Non solo cybersecurity. Oggi le aziende devono affrontare molti rischi: “Da quelli legati alla corporate social responsability alla sostenibilità, dalla reputation ai cambiamenti sociali. Rischi che vanno affrontati unendo competenze nuove e diverse”. Alessandro De Felice ne è convinto: “Ci saranno sempre dei rischi per le aziende, l’importante non è evitarli ma assumerli in maniera consapevole” dice il Presidente di Anra, Associazione nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali.
Riconfermato a questa carica a marzo, De Felice vede il futuro roseo. E confida nel fatto che dai rischi possano nascere anche delle possibilità per le aziende. Settore assicurativo compreso. “Basta seguire il principio per cui non è giusta un’azienda dove non si prendono rischi ma neanche una dove se ne prendono troppi” dice. E ci spiega a quali funzioni sono chiamati oggi i risk manager e quali sono gli scenari nel mondo delle assicurazioni.
Presidente, partiamo dai modelli organizzativi: qual è la posizione del risk manager all’interno dell’azienda?
Dipende dalle dimensioni e dal modello organizzativo dell’azienda: nelle grandi società quotate in Borsa c’è un sistema di governance and risk compliance che prevede l’accentramento delle politiche in ambito di trasparenza, di gestione dell’azienda in termini di deleghe delle procedure organizzative e di analisi dei rischi in capo al consiglio di amministrazione. In questo caso il risk manager ha un rapporto diretto con il consiglio di amministrazione o con un comitato ristretto all’interno di questo, il cosiddetto comitato del controllo rischi. Dal punto di vista organizzativo, dunque, il risk manager può essere una persona dello staff dell’ad, oppure, in altri casi, un membro dell’area amministrazione, finanza e controllo o, ancora, dell’area legal del gruppo. Nelle aziende più piccole e non quotate, invece, c’è una sezione di risk management di solito inserita nell’area amministrazione, finanza e controllo, legal ma anche nella sezione operations: l’inserimento di tale figura nelle diverse aree dipende da cosa fa l’azienda, da come è organizzata e dalle sue funzioni. Ci sono, poi, aziende in cui professionisti impegnati in determinati mansioni rivestono contemporaneamente il ruolo di risk manager. La tendenza degli ultimi anni, però, è la progressiva crescita della figura del risk manager come consulente: ci sono aziende piccole che, proprio a causa delle dimensioni, non riescono a giustificare una persona interna dedicata alla gestione dei rischi e affidano questo ruolo in outsourcing a professionisti esterni.
Come si relaziona il risk manager con tutto ciò che riguarda l’innovazione all’intero dell’azienda?
Il risk manager si relaziona con tutte le funzioni all’interno dell’azienda: il suo compito è proprio quello di essere un interlocutore trasversale a tutte le aree dell’azienda per percepire quelle che possono essere le dinamiche di rischio da valutare, quantificare e gestire. Nell’ambito innovazione il suo ruolo è ancora più delicato perché l’innovazione comporta dei rischi che non sono valutabili in base alla storicità della fenomenologia. A lui tocca il compito di verificare che un prodotto innovativo venga concepito avendo in mente il cosiddetto principio del risk-based thinking previsto nella norma ISO 9001:2015.
Ciò che è nuovo comporta anche nuovi rischi per le aziende. In primis c’è la cybersecurity. Quali sono gli altri nuovi rischi da temere?
La cybersecurity è il rischio più famoso perché è rimbalzato sulla stampa finendo anche sui giornali ‘modaioli’. Un aspetto sicuramente positivo, questo, perché accende i riflettori sul fatto che esistono dei rischi ma anche delle metodologie per poterli valutare. Il cyber, però, non può essere considerato come rischio a sé stante o come unica materia dell’IT o dell’IT security, ma è un concetto che va affrontato in una cultura del rischio. Questo significa valutare anche comportamenti e percezioni delle persone che sono sempre la prima causa di debolezza di un sistema. Ci sono poi altri nuovi rischi che oggi un’azienda deve valutare: c’è innanzitutto un rischio legato alla sostenibilità delle aziende collegato ai cambiamenti climatici e all’impatto dell’azienda stessa sull’ambiente; c’è una corporate social responsability, cioè una responsabilità sociale di impresa, che l’azienda deve valutare per evitare determinati rischi. Poi non dimentichiamo i cambiamenti sociali: viviamo in un mondo con dinamiche e velocità di cambiamento mai registrate prima che possono modificare in maniera rilevante abitudini e comportamenti dei consumatori, rendendo improvvisamente un modello di business o il prodotto di un’azienda non più valido sul mercato, e questo è un rischio strategico di cui le aziende devono preoccuparsi. Infine ci sono i rischi reputazionali: le fake news e i fenomeni di suggestione di massa viaggiano attraverso la catena dei social network con la possibilità di distruggere la reputazione di un’azienda o di un marchio in pochissimo tempo.
La cybersecurity, però, può essere anche un’opportunità per le aziende che offrono servizi mirati nel settore. Che cosa ne pensa?
Il mercato assicurativo oggi offre delle soluzioni alla cybersecurity. C’è però un problema che riguarda la formazione: spesso sia i sottoscrittori delle compagnie di assicurazione sia gli intermediari non sono preparati sulla materia, non hanno né conoscenza tecnica né la capacità di integrare l’argomento in un sistema di governance & compliance oltre che di rischio. E questa è una pecca perché il cyber, come già detto, non può essere trattato come argomento a sé stante. Il risultato è che quello che gira sul mercato molto spesso è qualcosa non particolarmente idoneo alle necessità delle aziende. Esistono però delle punte di eccellenza e qui si può parlare di opportunità della cybersecurity per le aziende: sia alcuni assicuratori sia alcuni intermediari hanno professionisti che si sono specializzati sull’argomento e offrono un servizio personalizzato sull’analisi dei rischi, delle misure di difesa e piano di recovery e, solo a questo punto, anche proposte di assicurazione. Il tutto in modo integrato: questo ha valore aggiunto e questa dovrebbe essere la direzione verso cui un’azienda dovrebbe andare.
Servono quindi skill specifiche sulla materia. Nello specifico, quali sono le competenze necessarie?
Più che le singole competenze, la cosa davvero importante è integrare le varie skill: alcuni assicuratori e alcuni intermediari stanno già integrando le proprie funzioni, cioè stanno unendo specialisti di IoT security con business continuity manager proprio per offrire un servizio completo. E questa è una proposta che stanno avanzando anche intermediari atipici, come ad esempio società di cybersecurity che offrono anche copertura assicurativa. Questa è la soluzione migliore.
Invece per quanto riguarda l’applicazione della blockchain nelle assicurazioni, quali sono i vantaggi e quali i rischi?
La blockchain avrà un impatto positivo su tutto quello che è il back-office amministrativo. Immaginate un sistema in cui la certificazione di un dato o di una transazione non richiede un ente terzo certificatore perché è il sistema stesso che certifica con la sua immutabilità dei dati. In assicurazione si stanno sperimentando cose interessanti: ad esempio nell’area retail c’è l’implementazione degli smart contract, in particolare sulle polizze viaggi, in cui il sistema riesce a collegare portali delle compagnie aeree con gli aeroporti, certificare che un bagaglio è stato smarrito e automaticamente disporre l’indennizzo assicurativo senza alcun intervento né dell’assicurato né dell’assicuratore. Assicurazioni di questo tipo si stanno pensando per tutto il settore della domotica, per esempio per danni domestici, su garanzie di prodotti a largo consumo, di elettronica (lavatrici, frigoriferi ecc): in questi casi il collegamento tra smart contract, IoT, sensoristica e blockchain funziona perché c’è un meccanismo ripetitivo, ad esempio il caso in cui si rompe il frigorifero, viene chiamata l’assistenza e questa è assicurata.
Nel mondo industriale, l’applicazione di questi nuovi strumenti avviene in tutta la catena della logistica e per le coperture assicurative dei trasporti: immaginate, ad esempio, la merce che non arriva a destinazione o che arriva avariata. Alcune grandi aziende, infine, stanno pensando a blockchain e smart contract per la gestione del tracking su programmi internazionali in vari paesi.
I rischi? Solo uno: ancora oggi non abbiamo capito bene che cosa questi strumenti ci permettono di fare.
Quindi gli smart contract sono da temere perché non li conosciamo davvero?
Gli smart contract sono il classico esempio di innovazione e rischio di innovazione: nel momento in cui un contratto viene eseguito in maniera elettronica e in assenza di intervento umano è importante che l’algoritmo che sta alla sua base sia stato determinato in maniera security by design, cioè sia stato assolutamente pensato con la sicurezza di poterlo in ogni momento disattivare e tornare alla procedura manuale. Ci troviamo di fronte a un’innovazione di cui non conosciamo effettivamente tutti gli aspetti di criticità potenziali. Quindi, è il caso di dire: viva lo smart contract, ma fatto con attenzione e che abbia sempre un piano B e un piano di uscita nel caso in cui non dovesse funzionare. Smart contract e blockchain, poi, ci pongono di fronte a un problema di buco legislativo: nessuna legislazione al mondo è attrezzata a queste fattispecie, potrebbero mancare riferimenti giuridici da consultare nel momento in cui dovessimo avere un illecito contrattuale elettronico. C’è addirittura chi sta pensando all’introduzione della responsabilità civile e penale elettronica. La persona giuridica elettronica, dunque, è la nuova frontiera.