Di recente mi sono state fatte alcune domande in merito a come scegliere standard e/o procedure efficaci da mantenere nel tempo e sui quali investire risorse umane e finanziarie. Facciamo alcune considerazioni in merito.
Tempo
L’adozione di uno standard, sia esso una ISO piuttosto che un altro, è da ritenersi un importante investimento di tempo. Questo investimento è necessario perché la modifica di attività e procedure non avviene in fretta ma richiede attenzioni e riguardi che non devono essere trascurati. Il tempo è richiesto soprattutto in tre fasi:
- La progettazione della nuova procedura, che non deve andare a detrimento del processo ma deve arricchirlo.
- L’implementazione vera e propria, che spesso è graduale o comunque “attenzionata” da parte degli incaricati.
- Il monitoraggio, che spesso richiede piccole azioni correttive per farla funzionare meglio.
Ciò significa una migliore conoscenza del proprio operato e una migliore capacità di personalizzazione delle attività lavorative. Questo avviene anche quando sono adottati standard con procedure e obiettivi già definiti e suggeriti: il modello procedurale è sempre diverso da quello realmente implementato.
Formalizzazione
A voce non si ufficializza nulla, nemmeno le cose più semplici, figuriamoci affrontare un’ispezione per ottenere una conformità a qualcosa. Le organizzazioni devono dedicare tempo alla scrittura di piani ed elenchi senza i quali diventa difficile dimostrare a chiunque la bontà del proprio operato.
Spesso a lezione faccio questo esempio: immaginate di essere sotto ispezione da parte di un’autorità e che l’ispettore vi chieda come eseguite una determinata procedura e quali sono stati gli esiti. Voi rispondete in modo preciso e circostanziato, dicendo che la procedura funziona in un determinato modo e i risultati delle ultime due settimane non hanno mostrato errori. Cosa pensate che accada appena finite di parlare? Sicuramente l’ispettore aggiungerà qualcosa di simile a “posso vedere le risultanze?” Nessun controllo, verifica, ispezione, accertamento (chiamatelo come volete), può rendere ufficiale qualcosa che non è scritto. Al più si attesta una dichiarazione che, tuttavia, risulterà non verificabile da parte dell’ispettore.
Durante le lezioni consiglio sempre di mettersi nei panni dell’ispettore: una volta finito l’ispezione tornerà in ufficio a stendere un rapporto completo e dettagliato ma come farà a dichiarare ciò che voi gli avete detto se non avrà prove tangibili a supporto? Non potrà certo farlo solo sulla base delle dichiarazioni anche perché la responsabilità legale di quel rapporto è tutta sua e certamente non vorrà prendersi in carico dichiarazioni non dimostrabili.
Ecco quindi che la formalizzazione di documenti, verbali, risultati di test ed esiti di procedure sono fondamentali e devono avere tutti i requisiti per attestarne la veridicità. Un verbale in Word è molto differente da un verbale in PDF firmato digitalmente.
Ruoli e Responsabilità
Ogni procedura deve avere almeno un responsabile e deve avere una serie di “operatori” assegnati alla sua attuazione ma questo implica la formalizzazione di ruoli e responsabilità all’interno di un apposito documento che dovrebbe essere conosciuto con il nome di mansionario. Durante un intervento in un un comune abruzzese (nel 2021) mi è capitata una vicenda significativa in tal senso.
Uno dei tecnici dell’ufficio informatica era stato incaricato di monitorare la procedura di backup e di verificare la corretta creazione dei pacchetti dati. Durante un’ispezione tesa a censire le procedure svolte dall’ufficio, ho chiesto dove fosse stato formalizzato l’incarico e nessuno ha risposto. Timidamente il tecnico ha detto forse nel mio contratto che, ovviamente, non includeva questo livello di dettaglio. Il contratto lo assegnava in forza all’ufficio informatica ma rimandava a mansioni stabilite dal dirigente e presenti nel mansionario.
Il mansionario, che avrebbe dovuto avere questo livello di dettaglio, era fermo al 2001 e mai più aperto e aggiornato. A questo punto, per far capire la delicatezza della questione, andai dal dirigente e chiesi di vedere la documentazione che autorizzava quel tecnico a svolgere l’attività di controllo sui pacchetti di backup, soprattutto in considerazione del fatto che tale attività esponeva tutti i dati potenzialmente rilevanti del comune.
Oggi se aprite quel mansionario, nella tabella delle revisioni si legge che dal 2001 vi è un salto al 2021. Venti anni per aggiornare un documento a garanzia del comune ma anche dello stesso dirigente. Identificare le responsabilità di una procedura è fondamentale, è previsto dalle ispezioni svolte dalle autorità e non può essere un’azione delegata ad una funzione senza nome.
Conclusioni
Oggi il panorama continua ad essere molto differente: la maggior parte delle aziende ha una reticenza a formalizzare procedure e responsabilità. Durante le verifiche spesso mi viene chiesto se convenga davvero fare questo lavoro di formalizzazione piuttosto che “alleggerire” gli eventuali resoconti di incidenti.
Mentireste ad un’autorità con il rischio di dover affrontare conseguenze legali? Perché derubricare le conseguenze di un incidente informatico, molto spesso, significa mistificarlo e la mistificazione è un’alterazione della realtà. Significa, ad esempio, mentire sui tempi di reazione o sull’importanza del danno subito ed è una pessima idea soprattutto quando lo si fa in atti ufficiali e pubblici.
La trasparenza è sempre la strada migliore: è vero che sul momento sembra di esporsi a conseguenze gravi ma su lungo periodo limita i danni collaterali derivanti da un’inchiesta ed evita di far partire “d’ufficio” delle procedure di sanzione o ammonizione. Occultare informazioni, non rispettare le tempistiche di legge, ritardare gli adempimenti, sono tutte azioni che possono diventare gravami molto insidiosi da gestire. Nella rassegna stampa del Codacons del 25 gennaio 2026 è stato pubblicata una serie di notizie tra cui una del Corriere del Mezzogiorno edizione Bari.
Attacco hacker all’app del trasporto pubblico, al Comune sapevano da mesi (ma le mail agli utenti inviate quasi un anno dopo). «L’Amtab ora spieghi»
In aggiunta all’incidente informatico in sé, ora l’Amtab si trova a dover gestire le eventuali conseguenze di una sua azione non conforme alla norma e di cui viene chiesta chiarezza e questo rischia di aprire un caso che il giornalista definisce anche politico e che comunemente siamo abituati a definire “un polverone”. Evitiamo il solito (ma giusto) discorso sulla mancanza di cultura nel trattamento dei dati personali. Il motivo che accomuna molti data breach è anche l’assenza di una responsabilità “personale” per il danno causato. Cosa pensereste di un’organizzazione che, per oltre 10 anni, omettesse l’applicazione delle più basilari misure di sicurezza informatica? Non credo sia necessario rispondere a questa domanda.
