovvenzioni, il supervisore conosce il settore, e tutti conoscono soprattutto i vantaggi di non interrogarsi troppo duramente a vicenda. È umano. È anche precisamente per questa ragione che la gestione integrata dei rischi di criminalità finanziaria è necessaria. Il governo dell’integrità senza acutezza locale è una fantasia da sede centrale.
Rischio, continuità e resilienza come compito di governance integrata
La gestione integrata dei rischi di criminalità finanziaria deve trattare rischio, continuità e resilienza come un unico compito di governance integrata, non come tre fascicoli separati che si trovano per caso sullo stesso tavolo di riunione. I rischi di criminalità finanziaria possono incidere direttamente sulla continuità della vostra organizzazione. I rapporti bancari possono essere limitati o risolti, le licenze possono essere messe sotto pressione, le transazioni possono essere congelate, le parti contrattuali possono prendere le distanze, gli amministratori possono dimettersi, gli assicuratori possono contestare la copertura, i finanziatori possono invocare covenant, i regolatori possono imporre misure di remediation e i dipendenti possono perdere fiducia. In questo scenario, serve a poco che la vostra organizzazione possa indicare un registro dei rischi in cui il rischio interessato era accuratamente inserito in giallo con un titolare. La continuità esige che la gestione integrata dei rischi di criminalità finanziaria venga tradotta in processi resistenti alla crisi: chi prende le decisioni, chi gestisce i fatti, chi comunica con le autorità, chi protegge il privilegio legale, chi mantiene i contatti bancari, chi decide gli stop alle transazioni, chi dirige le indagini interne, chi riferisce agli amministratori non esecutivi, chi protegge i segnalanti, chi valuta le misure di diritto del lavoro, e chi impedisce ai dirigenti in preda al panico di dire più di quanto sappiano. Un sistema di gestione dei rischi che appare elegante in tempi normali, ma sotto pressione diventa immediatamente dipendente dall’improvvisazione, non è un sistema. È un oggetto di scena.
La resilienza richiede poi che la vostra organizzazione guardi oltre la limitazione dei danni in un singolo fascicolo. La gestione integrata dei rischi di criminalità finanziaria deve apprendere dagli incidenti, ma apprendere davvero, non recitare il teatro istituzionale in cui vengono formulate raccomandazioni, nominati responsabili d’azione, monitorate scadenze e nessuno pone la domanda più profonda sul perché il sistema non abbia visto prima il problema. Resilienza significa che la vostra organizzazione è in grado di riconoscere schemi: eccezioni ricorrenti, punti di pressione commerciale, processi Paese deboli, controlli inefficaci, override del management, scarsa qualità dei dati, responsabilità frammentate, problemi culturali, paura dell’escalation, dipendenza da poche persone chiave o un consiglio di direzione che vuole soprattutto essere sorpreso da buone notizie. La gestione integrata dei rischi di criminalità finanziaria deve convertire questi schemi in correzioni strutturali. Ciò può significare uscire da mercati, porre fine a relazioni, adattare prodotti, restringere poteri, rivedere modelli di bonus, rafforzare controlli, sostituire dirigenti o riorganizzare linee di supervisione. È tentante presentare la resilienza come capacità di ripristino, ma in questo ambito la resilienza è anzitutto la capacità di sopportare conseguenze spiacevoli. Chi, dopo un incidente, si limita a rafforzare i processi lasciando intatti gli incentivi che hanno provocato l’incidente sceglie la ripetizione con una documentazione migliore.
Il compito di governance integrata esige infine anche che la vostra organizzazione formuli onestamente la propria propensione al rischio. Molte organizzazioni fingono di avere una bassa tolleranza verso la criminalità finanziaria. Suona bene e non costa nulla. La vera domanda è che cosa significhi quella bassa tolleranza quando un cliente redditizio fornisce informazioni incomplete, un partner strategico è politicamente sensibile, un segnale di sanzioni ritarda una consegna, una segnalazione interna tocca un dirigente senior, una gara contiene contatti dubbi o un intermediario straniero spiega che “senza facilitation non si muove nulla”. La gestione integrata dei rischi di criminalità finanziaria deve rendere operativa la propensione al rischio traducendola in limiti rigidi e regole decisionali. Quali rischi sono inaccettabili indipendentemente dal valore commerciale? Quali circostanze richiedono l’approvazione del consiglio? Quali segnali comportano una sospensione immediata? Quali informazioni minime devono essere disponibili? Quali relazioni vengono risolte in caso di rifiuto della trasparenza? Quali titolari di funzioni interne non possono autorizzare eccezioni a causa di conflitti di interesse? Senza regole di questo tipo, la propensione al rischio diventa una figura retorica. E le figure retoriche si difendono male in un fascicolo d’indagine. La vostra organizzazione deve comprendere che la continuità non si protegge rinominando gentilmente i rischi, ma dicendo no in tempo a relazioni, transazioni e condotte che in seguito possono minare la ragion d’essere stessa dell’organizzazione. L’organizzazione più resiliente non è quella che annuncia un programma di remediation dopo ogni scandalo, ma quella che possiede abbastanza disciplina da rendere lo scandalo meno probabile.
Entità critiche, obblighi di resilienza e ulteriore sviluppo del governo dell’integrità
La gestione integrata dei rischi di criminalità finanziaria acquista un peso ulteriore quando la vostra organizzazione è qualificata come entità critica, lavora per entità critiche, ne dipende o è ad esse collegata. In settori come servizi finanziari, energia, trasporti, sanità, infrastruttura digitale, acqua potabile, pubblica amministrazione, attività legate alla difesa, porti, telecomunicazioni, approvvigionamento alimentare e altri ambiti vitali, la criminalità finanziaria non è semplicemente un problema interno di integrità. Può incidere sulla continuità sociale, sulla sicurezza nazionale, sull’ordine pubblico, sulle dipendenze strategiche e sulla fiducia nei servizi essenziali. Ciò significa che la vostra organizzazione non può permettersi il lusso di affrontare la gestione integrata dei rischi di criminalità finanziaria come una questione reputazionale soprattutto fastidiosa per la comunicazione e le relazioni con gli investitori. L’asticella è più alta perché il danno è maggiore. La corruzione in una filiera critica può incidere sulla sicurezza dell’approvvigionamento. L’elusione delle sanzioni tramite un fornitore vitale può avere conseguenze geopolitiche. I rischi di riciclaggio nell’infrastruttura finanziaria possono rafforzare reti criminali. La frode relativa a fondi pubblici sanitari o infrastrutturali può danneggiare la legittimità dei servizi essenziali. Un’entità critica che tratta il governo dell’integrità come un ciclo annuale di compliance mostra soprattutto di comprendere meglio la parola “critico” come aggettivo che come responsabilità.
Gli obblighi di resilienza costringono la vostra organizzazione a collegare la gestione integrata dei rischi di criminalità finanziaria alla resilienza operativa, alla sicurezza delle informazioni, alla pianificazione della continuità, alla gestione dei fornitori, alla risposta alle crisi, alla responsabilità degli organi di direzione e alla supervisione. Non si tratta di un ampliamento burocratico, ma del necessario riconoscimento del fatto che i rischi di criminalità finanziaria entrano spesso attraverso le dipendenze. Un incidente cyber può facilitare una frode nei pagamenti. Un fornitore con strutture proprietarie occultate può introdurre un rischio di sanzioni. Un subappaltatore può utilizzare la corruzione per accedere a progetti critici. Una fuga di dati può incidere su un’indagine, sulla posizione probatoria o sugli obblighi di notifica. Un terzo vulnerabile può diventare l’anello debole di una catena venduta agli organi di governance come “strategicamente robusta”. La gestione integrata dei rischi di criminalità finanziaria deve quindi parlare il linguaggio della resilienza senza perdere la propria precisione giuridica. La vostra organizzazione deve sapere quali processi siano critici, quali flussi finanziari siano essenziali, quali terzi siano indispensabili, quali dati siano necessari per la rilevazione, quali autorità debbano essere informate, quali scenari siano stati esercitati e quali decisioni possano essere prese in situazione di crisi senza che tutti guardino prima le stesse cinque persone. Un programma di resilienza senza una componente di criminalità finanziaria è cieco all’abuso. Un programma di gestione integrata dei rischi di criminalità finanziaria senza una componente di resilienza è cieco alla perturbazione. Queste due forme di cecità si combinano in modo sorprendentemente efficace, ma solo nelle organizzazioni che amano spiegare dopo i fatti perché nessuno aveva visto l’insieme.
L’ulteriore sviluppo del governo dell’integrità richiede infine una cultura di governance meno docile e nettamente più tagliente. La vostra organizzazione non deve sviluppare ulteriormente la gestione integrata dei rischi di criminalità finanziaria semplicemente creando più policy, più formazione, più dashboard e più forum di governance. Di solito ce ne sono già abbastanza per annegare dopo i fatti ogni decisione debole nella carta. L’ulteriore sviluppo significa che il governo dell’integrità diventa più intelligente, più indipendente, più forense e più strategico. L’analisi dei dati deve essere utilizzata per rilevare scostamenti, non per produrre falsa certezza. L’intelligenza artificiale e l’automazione possono sostenere il processo, ma non devono diventare una nuova scusa per l’incomprensione quando il sistema manca qualcosa. Le indagini interne devono essere concepite professionalmente, non eseguite come una ricerca diretta dal management di una conclusione digeribile. La supervisione deve porre domande di follow-up su fascicoli concreti, non annuire soddisfatta davanti a modelli che sembrano maturi. Gli amministratori devono comprendere che la gestione integrata dei rischi di criminalità finanziaria non ostacola la loro libertà d’azione, ma li protegge dalle conseguenze di una libertà male informata. La prossima fase del governo dell’integrità non è dunque più gentile, più morbida o più cosmetica. È più dura, più orientata alla prova e meno impressionata dalle immagini istituzionali che le organizzazioni hanno di sé stesse. La vostra organizzazione deve imparare che l’integrità non è una dichiarazione formulata quando le cose vanno male, ma una disciplina operativa che deve essere visibile prima che le cose vadano male. Chi non lo comprende riceverà comunque, alla fine, una formazione. Di solito da parte di un’autorità di vigilanza, di un pubblico ministero, di un giornalista investigativo, di una banca che se ne va, o di un’e-mail interna che qualcuno aveva dimenticato di cancellare.
