In uno scenario segnato da frammentazione geopolitica, tensioni energetiche, vulnerabilità sistemiche e dipendenze distribuite, il risk management torna alla sua funzione essenziale: trasformare l’incertezza in capacità di governo.
Per chi si occupa di risk management, la resilienza è una parola che si ama e si odia allo stesso tempo. La si odia, perché segnala quasi sempre un tempo di crisi, di esposizione, di instabilità. La si ama, però, perché coincide con il punto in cui il risk management esce dalla dimensione puramente procedurale e torna al suo compito essenziale: aiutare l’organizzazione ad assorbire gli shock, interpretarli in fretta e decidere con lucidità.
Resilienza è una parola che negli ultimi anni si è consumata per eccesso di uso. Dopo la pandemia è stata richiamata ovunque: nei board paper, nei piani industriali, nelle policy, nella comunicazione istituzionale. A forza di essere evocata, ha finito spesso per perdere precisione, diventando una formula rassicurante, più che una categoria manageriale.
Eppure, oggi torniamo a usarla, non per ripetere un lessico già logoro, ma perché il contesto in cui operano le imprese la rende di nuovo necessaria, questa volta in un’accezione ancora più rigorosa.
Per alcuni anni si è potuto pensare che il Covid avesse rappresentato la prova estrema: l’evento impensabile che aveva già mostrato fino a che punto un sistema economico e produttivo potesse essere stressato. In realtà non era un punto di arrivo, ma l’inizio di un nuovo scenario. L’orizzonte apertosi dopo la pandemia ha reso evidente che l’incertezza non era stata assorbita: aveva solo cambiato forma.
Oggi le imprese si muovono in un ambiente caratterizzato da frammentazione geopolitica, conflitti persistenti, tensioni commerciali, pressioni regolatorie crescenti, fragilità energetiche, dipendenze tecnologiche profonde e rischi cyber sempre più intrecciati ai processi operativi. Il Global Risks Report 2025 del World Economic Forum descrive un contesto in cui rischi geopolitici, tecnologici, ambientali e sociali si rafforzano reciprocamente; nello stesso report, il conflitto armato tra Stati figura come primo rischio percepito nel breve periodo, mentre la confrontation geoeconomica sale tra i rischi più rilevanti. Il Fondo Monetario Internazionale, dal canto suo, sottolinea che la frammentazione geoeconomica può ridisegnare catene del valore, spostare dipendenze e aumentare in modo sensibile i costi di adattamento per imprese e mercati.
Il rischio non si concentra: si distribuisce
Parlare di supply chain, per esempio, non significa più soltanto parlare di logistica o approvvigionamenti. Significa parlare di disponibilità energetica, accesso ai materiali critici, affidabilità dei servizi, continuità delle piattaforme tecnologiche, concentrazione delle dipendenze, trasparenza della filiera, capacità di sostituzione, esposizione regolatoria e postura cyber dei soggetti terzi. Nel manufacturing, ad esempio, ogni anello della catena produttiva può diventare un punto di propagazione del rischio: un fornitore bloccato, un subfornitore non presidiato, una piattaforma condivisa vulnerabile, un sistema logistico indisponibile possono trasformarsi rapidamente in un problema di continuità operativa.
Per i C-level, tutto questo ha una conseguenza molto concreta: il rischio non coincide più soltanto con ciò che accade dentro il perimetro dell’impresa. Sempre più spesso coincide con ciò che la collega agli altri. Nell’attuale contesto industriale, l’azienda non finisce ai cancelli dello stabilimento: finisce dove finisce l’ultimo anello della supply chain. È una formulazione semplice, ma decisiva, perché sposta il tema del controllo dal perimetro societario all’ecosistema operativo reale.
Un caso ormai emblematico è quello di Toyota, che nel 2022 ha sospeso la produzione domestica in Giappone dopo un sospetto attacco cyber a un fornitore di componenti plastici ed elettronici. La sospensione ha coinvolto gli stabilimenti giapponesi e ha comportato la perdita di circa 13.000 veicoli di output. L’episodio mostra con chiarezza un punto spesso sottovalutato: una vulnerabilità apparentemente periferica può produrre un impatto centrale, perché la continuità dell’impresa dipende anche dalla maturità, dalla sicurezza e dalla resilienza dei soggetti che partecipano alla sua catena del valore.
Da qui nasce la centralità del third-party risk management. Non si tratta solo di qualificare i fornitori in fase di onboarding o di archiviare evidenze di compliance. Si tratta di capire quali terze parti sono davvero critiche, quali processi sostengono, quali dati trattano, quali sistemi interconnettono, quali alternative esistono, quali segnali possono indicare un deterioramento della loro affidabilità e quali escalation attivare prima che il rischio diventi incidente.
Nelle realtà complesse, il problema raramente coincide con l’assenza di presidi. Più spesso coincide con la loro dispersione. Le informazioni sul rischio esistono, ma sono distribuite tra procurement, legal, compliance, IT, operations, sicurezza, linee di business. I contratti vengono analizzati, gli assessment eseguiti, i registri aggiornati, i KPI tracciati. Ma spesso manca una mappa condivisa delle dipendenze: chi sono i fornitori davvero critici, quali servizi sostengono, quali processi potrebbero fermarsi, quali concentrazioni esistono, quali soggetti di secondo o terzo livello restano fuori dal campo visivo. Tutto questo, troppo spesso, non si traduce in una vista unitaria e utilizzabile dal management.
Il problema non è aggiungere controlli
Di fronte a questo scenario, la risposta più frequente delle organizzazioni è nota: più verifiche, più questionari, più livelli di controllo, più documentazione. È una reazione comprensibile, ma non necessariamente efficace.
La maturità effettiva di un’organizzazione non si misura nella quantità di evidenze prodotte, ma nella capacità di trasformarle in priorità, responsabilità e decisioni.
Il valore del risk management non sta nell’amplificare la macchina del controllo, ma nel rendere il rischio una base strutturata per la decisione. In altri termini, non si tratta soltanto di mitigare ciò che minaccia l’organizzazione, ma di comprendere meglio dove investire, dove rafforzare i presidi, dove ridurre la concentrazione delle dipendenze e dove accettare consapevolmente un’esposizione.
Da questo punto di vista, la resilienza non è semplicemente una capacità di reazione, ma è una capacità di interpretazione. E questa interpretazione richiede tre cose: informazioni leggibili, responsabilità chiare, tecnologia integrata.
Se il problema è la frammentazione del rischio, la risposta non può essere frammentaria. Serve un approccio che tenga insieme analisi, processo, monitoraggio e decisione.
È su questo terreno che la tecnologia diventa rilevante. Non come sostituzione del giudizio, e nemmeno come automazione fine a sé stessa, ma come infrastruttura capace di classificare, correlare, comparare, segnalare e rappresentare il rischio in modo coerente.
La tecnologia per il risk management ha valore quando aumenta la visibilità, migliora il monitoraggio continuo, sostiene l’escalation dei segnali rilevanti e rende scalabile il programma di gestione senza aumentare inutilmente il carico operativo.
La value proposition di Spindox consente di lavorare su più dimensioni dei rischi non finanziari: dalla perimetrazione del rischio alla valutazione dei presidi esistenti, dall’individuazione delle aree di attenzione rispetto a policy e requisiti regolatori fino alla rappresentazione del rischio attraverso indicatori, heatmap, alert e strumenti di sintesi per il management. Applicato alle terze parti, questo significa superare la logica dei silos e dei controlli periodici e costruire una vista dinamica e un monitoraggio continuo dell’intero portfolio fornitori.
Ciò che rende la suite di Spindox particolarmente rilevante, per un’organizzazione di grandi dimensioni, è la sua capacità di far dialogare livelli che troppo spesso restano separati: quello regolatorio, quello operativo, quello tecnologico e quello manageriale. In un contesto in cui il rischio si distribuisce, si trasforma e si propaga rapidamente, serve una visione olistica in cui la vista trasversale è maggiore della somma delle singole viste.
La tecnologia, in questa prospettiva, è l’infrastruttura che permette tempi di reazione migliori.
Per un’impresa, oggi, essere resilienti non significa dichiararsi pronti a tutto. Significa riconoscere che il rischio non scompare, non si lascia chiudere dentro una check-list e non si governa accumulando procedure scollegate. Significa, piuttosto, costruire la capacità di leggerlo in tempo, attribuirgli priorità, distribuirne la responsabilità e prendere decisioni migliori mentre il contesto cambia.
In un’epoca di crisi multiple, la resilienza smette di essere uno slogan e torna a essere ciò che è sempre stata: il risultato di una governance lungimirante.
