Si salvi chi può di Indubbiamente gli eventi dell'11 settembre 2001 e le successive reazioni, soprattutto degli Stati Uniti, destinate a proseguire nel tempo, hanno profondamente modificato il quadro di rischio terroristico mondiale, portando alle soglie di casa nostra pericoli a cui non eravamo più abituati dopo la sconfitta dell'organizzazione brigatista. Le scelte politiche italiane nei rapporti con il mondo arabo ci avevano infatti in parte preservati da eventi terroristici di provenienza mediorientale negli anni passati, mentre la scelta di schieramento sul fronte occidentale a fianco degli Stati Uniti e la diversa e più accentuata virulenza della minaccia terroristica islamica non ci consentono di considerare il nostro territorio esente da rischi diretti, come peraltro evidenziato dalle indagini di polizia giudiziaria. A questi rischi vanno ad aggiungersi quelli derivanti dalla violenza espressa dalla componente radicale del movimento antiglobalizzazione, sia sotto forma di attacchi fisici sia attraverso atti di cyberterrorismo. Gli eventi più recenti hanno dimostrato come il terrorismo brigatista possa predisporsi a nuovi interventi offensivi, calibrati ora contro obiettivi simbolo dei principali Paesi partecipanti all'operazione Enduring Freedom (contro Al Qaeda), tra cui l'Italia, ora contro espressioni e personalità del mondo politico, sindacale e imprenditoriale maggiormente impegnate nelle riforme economico-sociali e del mercato del lavoro. Più rischiosi, per quanto riguarda il sistema bancario, appaiono essere gli ambienti dell'anarchismo insurrezionalista, dotati di uno schema operativo improntato allo spontaneismo e all'azione diretta. Come in occasione del vertice G8 di Genova, nel corso del quale alcune agenzie sono state volutamente oggetto di violenza distruttiva. Le azioni dinamitarde messe in atto in Grecia e Spagna dimostrano l'intenzione di costituire una sorta di fronte sopranazionale la cui evoluzione potrebbe essere favorita dall'evolversi della situazione internazionale. Con un conseguente impulso alle iniziative dell'area insurrezionalista, tradizionalmente attestata su posizioni di acceso antimilitarismo e portavoce di una propaganda che fa temere atti dimostrativi contro le Forze dell'ordine, il sistema giudiziario e penitenziario, nonché obiettivi simbolo del sistema occidentale, come le multinazionali, le grandi opere di modernizzazione con impatto sull'ambiente e le banche. A dimostrazione di questa tendenza gli atti di violenza messi in atto nel corso del vertice G8 di Genova, l'animosità nei confronti delle banche espressa in occasione della marcia del 13 aprile 2002 a Brescia contro la fiera delle armi, concretizzatasi nel meno violento "lavaggio" delle vetrine da parte del gruppo anarchico "Coop. Banche sporche", nonché la rivendicazione del recente attentato dinamitardo perpetrato ai danni della Questura di Genova che contiene l'indicazione di attacchi e distruzione alle banche. L'attivismo evidenziato dai gruppi anarchici in occasione del vertice G8 appare peraltro analogo a quello dell'area antagonista e a quello della destra extraparlamentare per i quali va tenuto presente un rischio di riproposizione di atti radicali anche contro organismi finanziari internazionali finalizzati a conseguire maggiori consensi e visibilità nel filone della contestazione antiglobalizzazione. Analoga contestazione antagonista è da aspettarsi sul fronte delle reti telematiche sotto forma di dissenso antimilitarista e antiamericano che, oltre alle semplici azioni di propaganda, può degenerare anche in forme di cyberterrorismo con possibili azioni terroristiche informatiche ai danni di reti di rilievo strategico. Altra area di possibile rischio deriva dalla recrudescenza del terrorismo internazionale, di matrice islamica e non. IL PIANO AMERICANO A seguito degli eventi dell'11 settembre, le Autorità americane hanno analizzato gli effetti conseguenti sul sistema monetario e finanziario internazionale, al fine di rafforzare le capacità del sistema di operare in situazioni di elevata criticità. Ne sono derivate precise linee di intervento: • revisione dei piani di emergenza; • nuovi approcci ai piani informatici di disaster recovery, basati sulla duplicazione dei centri elettronici e sulla presenza eventuale di un terzo livello di back up; • intensificazione dei test delle misure di emergenza; • ampliamento del numero dei fornitori, in particolare dei servizi finanziari, a cui fare ricorso in caso di emergenza, • analisi e definizione di soluzioni tecnico-organizzative atte a ridurre la dipendenza dei sistemi critici da gruppi ristretti. Ovviamente anche in sede internazionale sono in corso approfondimenti sull'impatto di tali eventi sul sistema finanziario per cui anche la Banca d'Italia ha avviato una approfondita analisi finalizzata a individuare i punti di debolezza dei principali operatori nazionali. Anche lo sviluppo dell'accordo di Basilea 2 impone un adeguato monitoraggio di tutti i rischi operativi, compresi quelli di natura "catastrofica", nel caso di adozione del più avanzato e meno costoso metodo di misurazione interna. Ma di quali rischi stiamo parlando? In sostanza ci si riferisce a rischi, come detto, di natura catastrofica, che possono causare effetti esiziali per l'attività dell'azienda come i disastri naturali, gli attacchi di natura umana di vario genere come i vandalismi, il sabotaggio, la contaminazione, i computer crime, l'interruzione del funzionamento delle apparecchiature e delle forniture, i problemi di salute o comunque relativi alle risorse umane e tanti altri. LA BUSINESS CONTINUITY E per fronteggiare questi rischi si tratta di preparare il piano di business continuity, inteso come la predisposizione delle misure organizzative, tecnologiche e procedurali tese ad annullare o mitigare i danni derivanti da tali rischi. Purtroppo, data la particolare natura dell'attività bancaria, la predisposizione di tali piani non è affatto agevole come potrebbe forse esserlo nel caso di un sito industriale e i danni potenziali potrebbero di fatto distruggere l'intera azienda bancaria. Come, quindi, procedere? Bisogna innanzitutto individuare gli ambiti di intervento e cioè le funzioni di business più vulnerabili alla minaccia e tra queste la finanza, l'estero, l'information technology e le lavorazioni di back office. Si deve quindi procedere ad analizzare l'impatto degli eventi possibili, procedendo all'elaborazione di strategie per garantire la continuità operativa anche in condizioni di elevata criticità, raccordandole con quelle messe in atto dagli altri operatori del sistema. Vanno quindi redatti i singoli piani di continuità congiuntamente alle specifiche norme interne. Si dovrà quindi procedere al collaudo e ai test dei piani di continuità, nonché alla divulgazione delle norme e all'erogazione delle fondamentali attività di formazione di tutto il personale coinvolto. Fondamentali sono la manutenzione dei piani e il loro continuo test perché possano attivarsi in forma quasi automatica nel caso di concretizzazione della minaccia. Altrettanto fondamentale è il non considerare l'intera attività di business continuity come qualcosa di meramente tecnologico; se importanti sono gli strumenti informatici, in realtà le capacità di sopravvivenza delle aziende agli eventi catastrofici dipendono in gran parte dal fattore umano e ciò sia nella completezza dell'analisi dei rischi, sia nella capacità di individuazione di segnali premonitori e cioè la capacità di cogliere informazioni che trasformano la minaccia ipotetica in probabilità, sapendo separare i segnali preannuncianti le crisi da quelli irrilevanti attraverso un continuo costante monitoraggio delle attività aziendali e del contesto in cui queste operano. Punto cruciale della pianificazione è poi la costituzione di un "crisis management" o "disaster room", inteso come gruppo di dirigenti in grado di operare in modo affiatato sapendo rispondere agli eventi ostili coordinando lo staff, prendendo tutte le decisioni necessarie nei confronti dei clienti, delle istituzioni, dei media, disponendo di tutte le informazioni necessarie attraverso siti e linee telefoniche, telematiche e satellitari di emergenza. Si apre qui un'attività che andrà sempre più sviluppandosi in futuro portando a perdere la tendenza italica all'improvvisazione e ad adottare la tipica pianificazione di stampo anglosassone, che vedrà fondamentale protagonista la funzione di security la cui attitudine naturale alla gestione delle emergenze potrà mettere le proprie risorse, metodologie e strutture al servizio di nuovi strategici compiti aziendali nel contrasto di rischi più ampi. Vedrete che del tema torneremo a dibattere a lungo. (Ndr. Ripreso dalla rivista Bancaforte maggio-giugno 2003) |