Cos'è la Gestione del Rischio Digitale?

La gestione del rischio è un tema ricorrente in tutte le discipline manageriali. I framework tradizionali — dalla gestione dei progetti e gestione dei servizi, alla governance IT e architettura aziendale — ne sottolineano costantemente l'importanza. Anche i framework Agile ne riconoscono il valore.

Essenzialmente, la gestione del rischio è (o meglio dovrebbe essere) un modo per affrontare l'incertezza. Tuttavia, in pratica, viene spesso applicata come un esercizio burocratico, seguendo ritualisticamente le procedure senza una corretta comprensione del loro scopo o impatto.

Una ragione di ciò è il pensiero magico (o quello che chiamiamo il "culto del cargo" della gestione del rischio): la convinzione che il rischio verrà gestito correttamente semplicemente applicando un insieme predeterminato di procedure.

Un'altra ragione è uno spostamento di scopo dal gestire effettivamente i rischi, al dimostrare che le attività prescritte di gestione del rischio sono state eseguite. In questo caso, il vero focus diventa la conformità: dimostrare che i controlli appropriati sono in atto per soddisfare i requisiti normativi e le politiche interne.

Di conseguenza, la gestione del rischio tende a mostrare una forte propensione verso la mitigazione delle minacce (e specialmente verso le minacce legate alla sicurezza), trascurando completamente la gestione delle opportunità. Tuttavia, nel business come nello sport, una squadra che si concentra solo sulla difesa e trascura l'attacco diventerà alla fine inefficace in entrambe.

La sfida più urgente che le aziende affrontano oggi è come navigare le continue ondate di disruption guidate da tecnologie all'avanguardia, come l'intelligenza artificiale, l'Internet of Things, blockchain, robotica e cloud computing. L'accelerazione tecnologica ha reso il mondo digitale VUCA: Volatile, Incerto, Complesso e Ambiguo. Di conseguenza, è cruciale spostare l'approccio allo sviluppo aziendale da una visione deterministica "se-allora-altrimenti" a una probabilistica "se-allora-forse", allineandosi più strettamente con la mentalità Agile che enfatizza l'adattabilità, la sperimentazione e l'apprendimento continuo.

La "Gestione del Rischio Digitale" è il processo continuo di identificazione, valutazione, prioritizzazione e trattamento dei rischi sia positivi che negativi, per ottimizzarne l'impatto sugli obiettivi dell'azienda. Una Gestione del Rischio Digitale efficace aiuta le aziende a prosperare in un panorama digitale sempre più ipercompetitivo.

È importante sottolineare che la Gestione del Rischio Digitale non è una rottura con la gestione tradizionale del rischio, ma piuttosto la sua evoluzione naturale in un contesto dove, come evidenziato nel DevOps Handbook, ogni organizzazione può essere vista come un'azienda tecnologica, indipendentemente dal settore in cui opera[i].

Molte innovazioni tecnologiche non nascono da invenzioni completamente nuove, ma dalla ricombinazione di idee e tecnologie preesistenti. Ad esempio, la tecnologia blockchain affonda le sue radici nell'integrazione del networking peer-to-peer, della crittografia e di una forma rivista della contabilità a partita doppia.

Allo stesso modo, l'intelligenza artificiale ha fatto progressi grazie alla convergenza di una maggiore capacità computazionale, dataset su larga scala e decenni di ricerca algoritmica; mentre il cloud computing è emerso dalla combinazione di virtualizzazione, sistemi distribuiti e connettività internet ad alta velocità.

Le discipline manageriali dovrebbero seguire lo stesso approccio, contestualizzando i loro principi consolidati alla luce delle nuove condizioni. Digital Risk Management (DRM) esemplifica questo approccio riconfigurando le pratiche tradizionali di gestione del rischio per affrontare la realtà digitale contemporanea. Nel contesto delle trasformazioni digitali in corso, il DRM può essere riconcettualizzato come comprendente i seguenti componenti.

Una definizione rigorosa dei concetti fondamentali del rischio è alla base di una gestione efficace del rischio. In un ambiente VUCA, emerge una nuova rilevanza per concetti del XX secolo come la probabilità epistemica (sviluppata dall'epistemologia e dalla teoria bayesiana).

Tali concetti affrontano la sfida fondamentale del ragionamento e del processo decisionale in condizioni di incertezza nei contesti digitali, dove ogni fenomeno si sviluppa da una configurazione unica e irripetibile di condizioni, forze e variabili in gioco — i cui effetti sono spesso non lineari e complessi da isolare.

Scomporre un rischio nelle sue componenti logiche costitutive e comprendere le loro interdipendenze consente una migliore osservazione, analisi e controllo di ciascuna, offrendo così maggiori opportunità per un intervento efficace.

Ogni rischio può essere inteso come una combinazione della probabilità di un evento e della sua entità di effetto (qualora si verifichi). Ad esempio, si consideri un'azienda che vuole entrare in un nuovo segmento di mercato e ha l'opportunità di soppiantare un concorrente già consolidato. Questa opportunità può essere concettualizzata come il prodotto della probabilità di successo e della sua entità di effetto (ovvero, l'estensione della quota di mercato conquistata).

La probabilità di raggiungere l'obiettivo, tuttavia, dipende da diversi sotto-fattori. Uno è il grado in cui il target è accessibile o protetto da barriere all'ingresso: per acquisire una migliore comprensione di questo aspetto, l'azienda può cercare di ottenere una conoscenza più approfondita dei clienti target. Un altro è la fiducia dell'azienda nell'avviare l'azione, basata su un business case che valuta benefici, costi e rischi (inclusi potenziali contrattacchi dei concorrenti).

Altri fattori includono la possibilità di cogliere i concorrenti di sorpresa (impedendo così azioni difensive) e le capacità e risorse relative mobilitate sia dall'azienda che dai suoi concorrenti.

Infine, si noti che l'effetto complessivo di catturare con successo un asset può superare il suo valore intrinseco: ad esempio, può anche migliorare la reputazione dell'azienda. I social network, in particolare, possono fungere da potenti amplificatori sia delle vittorie che delle sconfitte — come accade spesso nello sport, dove tifosi, media e attenzione virale amplificano rapidamente l'esito di una partita.

I controlli mirati sono specifici per ogni elemento della Decomposizione Concettuale del Rischio. Possono essere esercitati sia da attori che perseguono un'opportunità (cioè, cercano di superare gli ostacoli e ottenere accesso a un certo valore) sia da coloro che si difendono da una minaccia (cioè, cercano di evitare perdite o interruzioni).

In entrambi i casi, i controlli aiutano a rimodellare le probabilità e gli effetti potenziali degli scenari di rischio in evoluzione, trasformando la gestione del rischio in un processo dinamico e bidirezionale che assomiglia più a un gioco che a un meccanismo puramente difensivo.

Il processo di gestione del rischio comprende l'identificazione dei rischi, la loro valutazione qualitativa e quantitativa, e la pianificazione ed esecuzione iterativa delle risposte al rischio, che comportano l'implementazione di un insieme equilibrato di controlli basati su RCD. Durante tutto il processo, la comunicazione e la gestione delle assunzioni e informazioni relative al rischio vengono mantenute come attività continue, garantendo trasparenza e adattabilità.

La Gestione del Rischio Digitale può operare come processo autonomo a livello aziendale, nelle operazioni di business e in contesti dove vengono adottati approcci non-Agili. Allo stesso tempo, negli ambienti Agili, dovrebbe funzionare come tecnica complementare integrata all'interno dei framework esistenti.

Agile può essere considerato intrinsecamente orientato alla gestione del rischio, poiché riduce progressivamente l'incertezza iterazione dopo iterazione[i]. Pertanto, le metodologie iterative e incrementali (come Scrum o AgilePM3) possono incorporare DRM come livello integrativo.

Seguendo questo approccio, i Product Owner di Scrum dovrebbero identificare i rischi specificando i loro agenti e cause, gli eventi di rischio e i loro effetti sui beni; quindi stimarli e valutare il loro valore monetario per dare loro priorità insieme ad altri elementi del Product Backlog. Si dovrebbe dare priorità a un elemento del backlog che genererà un profitto garantito di un milione entro un anno, o a un'opportunità che ha il 50% di possibilità di produrre tre milioni nello stesso periodo?

Le tecniche tradizionali, come le simulazioni Monte Carlo, possono essere utilizzate per fornire stime accurate della probabilità e dell'effetto di ciascun elemento dell'RCD. Un Albero Decisionale può aiutare il Product Owner a ottimizzare l'ordine degli elementi nel Product Backlog tenendo conto della natura non lineare del valore.

Inoltre, proprio come il refinement del backlog scompone user story grossolane in altre più fini, i rischi possono essere scomposti nelle loro molteplici cause utilizzando i Diagrammi a Lisca di Pesce, consentendo così il rafforzamento o la mitigazione mirati di ciascuna. Se sappiamo quale farfalla in Brasile causerà un tornado in Texas, possiamo facilmente prenderla e inchiodarla al muro, evitando così il rischio con una spesa molto piccola.

Durante ogni sprint, gli sviluppatori possono pianificare e implementare i controlli forniti dall'RCD per i suoi vari elementi. Ancora più importante, possono testare la modellazione di ciascun rischio identificato e i controlli ad esso applicati, seguendo il ciclo di Deming (Plan, Do, Study, Act).

La mente umana vuole basare le scelte sulle certezze; tuttavia, in un mondo VUCA, le certezze sono spesso illusioni. Coloro che non riescono a imparare come gestire i rischi non possono competere; il rimedio risiede nel cambiamento culturale. Di nuovo: immaginate un'azienda che investe in un elemento del backlog che genererà un profitto garantito di un milione entro un anno, mentre un'altra destina le sue risorse a un'opportunità che ha il 50% di possibilità di produrre tre milioni nello stesso periodo. Quale è meglio posizionata per sopravvivere alla disruption digitale?

Il beneficio principale del Digital Risk Management non è l'aumentata efficacia nel mitigare le minacce digitali; è la capacità di ristrutturare l'impresa per aumentare la sua adattabilità e sopravvivenza a lungo termine.

Il DRM mira a trasformare le imprese in sistemi frattali, capaci di scambiare continuamente informazioni e conoscenze, e di replicare modelli operativi efficaci attraverso molteplici livelli dell'organizzazione. Un'impresa che pratica il DRM sviluppa strutture adattive e auto-similari che migliorano la flessibilità, promuovono la condivisione della conoscenza e sostengono la competitività a lungo termine, stabilendo al contempo un framework per la modellazione del rischio e il processo decisionale abilitati dall'AI.

Questa trasformazione strutturale migliora la capacità dell'organizzazione di apprendere continuamente, posizionandola per capitalizzare le opportunità digitali e per ottenere un vantaggio competitivo sostenuto.

Per sviluppare capacità efficaci di gestione del rischio, le aziende possono riutilizzare metodi consolidati provenienti da settori come le scienze militari e la cybersecurity. Gli esercizi militari basati su scenari e il purple teaming della cybersecurity possono essere adattati ai contesti aziendali.

Ad esempio, un team interno può simulare l'attacco di un concorrente, mentre un altro team risponde correggendo le vulnerabilità esposte e lanciando contromisure, e un terzo team interpreta il ruolo dei clienti, decidendo quale parte sostenere.

Questo tipo di simulazione non solo rafforza il lavoro di squadra e il pensiero competitivo, ma accelera anche lo sviluppo di una cultura di Digital Risk Management — una cultura dove resilienza, adattabilità e decision-making basato sui dati diventano parte integrante dell'azienda.

Il Digital Risk Management trasforma la disruption in slancio, rendendolo il motore di una crescita efficace e sostenibile nell'era digitale.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "Se attuata correttamente, l'agilità nei progetti è un modo efficace per gestire il rischio del progetto – non c'è bisogno, né valore, in un processo parallelo per 'gestire il rischio'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.