last issue
Abbonati alla rivista!

RISK MANAGEMENT

Da eccezione a norma: come prepararsi per affrontare la crisi di domani

Gabriele Genuino

Novembre 2025

Da eccezione a norma: come prepararsi per affrontare la crisi di domani

 

Negli anni della Guerra Fredda, ossia un periodo non così lontano nel tempo e ancora ben fisso nella memoria di molti di noi, la crisi aziendale – soprattutto reputazionale o di sicurezza – era considerata un’eccezione rara, un evento straordinario da gestire e lasciarsi rapidamente alle spalle. È solo con l’inizio degli anni Novanta e i primi anni Duemila che l’approccio inizia a cambiare, con la creazione, soprattutto presso grandi multinazionali che operavano in settori ad alto rischio geopolitico, di sistemi di risk management integrato e Business Continuity Management (BCM). Negli anni seguenti, oltre alla minaccia del terrorismo internazionale, quattro sono gli elementi principali che hanno portato a una progressiva trasformazione, ancora in corso, nel modo di vedere la crisi: l’intensificarsi degli attacchi cibernetici, l’avvento dei social media, la pandemia COVID-19 e il ritorno della competizione tra grandi potenze.

Crescita della minaccia cyber

Negli ultimi anni, la minaccia cyber è diventata sempre più pervasiva, sofisticata e dannosa. Il secondo trimestre del 2025 ha già visto un incremento degli attacchi cyber YoY del 21% e del 58% rispetto a due anni fa. Solo in Europa, i danni per le aziende si contano in centinaia di miliardi di euro, mentre i costi medi dei data breach continuano a salire. Il danno, come diversi casi stanno a dimostrare, non è solo direttamente economico, ma anche – e forse soprattutto – reputazionale. Questa intensificazione della minaccia cyber sta dunque imponendo alle aziende di integrare sistemi di prevenzione, monitoraggio incessante, risposta rapida e continuità operativa, favorendo la trasformazione verso la concezione della crisi non come eccezione, ma come norma.

L’avvento dei social media

L’avvento dei social media non ha solo reso la nostra vita più frenetica, ma ha anche accelerato drasticamente il ciclo della crisi. Mentre in precedenza era più agevole controllare la diffusione di una situazione dannosa, oggi è estremamente difficile farlo. Dal momento in cui si verifica un evento negativo, infatti, la diffusione dello stesso è istantanea, con messaggi che rimbalzano sui social e, soprattutto, spesso si arricchiscono di informazioni parzialmente o interamente false che vanno a ledere ancora di più l’immagine dell’azienda. Se i social sono uno strumento imprescindibile per le aziende e sono sempre più spesso integrati nell’ambito della comunicazione di emergenza, è tuttavia indispensabile adottare in anticipo tutte le possibili contromisure per contenere il danno che deriverebbe dalla circolazione di notizie negative – vere o false che siano – sul conto dell’azienda.

La pandemia COVID-19

COVID-19 ha sicuramente rappresentato il più grande shock globale recente che ha costretto ristrutturazioni su larga scala nelle pratiche organizzative, nelle catene di approvvigionamento, nella governance e nella gestione delle risorse umane. Soprattutto, la pandemia ha mostrato la differenza fondamentale tra un approccio alla gestione della crisi come norma e il vecchio approccio emergenziale alla stessa. Secondo uno studio apparso quest’anno sul Journal of Organizational Change Management, le aziende più agili e rapide nello spostare le loro operazioni online e nell’introdurre adattamenti tecnologici e innovazioni sociali non solo hanno resistito all’impatto, ma sono anche diventate più resilienti e quindi più capaci di sopportare future crisi, anche se protratte nel tempo e con estensione globale.

Il ritorno della competizione tra potenze

In merito a crisi lunghe e dalla natura globale, l’evoluzione in corso nel sistema internazionale è l’elemento finale che forzerà le aziende ad assumere un diverso approccio al momento di crisi. Se fino all’invasione russa dell’Ucraina del 2022 ancora si poteva fingere che il mondo non stesse tornando alla sua configurazione classica, da quel momento è divenuto chiaro che i prossimi decenni saranno nuovamente segnati dalla competizione tra potenze. Questo significa, per le aziende, un incremento deciso dell’instabilità: dazi, controllo dei flussi di investimento e materie prime, dirottamento di fondi statali verso la difesa, attacchi cyber e cyberspionaggio, guerra ibrida e non. Le aziende dovranno rapidamente adattarsi al nuovo mondo, poiché i prossimi decenni non vedranno né il ritorno alle semplici regolarità della Guerra Fredda né al periodo di relativa stabilità che ha segnato i due decenni successivi al crollo del Muro di Berlino.

 

Come affrontare la crisi come norma

Se nel resto dell’Occidente questa visione della crisi come norma invece che come eccezione sta progressivamente diventando parte diffusa della cultura aziendale, in Italia tale concetto ancora fatica a penetrare e ciò è un pericolo soprattutto per quelle aziende che si trovano tra le PMI e le grandi compagnie multinazionali (che, invece, anche in Italia hanno ormai essenzialmente adottato standard internazionali): la percezione del rischio, in sostanza, rimane spesso ancorata a vecchie logiche e non è ritenuto indispensabile passare da una mentalità reattiva a una proattiva, in cui la gestione delle crisi è integrata nella strategia, nei processi e nella cultura organizzativa aziendale.

Alcuni dati raccolti da PwC Italia ben illustrano la situazione: nel nostro Paese solo il 58% delle aziende ha al suo interno una funzione di risk management. Il dato crolla quando si analizzano le non-quotate, di cui solo il 41% ha tale funzione, e le aziende sotto i 100 milioni di fatturato, dove il dato scende ulteriormente al 37%. Inoltre, il 53% delle imprese non ha definito espressamente la propria propensione al rischio e il 76% di queste non ha in programma di farlo.

Come già rilevato, in un mondo dove il numero, la natura e la pericolosità delle minacce sono in costante aumento, e in cui la crisi è diventata la norma, non è più possibile per le aziende continuare a relazionarsi con il rischio utilizzando le logiche del passato. Questo anche perché la crisi funziona semplicemente come un acceleratore di realtà: non crea nuovi comportamenti, ma rende visibili, e spesso esplosive, le eventuali fragilità preesistenti nell’organizzazione. La risposta di un’azienda a una situazione di stress dipende dal modo in cui è stata pianificata la gestione del rischio e, quindi, dalla cultura aziendale sottostante. È proprio nel momento di crisi che si mettono alla prova resilienza e capacità di adattamento: se è stato fatto un solido lavoro pregresso su gestione del rischio, se la crisi è stata interiorizzata come condizione normale e non eccezionale e se, di conseguenza, la struttura dell’azienda è pronta allo shock, allora il momento di crisi può perfino trasformarsi in un’occasione di rafforzamento; in caso contrario, i danni saranno ingenti e potrebbero arrivare a compromettere la sopravvivenza stessa dell’azienda.

 

I cinque pilastri della resilienza

Accettata la trasformazione del momento di crisi da eccezione a norma, cinque sono i pilastri principali su cui costruire una cultura aziendale capace di resistere agli shock e rispondere rapidamente e con successo al manifestarsi della crisi.

1. Integrare la gestione del rischio nella strategia

Come visto, troppo spesso la gestione del rischio è ancora considerata come una funzione marginale o puramente tecnica, delegata a un ufficio specifico spesso isolato dal processo decisionale. In realtà, il rischio deve essere parte della pianificazione strategica. Ogni scelta rilevante fatta dall’azienda necessita una valutazione strutturata di minacce e opportunità. Inoltre, il top management deve essere direttamente coinvolto nella gestione del rischio, in modo da affrontare vulnerabilità presenti nell’organizzazione e garantire coerenza tra gli obiettivi di crescita dell’azienda e la necessità di mantenere un ambiente resiliente.

2. Definire chiaramente la propensione al rischio

Più della metà delle aziende italiane non ha ancora formalizzato il livello di rischio che sono disposte a sostenere in tutti i principali ambiti della gestione aziendale; molte altre non l’hanno stabilito in modo olistico. Questo comporta una elevata possibilità di decisioni incoerenti e risposte improvvisate durante le crisi. Definire la propensione al rischio (risk appetite) significa fissare regole chiare per i vari ambiti in cui opera l’azienda: finanziario, reputazionale, operativo, cyber, legale, trasferta. Conoscere la propria soglia di tolleranza in ogni circostanza permette di reagire con maggiore lucidità e strategia di fronte agli imprevisti, evitando di oscillare pericolosamente tra sottovalutazione e panico.

3. Promuovere la cultura dell’integrità

Nel momento di crisi la credibilità dell’azienda viene messa sotto scacco. Il rischio maggiore, per via delle diverse variabili sopra citate, è riuscire a contenere il danno economico immediato ma non quello reputazionale; la reputazione, tuttavia, è il bene più prezioso per un’azienda. È dunque fondamentale gestire le crisi con trasparenza e dimostrare che i valori dichiarati guidano realmente le scelte. Chi agisce in modo opaco rischia di subire danni seri di lungo periodo anche se la crisi operativa è superata. Esempio da manuale resta quello di Johnson & Johnson con il cosiddetto caso Tylenol nel 1982, quando alcune confezioni di Tylenol Extra Strength, analgesico a base di paracetamolo prodotto dall’azienda americana, furono manomesse, portando alla morte di sette persone. La trasparenza radicale, la rapidità nell’affrontare la crisi e l’allineamento con i propri principi trasformarono un disastro in un caso scuola di leadership responsabile e permisero a Johnson & Johnson di riprendersi rapidamente dalla crisi. Al contrario, esempi italiani recenti mostrano come una risposta alla crisi opaca provochi un incalcolabile danno reputazionale.

4. Allenare l’organizzazione con simulazioni ed esercitazioni

Pianificare è importante, ma spesso non basta. Senza esercitazioni le procedure restano su carta e rischiano di non diventare mai parte della cultura operativa. Condurre simulazioni periodiche di scenari di crisi consente di testare la prontezza dell’azienda, l’abilità del comitato di crisi interfunzionale di rispondere all’imprevisto e la capacità di coordinamento tra diversi reparti aziendali. Un’azienda che ha già vissuto scenari simulati reagirà con maggiore sicurezza e prontezza a un evento reale. Inoltre, è un ottimo modo per rafforzare lo spirito di gruppo!

5. Creare un comitato di crisi interfunzionale

L’ultimo elemento è di cruciale importanza data la natura della crisi. Essa, infatti, non è mai settoriale ma colpisce trasversalmente l’azienda. Inoltre, nessuna funzione aziendale, da sola, è oggi in grado di fronteggiare una crisi complessa. Per questo motivo è necessario costituire in anticipo un comitato di crisi che raccolga rappresentanti di tutte le funzioni chiave: direzione generale, risk management, comunicazione, legale, IT, risorse umane, operations, finanza. Aspetto importante è che il comitato deve essere legittimato a prendere decisioni rapide, integrate e coordinate, evitando frammentazione e contraddizioni. La possibilità per lo stesso di essere efficace nel momento della crisi dipende dal lavoro svolto nella fase antecedente alla stessa, ossia quando vengono definite procedure, catene di comando e protocolli di intervento. Chi oggi affronta l’emergenza con una governance integrata e coerente rafforza reputazione, fiducia e capacità competitiva. Il comitato di crisi interfunzionale è oggi l’architrave che permette alle imprese di evitare il caos decisionale e mantenere integrità, velocità e prospettiva.

 

IN CONCLUSIONE, considerare la crisi come norma anziché come eccezione significa riconoscere che l’emergenza farà sempre più parte della gestione ordinaria dell’azienda. Non si tratta più di chiedersi “se” arriverà la prossima crisi, ma “quanto rapidamente”. Il periodo pandemico ha dimostrato che una crisi può accompagnare l’impresa per mesi o anni, trasformandosi in un fattore di instabilità prolungata. Lo stesso si prospetta a livello internazionale, dove l’aumento delle tensioni geopolitiche genererà incertezza economica diffusa e inciderà in misura crescente sulla continuità operativa, sulle catene del valore e sulla pianificazione strategica. In questo contesto, le aziende che oggi investono nella governance della crisi saranno quelle percepite domani come affidabili, trasparenti e resilienti. Per farlo, occorre iniziare dalla visione della crisi come norma e, conseguentemente, trasformare processi decisionali e cultura aziendale in modo da rendere l’organizzazione capace non solo di resistere, ma di adattarsi e rafforzarsi di fronte a crisi che saranno sempre più frequenti e durature.

 

Gabriele Genuino, Senior Security Manager, Cube.

Commenta scrivi/Scopri i commenti

Condividi le tue opinioni su Hbr Italia

Caratteri rimanenti: 400

HBR Italia

Segreteria editoriale
Piazza Borromeo 5 - 20123 Milano
mail info@hbritalia.it
tel 02 36599235
(lun/ven 9-18)

1474881040398 Linkedin
1474880983851 Facebook
1474881026944 Twitter
2021_09_14/instagram-1631632379443 Instagram
2020_09_03/1590014008391-1599142057755 RSS
1470066093958

Copyright © Strategiqs Edizioni

Powered by Miles 33