Imprese sole nella security aziendale, ma la protezione è un dovere

di Ilaria Garaffoni

Il white paper “Il Dovere di Protezione” firmato International SOS Foundation e curato da Umberto Saccone, analizza in profondità il concetto di rischio e l’evoluzione della security nel quadro regolatorio italiano ed internazionale. Evidenziando in particolare le responsabilità dei datori di lavoro, il white paper sottolinea come la gestione del rischio richieda modelli integrati e strutturati. Ne approfondiamo i passaggi più significativi.

Il quadro normativo italiano sulla security aziendale resta frammentato, si legge nel white paper, e poco coerente. A fronte di responsabilità crescenti per imprese e datori di lavoro, manca una disciplina chiara sugli obblighi legati alla gestione dei rischi di security, così come una definizione legislativa del ruolo del security manager (peraltro non pacificamente condivisa dall’intero arco associazionistico di settore). A ciò si aggiunge l’assenza di canali strutturati di cooperazione e scambio informativo tra aziende e istituzioni pubbliche. Risultato? Le imprese, soprattutto le PMI, sono spesso sole nell’individuare e mitigare i rischi atipici, scegliere le figure professionali e organizzare le funzioni interne.

Le maggiori criticità

Eppure, sottolinea il white paper, in un contesto di permacrisi caratterizzato da minacce diversificate – terrorismo, spionaggio industriale, sabotaggi, cybercrime – la protezione dell’impresa coincide con la tutela del tessuto sociale. L’azienda, infatti, non è solo un soggetto economico: è parte dell’infrastruttura sociale e produttiva del paese. Nonostante ciò, la security continua spesso a essere percepita come un costo, e gli strumenti di esternalizzazione previsti dal legislatore non colmano le lacune di sistema. Due criticità emergono con evidenza: la marginalità del rischio security nel D.Lgs. 81/08 e la totale assenza di un framework stabile di cooperazione pubblico-privato. Da qui la necessità di un percorso riformatore che valorizzi il ruolo delle imprese nella costruzione di un sistema di sicurezza condiviso.

D Lgs 81/2008: non solo antinfortunistica

La prima direttrice di intervento è la razionalizzazione normativa: occorre definire in modo puntuale gli obblighi di security e la corretta collocazione organizzativa della funzione preposta, chiarendone compiti e responsabilità. In questo senso si inserisce anche un ripensamento interpretativo del D.Lgs. 81/2008, che impone al datore di lavoro la valutazione di “tutti i rischi”, compresi quelli ambientali, geopolitici e legati a minacce esterne. “Con la locuzione ‘tutti i rischi’, il legislatore ha di fatto aperto la porta ai rischi di security nel panorama legislativo nazionale rivolto alla tutela della sicurezza e della salute sul lavoro” - specifica Saccone. Benché non si sia giunti ad una normativa di dettaglio come in area safety, la valutazione dei rischi deve però abbracciare tutti i rischi, compresi quelli di security. E per farlo, il datore di lavoro deve avvalersi di figure esperte. Poiché l’adozione di un modello di organizzazione e gestione compliant può esimere dalla responsabilità amministrativa dell’ente, l’integrazione tra il modello ex art. 30 del D.Lgs. 81/08 e quello ex D.Lgs. 231/01 non è soltanto auspicabile, ma necessaria, suggerisce Saccone. 

Certificare il security manager

Il tema della qualificazione del security manager emerge nel white paper in relazione al ricorso alle norme tecniche volontarie, che suppliscono alle lacune del legislatore in materia di security aziendale. In assenza di una disciplina organica, standard come la UNI 10459 definiscono il profilo professionale del security manager, individuandone competenze, responsabilità e ruolo nella gestione dei rischi di security. Il white paper sottolinea come la complessità e la natura atipica di tali rischi rendano necessario affidarne la gestione a figure dotate di adeguata competenza e di poteri coerenti, investite formalmente di deleghe e procure all’interno dell’organizzazione. Le norme tecniche, pur non essendo cogenti, rappresentano quindi uno strumento di riferimento per qualificare la funzione security e garantire un approccio sistemico e professionale alla gestione del rischio, anche in chiave di responsabilità dell’impresa.

Incentivare gli investimenti in sicurezza

L’ultimo pilastro proposto è l’introduzione di agevolazioni fiscali che incentivino gli investimenti in sicurezza. Il riconoscimento della sicurezza aziendale come investimento strategico passa anche attraverso strumenti fiscali adeguati. In questo senso, l’introduzione di un credito d’imposta per gli investimenti in security rappresenta una leva essenziale per favorire modelli organizzativi più maturi e responsabili. L’agevolazione dovrebbe essere vincolata a interventi strutturati e verificabili: sistemi di sicurezza fisica e tecnologica, modelli di security management, valutazione dei rischi, formazione specialistica e audit indipendenti. 

Non un incentivo generalizzato, dunque, ma uno strumento selettivo, capace di premiare le imprese che adottano un approccio sistemico alla protezione di persone, beni e infrastrutture. 

Dal punto di vista pubblico, il credito d’imposta non è un costo, ma un investimento indiretto nella prevenzione, in grado di ridurre eventi criminosi, interruzioni operative e responsabilità giuridiche, con benefici estesi all’intero sistema economico. In un contesto di rischi crescenti e interdipendenti, questa misura appare sempre più necessaria per costruire un ecosistema integrato della sicurezza, in cui la security aziendale sia finalmente riconosciuta come funzione strategica e abilitante dello sviluppo. Certamente il percorso richiede volontà politica, ma pare indispensabile per costruire un ecosistema integrato che riconosca alla security aziendale la funzione strategica che merita.

Quindi?

Proteggere le persone significa proteggere la tenuta democratica, economica e sociale del paese. In questo scenario, ricorda il white paper, il risk management incarna un approccio operativo imprescindibile per identificare, valutare e trattare rischi di ogni natura integrando safety, security fisica, cyber security e continuità operativa in un unico modello. Domanda: elaborare nodelli organizzativi realmente efficaci è compito delle associazioni o del legislatore?