Il modello organizzativo per la gestione dei rischi

Tra centralizzazione e decentralizzazione del controllo

di Carlo A.M. Corazzini e Giulia M. Amato

Una corretta gestione del rischio si traduce, in termini funzionali, nella necessità di adottare specifiche misure di tipo tecnico e predisporre un adeguato sistema di presidi e punti di controllo per la gestione e mitigazione dei rischi IT e relativi alla protezione dei dati personali.

La predisposizione di un modello organizzativo, però, non può prescindere da un’attenta valutazione (da condursi secondo un approccio c.d. “ricorsivo”) dell’organizzazione, dei process owner e dei processi aziendali esposti a rischio, attesa la necessità che ogni modello sia “ritagliato” sulla specifica realtà organizzativa in cui è destinato ad essere implementato.

In questa sede, pertanto, ci soffermeremo, seppur a grandi linee e senza alcuna pretesa di esaustività, sulle possibili configurazioni dei modelli organizzativi diffusi in ambito IT e Privacy per cercare di fornire una breve panoramica dei vantaggi/limiti dei modelli maggiormente diffusi nella prassi.

1. La funzione dei modelli organizzativi nel vigente quadro normativo in ambito IT

La Direttiva (UE) 2016/1148 (“Direttiva NIS”), il D.L. n. 105/2019, il Regolamento (UE) 2016/679 (“GDPR”) e il D.lgs. 196/2003 (“Codice Privacy”) costituiscono il “framework” normativo di base da tenere in considerazione nel momento in cui si affrontano i temi connessi alla Security & Data Protection in senso lato e che, per una corretta gestione del rischio, richiedono la predisposizione di adeguate misure di sicurezza sotto il profilo sia tecnico che organizzativo.

Per quanto di interesse in questa sede, occorre ricordare che la necessità di predisporre misure organizzative a presidio degli interessi tutelati costituisce il comune denominatore delle norme sopra richiamate. Si pensi, ad esempio, all’obbligo imposto dalla Direttiva NIS (art. 12)[1] per gli Operatori di Servizi Essenziali (“OSE”), i quali sono tenuti ad adottare misure organizzative adeguate e proporzionate alla gestione dei rischi, alla sicurezza delle reti e dei sistemi informativi o di policy per la prevenzione e gestione degli incidenti informatici. Sulla stessa linea si pone anche il D.L. 105/2019 (art. 1, co. 3)[2], convertito con modificazioni dalla L. n. 133/2019, che impone l’adozione di misure riguardanti la struttura organizzativa deputata al presidio della sicurezza o le politiche di gestione del rischio. In ambito privacy, infine, il GDPR (artt. 24, 25 e 32[3]) e, in particolare, l’art 2-quaterdecies del Codice Privacy attribuiscono al titolare del trattamento, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, il potere di attribuire ai soggetti coinvolti nei processi aziendali specifici compiti e funzioni connesse al trattamento.

Mutuando un concetto cardine della normativa privacy, è possibile sostenere che una corretta ed effettiva gestione dei rischi in tali ambiti implica, nel rispetto del principio di accountability, un’attenta analisi degli aspetti tecnici e la predisposizione di adeguate misure sotto il profilo organizzativo. L’adozione delle misure organizzative, infatti, è di rilevanza centrale in quanto consente di sfruttare e, al tempo stesso, preservare l’utilità delle misure tecniche implementate e impedisce – o quantomeno contiene – il rischio di errori che possano esporre i sistemi a vulnerabilità (es. dovuti al c.d. “fattore umano”), pur in presenza di misure di sicurezza tecnicamente ineccepibili.

Nell’ottica dell’accountability, quindi, si comprende l’importanza di formalizzare e documentare tutti gli adempimenti e le attività preordinate alla protezione degli interessi oggetto di tutela normativa (es. protezione e integrità dei sistemi, riservatezza, tutela e garanzia dei servizi essenziali, ecc.). Da qui la necessità di costruire e formalizzare un sistema organizzativo, misura di sicurezza di base per consentire alle organizzazioni di: (i) monitorare in maniera ricorsiva gli ambiti di rischio sottesi a un determinato processo; (ii) adottare tutte le misure necessarie e/o adeguate per la mitigazione dei rischi rilevati e, in caso di controlli, (iii) dimostrare le valutazioni condotte, le misure adottate e la loro verificabilità

L’adozione di un modello organizzativo, con individuazione di ruoli e funzioni dei soggetti coinvolti, pertanto, ha la funzione di:

  • preservare l’utilità delle misure tecniche adottate a presidio dei trattamenti e/o dei sistemi informatici utilizzati;
  • definire una “griglia delle responsabilità” dei soggetti preposti alla gestione di un determinato processo aziendale (misura fondamentale per l’individuazione degli attori di processo e dei punti di controllo a presidio dei rischi di tipo tecnico-tecnologico);
  • fornire ai predetti soggetti le istruzioni necessarie per preservare la sicurezza dei trattamenti e il rispetto della normativa applicabile.

L’adozione di un modello organizzativo, dunque, rappresenta una decisione operativa e manageriale che postula approfondite valutazioni circa il contesto organizzativo, le risorse umane ed economiche disponibili ed effettivamente destinabili alla gestione degli adempimenti richiesti dalla normativa applicabile, nonché degli impatti e dei rischi connessi ai servizi offerti dall’azienda sugli interessi protetti dalla normativa sopra richiamata.

2. Tipologie di modelli organizzativi

Fatte le brevi premesse di cui sopra, occorre ora chiedersi quali siano le direttrici “comuni” che le organizzazioni devono tenere in considerazione per dotarsi di un modello organizzativo deputato alla gestione dei rischi in ambito IT/Privacy, atteso che esse sono tenute a dotarsi di un’adeguata regolamentazione interna “ritagliata” sulla propria struttura organizzativa.

Allo stato, non esistono modelli “preconfezionati” e, quindi, non è possibile individuare un approccio univoco alla tematica in considerazione delle molteplici configurazioni possibili delle strutture interne delle organizzazioni, anche se utili indicazioni a tal fine si possono trarre dagli standard maggiormente accreditati in materia (tra cui, a mero titolo esemplificativo, standard ISO 9001, ISO 27001, ISO 29134, Linee Guida NIST[4], ecc.). Ciò posto, è però possibile individuare i “tratti” comuni dei modelli maggiormente diffusi nella prassi, da individuarsi nell’accentramento/decentramento del sistema di controllo interno. Per questo motivo, verranno analizzati di seguito le seguenti tipologie di modelli: (i) centralizzato; (ii) con delega diffusa; e (iii) con delega accentrata.

2.1    Il modello centralizzato

Il modello centralizzato si caratterizza per l’assenza di deleghe operative interne. Ciò implica che la responsabilità di tutti gli adempimenti rimangono in capo al vertice aziendale, da individuarsi negli organi che esercitano la responsabilità operativa e gestionale dell’ente in base all’ordinamento societario (Atto costitutivo e Statuto) e quindi, in prima battuta, nel Consiglio di Amministrazione (“CdA”), nel suo Presidente e/o nell’Amministratore Delegato.

Occorre fare presente come questo modello è utilizzato nella prassi all’interno di organizzazioni caratterizzate da una struttura semplice (come start-up e PMI) in cui il vertice aziendale interviene nell’ambito di tutti i processi interni in qualità di process owner, essendovi direttamente coinvolto.

Con riferimento alle organizzazioni complesse, l’adozione di un modello centralizzato porta con sé alcuni svantaggi, in primis la concentrazione di responsabilità e attività prettamente operative in capo al vertice aziendale, la cui posizione non sempre gli consente di gestire efficacemente i molteplici adempimenti richiesti dalla normativa in materia (es. valutazione dei rischi, valutazioni delle misure tecniche necessarie, approvazione e svolgimento delle DPIA, ecc.). Tali caratteristiche mostrano la tendenziale inefficacia di tale modello per le organizzazioni strutturate, in quanto non consentirebbe un’adeguata formalizzazione delle responsabilità dei soggetti che, di fatto, operano sotto l’autorità del vertice aziendale, determinando così una minore tenuta del modello in caso di ispezioni o controlli da parte delle Autorità competenti e, per l’effetto, una maggiore esposizione al rischio di sanzioni.

2.2    Il modello con delega diffusa

Ferma la titolarità formale degli adempimenti richiesti dalla Direttiva NIS, D.L. 105/2019 e dalla normativa privacy in capo al vertice aziendale, il modello con delega diffusa si caratterizza per il conferimento di plurime deleghe di funzioni ai responsabili delle aree/funzioni aziendali a cui i delegati sono preposti.

L’adozione di un siffatto modello consente di raggiungere il massimo livello di decentramento operativo, conferendo al contempo ai delegati una maggiore autonomia gestionale sotto il profilo degli adempimenti richiesti dalla normativa applicabile (fatta comunque salva l’imputabilità di questi ultimi all’organizzazione nel suo complesso). Facendo ricorso al meccanismo della delega di funzioni, tale modello consente una precisa formalizzazione dei compiti attribuiti de facto ai singoli attori di processo (ad esempio, attraverso il c.d. “sistema RACI”[5]), con conseguente maggiore responsabilizzazione di questi ultimi.

Il conferimento di una pluralità di deleghe operative, però, richiede l’adozione di un adeguato sistema di controllo e monitoraggio per far fronte alle difficoltà di coordinamento sottese allo stratificarsi dei livelli di responsabilità, il che potrebbe determinare a una minore efficienza dei processi e dell’operatività aziendale.

Le motivazioni che conducono, nella prassi, ad adottare tale configurazione, risiedono di norma nella mancanza di una struttura di coordinamento interno (come una funzione e/o un ufficio dedicati) che presieda e/o a cui siano conferite potestà decisionali in ordine alle scelte operative riguardanti gli adempimenti richiesti dalla normativa di volta in volta presa in considerazione.

2.3    Il modello con delega accentrata

Il modello con delega accentrata, ferma anche in questo caso la titolarità degli adempimenti in capo agli organi di vertice (CdA, Presidente, AD, ecc.), si caratterizza per la presenza di un unico delegato a cui il vertice aziendale conferisce precise responsabilità e funzioni attraverso specifica procura.

Tale modello (maggiormente diffuso nella prassi e, in particolare, all’interno di strutture fortemente articolate) si pone come soluzione mediana tra il modello centralizzato e quello con delega diffusa in quanto:

  • consente di far coincidere, salvo casi particolari, il centro di imputazione decisionale con il soggetto che, de facto, presiede e coordina gli adempimenti richiesti dalla normativa di volta in volta applicabile, con conseguente possibilità di ridurre le criticità rilevate al precedente 2.1;
  • presuppone la creazione di un unico centro decisionale che riferisce e si coordina direttamente con il vertice aziendale, con conseguente riduzione delle problematiche di duplicazione delle responsabilità e di coordinamento illustrate al precedente 2.2;
  • consente, nel rispetto del principio di accountability, una più efficace formalizzazione dei ruoli, delle responsabilità e degli adempimenti operativi di tutti i soggetti operanti sotto l’autorità di una specifica struttura o del vertice aziendale a seconda dell’organigramma adottato.

La creazione di siffatto modello postula sovente anche la creazione di un ufficio compliance, con risorse specificamente dedicate, che supporti il delegato e coordini le singole aree/funzioni aziendali nella gestione degli adempimenti operativi impattanti sotto il profilo della sicurezza e/o della protezione dei dati personali a beneficio, in ultima analisi, dell’intera operatività aziendale.

3. Osservazioni conclusive

Come visto, la definizione di un modello organizzativo per una corretta gestione dei rischi in ambito IT/Privacy impone alle organizzazioni di svolgere specifici assessment preordinati ad individuare gli attori di processo, le caratteristiche principali dei processi e le misure finalizzate a prevenire e/o mitigare i rischi (normativi e tecnologici) ad essi sottesi.

Fatta salva la necessità di procedere secondo una logica “caso per caso”, dall’analisi dei modelli maggiormente diffusi nella prassi sembra che sia tendenzialmente da privilegiare un approccio basato sul c.d. “modello con delega accentrata”, in quanto consente di beneficiare delle potenzialità sottese all’istituto della delega di funzioni e, per l’effetto, realizzare un ampio decentramento operativo-gestionale anche per mezzo di uffici/strutture ad hoc (es. ufficio compliance) a supporto dell’operatività e del vertice aziendale.


[1] Art. 12 “Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni”.

[2] Art. 1, co. 3 “Entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri verranno stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), tenendo conto degli standard definiti a livello internazionale e dell’Unione europea, relativi alla struttura organizzativa preposta alla gestione della sicurezza; alle politiche di sicurezza e alla gestione del rischio; alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; alla protezione fisica e logica e dei dati; all’integrità delle reti e dei sistemi informativi; alla gestione operativa, ivi compresa la continuità del servizio, monitoraggi, test e controlli; alla formazione e consapevolezza; all’affidamento di forniture ICT, mediante definizione di caratteristiche e requisiti standard ed eventuali limiti”.

[3] Art. 32, co. 1, lett. d) “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre (d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” e co. 4 “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

[4] National Institute of Standards and Technology, agenzia del governo degli Stati Uniti che agenzia che si occupa della gestione e della definizione di standard comuni per le tecnologie utilizzati nell’ambito dei singoli Stati.

[5] Il sistema RACI permette di creare una “matrice di allocazione delle responsabilità”, permettendo così una corretta allocazione di compiti, ruoli e responsabilità e un’agevole individuazione delle linee di riporto. La definizione e l’allocazione dei ruoli si basa su quattro macro-categorie:

  • “Responsible”: colui che esegue ed assegna l’attività;
  • “Accountable”: colui che ha la responsabilità sul risultato dell’attività e deve essere univocamente individuato;
  • “Consulted”: la persona che aiuta e collabora con il Responsabile per l’esecuzione dell’attività;
  • “Informed”: colui che deve essere informato al momento dell’esecuzione dell’attività.
it_IT
en_US it_IT