L’intelligenza artificiale è uno strumento unico per testare scenari di crisi e valutare possibili soluzioni
Il mondo bancario presta da tempo molta attenzione al rispetto dei requisiti che regolano la gestione dei rischi ma le normative NIS2 e DORA hanno dato un’ulteriore accelerazione a questo approccio. Nella quotidianità cosa cambia, concretamente? A detta di Stephane Speich, head Business Continuity & Resilience Group Governance – Group Security di UniCredit – non può passare inosservato il fatto che le funzioni di controllo di secondo livello, deputate a controllare il soddisfacimento di adeguate misure di protezione digitale e cyber, guardano oggi a nuovi modelli di risk management e di continuità del business. «La novità rispetto al passato è una maggiore consapevolezza che alcuni rischi digitali devono essere compresi e, in alcuni casi, accettati. Conoscere le proprie vulnerabilità e i punti deboli è il primo passo per costruire una resilienza digitale più efficace, utilizzando le risorse disponibili in modo più sinergico e strategico.».
DORA e NIS2, nella visione di Unicredit, costituiscono quindi un’opportunità per legare a filo doppio la resilienza operativa digitale alla gestione del rischio, partendo dal presupposto che il primo di questi due paradigmi permette a ogni organizzazione di rivedere con buon senso e pragmatismo la propria capacità di essere flessibile nell’affrontare le sfide complesse, con la consapevolezza di poter rimanere in piedi, anche in caso di situazioni avverse. «Le nuove normative – precisa Speich – pongono l’accento sull’accountability e la trasparenza e devono essere considerate come una leva strategica per rivedere con occhio analitico le modalità di evoluzione ed efficientamento dei processi di gestione del rischio digitale, tenendo in debita considerazione l’obiettivo della resilienza operativa digitale. Ogni organizzazione deve adattare questi principi alle proprie specifiche caratteristiche. In particolare, per i fornitori critici e i soggetti ad alto rischio di concentrazione, è molto importante testare la capacità di essere resilienti».
Un aspetto spesso trascurato, ma fondamentale, è l’identificazione e la gestione delle tolleranze d’impatto. «È cruciale definire chiaramente quali siano queste tolleranze, cioè i livelli minimi di servizio da assicurare in caso di eventi gravi ma plausibili» – spiega Speich. Un esempio che mette in luce l’importanza di questo approccio è il caso CrowdStrike: l’incapacità delle organizzazioni coinvolte di garantire livelli minimi di servizio adeguati ha dimostrato come il fallimento di una singola componente possa compromettere l’intero sistema. La cybersecurity, quindi, non è solo uno strumento per prevenire o contenere attacchi, ma un elemento fondamentale per la resilienza operativa digitale. Tuttavia, esiste ancora un compromesso tra il costo di implementare una strategia resiliente e la sua effettiva adozione. Molte aziende tendono a investire in sicurezza solo dopo aver vissuto un attacco o una crisi, esponendosi così a rischi evitabili.
Qual è la soluzione? «Una possibilità – risponde Speich – è sfruttare gli strumenti e le capacità introdotte dall’intelligenza artificiale. L’AI offre un’opportunità unica per migliorare la resilienza: permette di simulare scenari di crisi, valutare rapidamente soluzioni e gestire i rischi. Inoltre, può ridurre gli errori umani, uno dei fattori più critici per garantire la continuità operativa».
Stand-up! Dal posizionamento alla presa di posizione
«La business continuity è come un’ambulanza: interviene per mantenerti in vita durante un’emergenza, dandoti il tempo necessario per ripristinare la normalità. Tuttavia, questo da solo non basta: per essere davvero al sicuro, è fondamentale sviluppare la resilienza. La resilienza è la capacità di adattarsi alle difficoltà sfruttando le risorse a disposizione, senza cedere. Un esempio chiaro? Nel film “Mamma, ho perso l’aereo”, il protagonista comprende il pericolo imminente, identifica i punti deboli (come la porta di servizio) e organizza la sua difesa utilizzando oggetti che trova in casa. Questo dimostra che la resilienza non richiede necessariamente grandi investimenti, ma richiede creatività e capacità di utilizzare ciò che si ha. In un’azienda, la resilienza significa valorizzare le risorse già esistenti – che siano culturali, tecnologiche o organizzative – per affrontare rischi e vulnerabilità in modo efficace e sostenibile».
