“Ecco come funziona l’approccio ERM per la gestione integrata del rischio cyber”. Intervista a Salvatore Lampone (CRO Leonardo)

2 years ago 205

Intervista a Salvatore Lampone, Chief Risk Officer di Leonardo e presidente del Comitato Tecnico Scientifico di ANRA  – Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali.

Salvatore Lampone

Roberto Setola. Si è appena concluso il XXII convegno di ANRA, la associazione nazionale dei risk manager, che ha avuto come tema “L’ecosistema digitale del rischio: intelligenza artificiale e big data”. Quali sono stati i principali aspetti che sono emersi in tema di potenzialità e limiti nell’utilizzo di questi strumenti per una più efficace gestione dei rischi?

Salvatore Lampone. Il 22° Convegno Annuale di ANRA è stato molto interessante ed ha mantenuto le promesse  sul tema dell’evoluzione tecnologicain ottica di Intelligenza Artificiale e Big Data grazie anche agli interventi di risk manager di grandi e medie aziende, esponenti di rilievo delle compagnie assicurative ed esperti del mondo del lavoro, dell’etica.

Nel nostro mestiere sono ormai imprescindibili la crescita della rete mondiale di comunicazione dati e la spinta dell’innovazione tecnologica avvenuta in questi due primi decenni degli anni duemila. Si sono così innescati diversi fenomeni: la progressiva ed esponenziale estensione di sistemi di intelligenza artificiale, la digitalizzazione delle aziende, la dematerializzazione degli archivi dei dati e delle informazioni, l’avvento di una dimensione social delle comunicazioni e delle relazioni. Tutto ciò ha cambiato le abitudini di vita e gli stili di consumo. Per la società, le aziende e i singoli cittadini questo significa nuove opportunità, ma anche nuove minacce e rischi di cui tener conto.

Ma l’eccezionalità di questa fase evolutiva deriva anche dalla enorme accelerazione causata da molteplici concomitanti straordinari fattori di cambiamento; la pandemia, il conflitto fra Russia e Ucraina e, più in generale, la transizione energetica.

Il Covid ci ha insegnato ad affrontare una crisi sistemica che, dopo aver colpito la salute delle persone e la tenuta dei sistemi sociali e sanitari, ha dipanato effetti considerevoli sull’economia globale, su imprese e consumatori, su istituzioni e cittadini.

Il Post-Covid sta evidenziando quanto il rebound economico sia composto da una metà illuminata – la crescita di fiducia, consumi e PIL – e da una metà decisamente più in ombra, dove si cumulano mismatch tra domanda e offerta (di beni, servizi e competenze), colli di bottiglia e discontinuità nella logistica e nei trasporti, spinte inflazionistiche.

Il conflitto in Ucraina ha determinato una fortissima destabilizzazione a livello internazionale, tanto che i paesi dell’area euro-atlantica nel recente vertice Nato di Madrid hanno definito nuove strategie di difesa non solo verso la Russia stessa, ma anche verso la Cina: i repentini cambiamenti sul piano geopolitico e militare mostrano all’evidenza embarghi e sanzioni, shortage di materie prime e commodities energetiche, con nuove dinamiche inflattive di incerta durata.

Altro fattore di cambiamento e di crescente pressione è quello determinato dagli obiettivi fissati per lo sviluppo sostenibile, i quali hanno una validità globale, riguardano e coinvolgono tutti i Paesi e le componenti della società, dalle imprese private al settore pubblico, dalla società civile agli operatori dell’informazione e della cultura.

Ecco perché è generalmente riconosciuto che viviamo una fase di transizione senza precedenti nella quale si afferma o sopravvive chi, modificando strategie e trasformando processi operativi, applica tecnologie di intelligenza artificiale con tempestività ed efficacia per affrontare le sfide imposte da cambiamenti talora insospettabili per rapidità e impatti.

Nel Convegno è emerso in modo chiaro che vi è consapevolezza del fatto che l’intelligenza artificiale può, se utilizzata in modo improprio, generare notevoli rischi, riconducibili all’interazione dei sistemi di IA con gli esseri umani e con altri sistemi di IA, nonché rischi sociali quando viene utilizzata per escludere o discriminare fasce sociali o minoranze, o per manipolazione dell’opinione pubblica.

Il gestore del rischio è ormai obbligato ad usare le enormi capacità di calcolo che con sempre maggiore rapidità ed efficienza consente la tecnologia, ma deve mantenere un approccio olistico, tenendo fede al processo di risk management, di modo che nel momento delle decisioni integri l’output della “macchina” con il senso della realtà e della opportunità in senso lato, che solo l’uomo può valutare considerando aspetti che sfuggono al calcolo matematico.

Come dice Federico Faggin, uno dei più grandi inventori italiani padre del microprocessore, è vero che un chip fa un miliardo di moltiplicazioni al secondo mentre noi ne facciamo una al minuto, ma nell’essere umano c’è qualcosa di irriducibile, qualcosa per cui nessuna macchina potrà mai sostituire l’uomo.

Roberto Setola. Un tema che è emerso durante il dibattito è la necessità di una innovazione anche negli strumenti assicurativi per gestire in modo più efficace i rischi connessi con la dimensione digitale a partire da quelli legati alla cybersecurity anche alla luce della presa di posizione di EIOPA  del 22 settembre 2022

Salvatore Lampone. Il quadro che vediamo è connotato dai seguenti elementi:

  • Aumento degli attacchi informatici, favorito da fattori sia endogeni (i.e. smart working) che esogeni (i.e. finalità di lucro e facilità di ottenimento del riscatto in caso di ransomware)
  • Inquadramento delrischio Cyber generalmente al primo posto fra quelli aziendali (Fonte: Allianz)
  • Esclusione chiara di eventi Cyber-related, in passato ricompresi nell’ambito delle polizze classiche in essere, o parallelamente, gestiti in «autoassicurazione».
  • Richieste di garanzie contrattualida parte di clienti a fornitori di prodotti/servizi sempre più stringenti cui far fronte.

Come noto, EIOPA ha pubblicato, il 22 settembre scorso, due Dichiarazioni di vigilanza (“Supervisory Statement”) in materia di:

  • esclusioni contrattuali relative a eventi sistemici come pandemie, catastrofi naturali o grandi attacchi informatici;
  • gestione delle esposizioni informatiche non affermative.

In estrema sintesi, l’Autorità europea sottolinea che, con l’aumento della frequenza degli eventi sistemici, esiste il rischio che i prodotti assicurativi che li coprono diventino inaccessibili o non disponibili. Allo stesso tempo, i prodotti che coprono tali eventi o che li ignorano, potrebbero escluderli esplicitamente in futuro.

Inoltre, EIOPA raccomanda di prestare sempre maggiore attenzione alla valutazione dei termini e delle condizioni dei prodotti che coprono i rischi informatici.

Ne discende, ora più che mai, che le imprese identifichino e misurino la propria esposizione al rischio informatico al fine di attuare sane pratiche di sottoscrizione.

Emerge dunque con tutta evidenza la necessità di un salto di qualità che coinvolga proattivamente tutti gli attori, cioè assicurati e assicuratori. In altri termini, cercando di esemplificare al massimo, occorrerebbe arrivare proattivamente:

  • a una rappresentazione corretta ed efficace di tutti i sistemi/beni e servizi di cui gli assicurati dispongono per limitare al massimo gli attacchi cyber su proprie reti e sistemi, in modo da permettere agli assicuratori di valutare/quotare il rischio residuale;
  • definire una quantificazione economica degli eventuali danni in caso di attacchi cyber;
  • descrivere beni e servizi cyber venduti a terzi in modo da permettere agli assicuratori di valutare anche il rischio Responsabilità Civile legato al business.

A livello europeo mi risulta che imprese assicuratrici e business siano sulla buona strada, forse nel nostro ambito nazionale dovremmo orientarci con più convinzione e seguire l’esempio.

Roberto Setola. Lampone lei è Chief Risk Officer di Leonardo una delle prime realtà industriali italiane ad abbracciare un approccio ERM per la gestione integrata del rischio, potrebbe sintetizzarci come si caratterizza un approccio ERM e quale è l’esperienza di Leonardo in questo ambito?

Salvatore Lampone. Il settore AD&S, in cui opera Leonardo, è contraddistinto da una intrinseca complessità dettata, anzitutto, dalle peculiarità dei prodotti ad alto contenuto di innovazione tecnologica, cicli di vita ventennali, ingenti costi non ricorrenti legati alle attività di sviluppo e industrializzazione, volumi di vendita contenuti. Inoltre, i mercati di riferimento, sono fortemente influenzati dalle dinamiche evolutive degli scenari politico, economico, sociale e tecnologico e dalle loro molteplici interdipendenze, con un livello di competizione in costante crescita, anche a fronte dell’ingresso di nuovi player, provenienti da nuovi paesi o da mercati adiacenti, dotati di competenze consolidate su tecnologie innovative.

Tale contesto, ulteriormente perturbato da crisi sistemiche, fattori di discontinuità globali ed equilibri instabili, impone alle aziende di adottare un efficace sistema di gestione dei rischi di impresa, al fine di preservare la generazione di valore, irrobustire le capacità predittive dell’organizzazione e garantire, quindi, una perdurante sostenibilità del business nel lungo termine.

Il processo di Enterprise Risk Management (ERM) in Leonardo è ispirato al rispetto dei principi contenuti nelle normative di riferimento, alle metodologie definite dagli standard e dalle best practice nazionali e internazionali; si basa sulla la gestione dei rischi proattiva, efficace, efficiente e coerente con gli obiettivi strategici e il Sistema di Corporate Governance aziendale. Si tratta di un processo unico, omogeneo e applicato sistematicamente con metodologie e metriche qualitative e quantitative uniformi; è trasversale, pervasivo ed integrato con i processi aziendali e di pianificazione (piano strategico e tecnologico; piano di sostenibilità; piano investimenti; business plan di prodotto; piano commerciale; budget-piano) e si sostanzia nelle fasi di identificazione, valutazione, trattamento, monitoraggio e reporting dei principali rischi di impresa, incluse le opportunità. Il processo coinvolge in modo continuativo l’intera organizzazione, favorisce la diffusione della cultura del rischio e supporta le decisioni del business assunte nella consapevolezza del rischio.

L’approccio ERM in Leonardo promuove la prospettiva “multifunzionale” quale migliore soluzione per una efficace analisi e gestione dei rischi, facendo intervenire le necessarie competenze multidisciplinari che possano restituire una visione chiara ed integrata del rischio e dei suoi possibili impatti sull’impresa, con particolare riferimento agli obiettivi definiti in termini di ordini commerciali, ricavi, profitto e cassa,. La funzione di Risk Management – indipendente dalle unità di business, operative e tecniche – è cruciale nel supportare efficacemente l’applicazione del processo, delle regole, dei metodi e metriche e per disseminare la cultura del rischio e l’approccio risk-based-thinking verso tutti gli stakeholder; nell’ambito delle sue responsabilità rientra la fase del reporting, abilitante dell’escalation dei principali rischi di impresa verso i livelli organizzativi preposti contribuendo alla «qualità» e «velocità» delle decisioni.

Il nostro approccio ERM può contare, inoltre, sull’utilizzo esteso di un unico strumento informatico proprietario, appositamente disegnato per supportare tutte le fasi operative del processo di gestione dei rischi, che costituisce anche la knowledge base dei rischi, delle azioni definite per gestirli e del loro esito.

Read Entire Article