Anticipare costa meno che reagire: il security manager nella permacrisi globale

Intervista di Ilaria Garaffoni a Giuseppe Mancini, Presidente ASIS International Chapter Italy 2026-27

Quando era Presidente eletto per il 2026-27, un anno fa abbiamo parlato con lui del ruolo del security manager, della necessità di estendere gradualmente la certificazione professionale anche ai manager di area corporate e dei valori associativi incarnati da ASIS International. Oggi, al debutto di Giuseppe Mancini da Presidente in carica del Chapter Italy, il contesto geopolitico – già parecchio effervescente - è radicalmente cambiato. Lo stato di “permacrisi”, cui cominciavamo nostro malgrado ad abituarci, sta oggi raggiungendo livelli di complessità mai visti, conditi da incognite che superano ormai le certezze. Soprattutto per chi è anche Security Vice President Intelligence International presso Leonardo S.p.A. 

La prima domanda va quindi al Security Manager: quanto è centrale oggi la capacità di saper anticipare i rischi rispetto alla gestione delle crisi? 

Anticipare costa sempre meno che reagire. È una regola fondamentale nel nostro settore e vale su tre piani: la tutela delle persone, la protezione della reputazione e la salvaguardia della sostenibilità economica dell’organizzazione. I mesi dell’escalation in Medio Oriente lo hanno dimostrato con grande chiarezza: chi disponeva di un sistema di monitoraggio strutturato ha potuto leggere i segnali, valutare gli scenari e prendere decisioni in modo tempestivo; chi invece non aveva costruito questa capacità si è trovato a subire gli eventi, inseguendo la crisi anziché governarla. 

Naturalmente il livello di preparazione dipende dal settore in cui si opera. Anticipare non significa in ogni caso prevedere tutto. Il security manager non è un oracolo: è colui che riduce lo spazio delle sorprese e rende più rapida ed efficace la risposta quando la sorpresa arriva comunque. La differenza tra una crisi gestita bene e una gestita male non sta nell’aver previsto ogni passaggio, ma nell’aver costruito prima un quadro decisionale chiaro, con responsabilità, soglie di intervento e procedure condivise.

Come può un security manager strutturare un efficace sistema di corporate intelligence senza trasformarsi in una struttura troppo complessa o economicamente non sostenibile? 

Un sistema di corporate intelligence sostenibile, secondo me, si regge su tre pilastri. 

Il primo è partire dal business: bisogna sapere dove sono gli asset, dove si muove il personale, in quali mercati si opera e dove si sta crescendo. Senza ciò, il monitoraggio rischia di essere o cieco o dispersivo. 

Il secondo principio è essere pragmatici nella raccolta delle informazioni: partire da ciò che è già disponibile attraverso fonti pubbliche e segnali rilevabili online, ricorrendo a canali più sensibili o diretti solo quando serve davvero. 

Il terzo è produrre analisi su misura per chi deve decidere: il board ha bisogno di sintesi, chi opera sul terreno ha bisogno di indicazioni pratiche. Se un’analisi non supporta una decisione, allora non è un investimento ma un costo. Il vero discrimine tra un sistema “sufficiente” e uno “eccessivo” è la sua capacità di migliorare le decisioni. 

Non conta quanti report si producono; conta quante decisioni migliori si riescono a prendere grazie a quei report.

In che modo l’AI sta trasformando l’intelligence di sicurezza (deepfake, automazione analisi, predictive risk modeling)?

L’intelligenza artificiale sta cambiando la security su due piani, ma non con la stessa velocità.

Sul piano offensivo, l’impatto è già molto evidente: deepfake vocali, phishing scritto in modo impeccabile, campagne di disinformazione prodotte e diffuse con una rapidità prima impensabile. In altre parole, l’IA sta abbassando la soglia di accesso a strumenti offensivi sempre più sofisticati.

Sul piano difensivo, invece, i benefici sono reali ma più graduali. Il contributo più utile, oggi, è nell’automazione della raccolta informativa: OSINT e SOCINT possono essere gestite in modo più efficiente, lasciando agli analisti più tempo per fare ciò che conta davvero, cioè interpretare, contestualizzare e supportare le decisioni. 

Anche i modelli predittivi possono aiutare, ma soprattutto dove ci sono dati strutturati e fenomeni ricorrenti. Funzionano molto meno quando ci troviamo davanti a crisi complesse, rare e ad alto impatto. Per questo è importante non attribuire all’IA capacità quasi divinatorie. Nessun sistema può prevedere con esattezza la sequenza di una crisi geopolitica. Può però ridurre l’incertezza, evidenziare scenari possibili e migliorare la qualità della preparazione. Ed è proprio qui il punto: l’IA non sostituisce il giudizio umano, lo rende ancora più necessario. Allo stesso tempo, l’adozione di questi strumenti richiede un presidio etico e normativo molto forte, perché il tema della compliance sarà sempre più centrale anche nella security.

L’attualità ci porta dritti alla travel security: esistono oggi destinazioni che possano dirsi sicure? Quali strumenti stanno diventando indispensabili e quanto sta cambiando il paradigma dalla protezione “fisica” a quella “digitale e comportamentale”? 

Esistono destinazioni sicure? Oggi direi di no, almeno non nel senso in cui lo intendevamo dieci anni fa. La mappa del rischio non è più divisa tra aree “sicure” e aree “insicure”: è molto più frammentata. Parigi, Riyadh o Nairobi presentano esposizioni diverse, non necessariamente maggiori o minori. Cambia la natura del rischio, non solo la sua intensità. Il Medio Oriente del 2026 lo dimostra bene. Il cessate il fuoco di aprile non ha riportato il contesto alla normalità; ha creato una nuova normalità, con rischi redistribuiti. Anche una città considerata formalmente stabile può oggi trovarsi vicino a infrastrutture sensibili e richiedere valutazioni che un anno fa nessuno avrebbe fatto.

Per gestire questo scenario servono tre cose. La prima è la tecnologia: dispositivi gestiti in modo serio, strumenti dedicati per alcune destinazioni, connessioni sicure e una preparazione digitale adeguata prima della partenza. Oggi, per molti viaggiatori aziendali, l’esposizione più immediata è spesso quella informatica, prima ancora di quella fisica. La seconda è l’awareness: i briefing pre-partenza, ad esempio, devono consentire alla persona di capire davvero il contesto, adottare i comportamenti corretti ed evitare routine prevedibili. Molti incidenti non derivano da eventi eccezionali, ma da abitudini ripetute e quindi più esposte. Il terzo elemento è l’organizzazione: un Duty of Care chiaramente definito, processi decisionali tracciabili e procedure di emergenza ed evacuazione effettivamente testate. La travel security non può essere soltanto formalizzata nei documenti; deve tradursi in capacità operative concrete.

Al netto di grandi realtà come Leonardo, c’è sensibilità sul tema nelle PMI italiane? 

Nelle imprese italiane la travel security è ancora gestita in modo molto disomogeneo. I grandi gruppi hanno strutture più mature, una parte delle aziende di medie dimensioni si sta attrezzando, ma molte realtà si muovono sui mercati internazionali senza un vero presidio sulla sicurezza delle trasferte. Il punto, però, è che la responsabilità di tutela non cambia in base alla dimensione dell’azienda. 

Ed è qui che un’associazione come ASIS deve intervenire: offrire strumenti concreti, modelli proporzionati e togliere definitivamente l’alibi che la travel security sia un tema solo da grandi organizzazioni.

Quanto rileva la collaborazione tra aziende, istituzioni e comunità professionali nello scambio di informazioni sui rischi emergenti? Quali sono i “talloni d’Achille” di questo scambio e quale contributo può dare ASIS? Punta più sul networking relazionale o sulla definizione di standard e metodologie comuni per il settore?

La collaborazione tra aziende, istituzioni e comunità professionali è fondamentale, perché oggi i rischi emergenti non possono più essere letti in modo efficace da un singolo attore. Questo vale in modo particolare nella travel security, dove la rapidità dello scambio informativo incide direttamente sulla capacità di proteggere le persone. I limiti, naturalmente, ci sono: vincoli normativi, riservatezza, logiche competitive e, molto spesso, assenza di un linguaggio comune tra le diverse funzioni coinvolte. Ed è proprio qui che una comunità professionale come ASIS può fare la differenza: creare connessioni, ma soprattutto trasformarle in metodo, standard e buone pratiche condivise. Per questo non vedo networking e standardizzazione come alternative. Il networking ha valore se produce conoscenza utile; gli standard funzionano se passano attraverso una comunità professionale viva. La mia idea di presidenza è esattamente questa: rafforzare le relazioni, ma per costruire competenze, linguaggio comune e modelli concreti a beneficio del settore.

Per un security manager che voglia essere davvero rilevante per il business, quanto pesano competenze “trasversali” come geopolitica, analisi dei dati, comunicazione con il management? Come si concilia la specializzazione tecnica con questa visione trasversale? 

Il punto centrale, oggi, è questo: un security manager è davvero rilevante per il business quando sa trasformare rischi complessi in decisioni chiare, tempestive e praticabili per chi ha la responsabilità di decidere. Questa è la funzione essenziale del ruolo; tutto il resto sono competenze abilitanti. In questo senso, le competenze “non tradizionali” non sono più accessorie: sono diventate parte integrante della professionalità. La geopolitica conta molto, ma non in termini teorici o accademici: conta nella misura in cui consente di leggere uno scenario e tradurlo in impatti concreti sul business, sulle trasferte, sulla supply chain, sugli investimenti, sul Duty of Care. Lo stesso vale per i dati: non si chiede a un security manager di essere un data scientist, ma di saper leggere criticamente le informazioni, comprendere i limiti di un modello e non delegare il proprio giudizio a una dashboard. E poi c’è la comunicazione con il top management, che è forse la competenza più sottovalutata di tutte: si può avere un’analisi eccellente, ma se non la si sa portare al board con chiarezza, sintesi e orientamento alla decisione, quell’analisi non produrrà alcun effetto. Per questo non credo ci sia una contrapposizione tra specializzazione tecnica e visione trasversale. Al contrario, credo che le due dimensioni si tengano insieme. La competenza tecnica è ciò che fonda la credibilità del security manager; la visione trasversale è ciò che gli permette di essere ascoltato e di incidere realmente sui processi decisionali. Senza profondità tecnica non si è autorevoli; senza capacità di collegare rischio, business, persone e contesto, non si è davvero rilevanti.

Ma l’attuale “ibridazione” del profilo professionale – parte risk manager, parte analista, parte comunicatore – non rischia di diluire l’identità professionale del security manager?

Io non lo considero un rischio di diluizione dell’identità, ma un segno di maturazione della professione. Il security manager non perde identità perché integra competenze di risk management, analisi e comunicazione; la perde, semmai, se resta confinato in una dimensione puramente specialistica, percepita come separata dal business. 

Oggi l’identità professionale non si difende chiudendosi, ma evolvendo: mantenendo una solida base tecnica e, allo stesso tempo, sviluppando la capacità di parlare il linguaggio dell’organizzazione. Ed è proprio qui che una comunità come ASIS può accompagnare questa evoluzione con standard, certificazioni, formazione continua e confronto tra professionisti, affinché il security manager sia sempre più riconosciuto non come uno specialista isolato, ma come un interlocutore strategico capace di proteggere persone, asset e continuità del business.

In questo caos, cosa continua a motivarla nel suo lavoro di security manager e in ASIS? 

Quello che continua a motivarmi, in fondo, sono le persone.

Durante la recente escalation iraniana nel Golfo, molte aziende italiane con personale nell’area hanno dovuto prendere decisioni difficili, spesso nel giro di poche ore.

In momenti come quelli si capisce davvero qual è la misura del nostro lavoro. Non è il numero di report prodotti, né la sofisticazione dei modelli analitici. La metrica più importante, anche se meno visibile, è molto più semplice e molto più umana: quante persone siamo riusciti a proteggere, quante siamo riusciti a riportare al sicuro, quanta continuità siamo stati in grado di garantire senza esporre inutilmente il personale. È una metrica silenziosa, che raramente finisce nei documenti pubblici o nei bilanci, ma è quella che conta.

Nella mia azienda questa metrica ha avuto un volto. Ricordo un collega residente in uno dei Paesi del Golfo, che in quei giorni si trovava in Italia per una riunione interna. Lui era al sicuro, ma sua moglie e i suoi due figli erano rimasti nell’area, al centro di una fortissima tensione. Lì non mi sono sentito soltanto un security manager: ero anche padre, marito, collega. Sono situazioni in cui comprendi che la sicurezza non è solo una funzione aziendale ma un atto di responsabilità verso le persone, le loro famiglie, la fiducia che ripongono in noi. Aver aiutato un collega a riabbracciare i propri cari è stata una delle ricompense più profonde. Sono momenti in cui capisci perché fai questo mestiere. Il nostro non è un lavoro qualunque: è una responsabilità vera, ma anche una passione vera. Non si esaurisce allo scadere dell’orario d’ufficio, perché la responsabilità della sicurezza delle persone non cessa mai di farci sentire coinvolti.

C’è quindi ancora spazio per l’ottimismo professionale o la resilienza è l’unica metrica di successo?

Anche la resilienza va letta con equilibrio. È certamente una qualità indispensabile, ma non può diventare l’unico parametro con cui misuriamo il successo. Se la resilienza diventa il nostro unico orizzonte, il rischio è di accettare la crisi come condizione normale e permanente. Il compito della security, invece, è un altro: ridurre per quanto possibile lo spazio della crisi, contenere l’impatto degli eventi avversi e fare in modo che l’emergenza resti un’eccezione, non una normalità. La cosiddetta permacrisi, se la assumiamo come sfondo inevitabile, rischia di trasformarsi in un alibi. E gli alibi, nel nostro mestiere, sono sempre pericolosi. Io credo che lo spazio per l’ottimismo professionale esista, e sia anche concreto. Lo vedo innanzitutto nella crescita della professione: oggi i security manager sono più preparati, più multidisciplinari, più capaci di collegare rischio, business, tecnologia e contesto geopolitico. Ma lo vedo anche in un altro fatto, altrettanto importante: questi temi non sono più confinati in una nicchia specialistica. Sempre più spesso i board discutono di Duty of Care, di continuità operativa, di travel security, di esposizione internazionale e di rischio geopolitico. 

Questo significa che negli anni è stato fatto un lavoro culturale profondo, forse poco visibile all’esterno, ma assolutamente reale. 

Nel mio ruolo in ASIS, la mia ambizione è contribuire a far crescere una comunità professionale sempre più solida, preparata e riconosciuta, capace di dare valore concreto alle organizzazioni e alle persone che protegge. Se riusciremo in questo, avremo fatto qualcosa di importante: non solo rafforzare una professione, ma darle ancora più voce, più dignità e più impatto nel mondo in cui operiamo.