Sicurezza informatica e imprese di famiglia
La vera vulnerabilità delle imprese di famiglia non è nel software
Il nuovo report di Deloitte sulla cybersecurity nelle imprese di famiglia fa riflettere. I numeri sono eloquenti: tre imprese di famiglia su quattro nel mondo hanno subito almeno un attacco informatico negli ultimi due anni. Il 49% ha dovuto fronteggiare malware, il 48% tentativi di phishing, il 43% episodi di social engineering. E solo il 43% dichiara di avere una strategia di sicurezza informatica davvero solida.
Sono dati che non si possono ignorare, soprattutto per chi — come noi — lavora a stretto contatto con imprenditori e famiglie imprenditoriali che custodiscono storie, valori e patrimoni costruiti in decenni di lavoro.
Ma c'è qualcosa in questi numeri che va letto al di là della superficie tecnica.
Il problema non è (solo) tecnologico
Quando si parla di cybersecurity, il riflesso condizionato è immediato: aggiornare i sistemi, comprare software migliori, affidarsi a esperti IT. Tutto giusto, tutto necessario. Ma non sufficiente.
Il report stesso lo dice chiaramente: la grande maggioranza degli attacchi passa attraverso l'errore umano. Una mail convincente. Un fornitore di fiducia compromesso. Un collega che non ha segnalato qualcosa di strano per paura di fare brutta figura. Un programmatore che ha spostato dati reali su un ambiente di test non protetto — come nel caso raccontato nel report di un'azienda sanitaria che ha visto violati i dati di 15-20.000 pazienti.
Christopher Hadnagy, nel suo libro Human Hacking, lo spiega con una lucidità che non lascia scampo: gli attaccanti non sfondano i muri, li aggirano. Sfruttano la cortesia, la fiducia, la fretta, il desiderio di essere utili. Costruiscono relazioni false per ottenere accesso reale. Il bersaglio non è il firewall — è la persona.
Questo cambia radicalmente il problema. E quindi cambia radicalmente la soluzione.
Consapevolezza, regole chiare, cultura organizzativa
La vera prima linea di difesa non è tecnologica. È umana.
È la consapevolezza del singolo dipendente che sa riconoscere una mail sospetta — non perché ha letto un manuale, ma perché capisce il perché di quella regola. È la chiarezza procedurale che elimina le zone grigie: nessun pagamento viene eseguito sulla base di una mail, senza una verifica indipendente. È la cultura organizzativa che rende possibile dire "aspetta, qualcosa non mi torna" senza sentirsi in imbarazzo.
E qui arriviamo a qualcosa che conosciamo bene.
Pensiamo a ciò che accade in sala operatoria. Uno dei grandi progressi della medicina moderna non è stato un nuovo strumento chirurgico, ma l'introduzione delle checklist — e soprattutto la creazione di un clima in cui chiunque, dal primario all'infermiere, possa alzare la mano e dire "mi fermo, c'è qualcosa che non va". Non è scontato. Richiede una cultura precisa, fiducia reciproca, regole chiare su chi fa cosa e quando.
Nelle imprese di famiglia funziona esattamente allo stesso modo. Un dipendente che riceve una mail strana dal "capo" con una richiesta urgente di bonifico: la segnala? O tace per non disturbare, per non sembrare paranoico, per non rallentare le cose? La risposta dipende dal clima che quell'organizzazione ha costruito nel tempo.
Lavorare sulla struttura, prima che sull'emergenza
Quello che il report di Deloitte suggerisce tra le righe — e che noi diciamo esplicitamente nel nostro lavoro — è che il tema della sicurezza informatica non si risolve con un intervento straordinario. Si affronta costruendo organizzazioni più mature, più consapevoli, più coese.
Questo significa lavorare sulla chiarezza della struttura organizzativa: chi decide cosa, chi ha accesso a cosa, chi risponde a chi. Significa investire nella crescita culturale delle persone, perché sappiano non solo cosa fare, ma perché farlo. Significa costruire ambienti in cui la fiducia reciproca sia abbastanza solida da permettere a qualcuno di dire "ho sbagliato" o "ho visto qualcosa di strano" senza che questo diventi una colpa.
Come scrivono i responsabili dell'azienda manifatturiera citata nel report: "Nessun dipendente dovrebbe essere punito per aver commesso un errore o essere caduto in un inganno. Questo è fondamentale, perché la natura umana porta a pensare di poter subire conseguenze negative, e questo potrebbe portare a non segnalare le violazioni."
Ecco il punto. La sicurezza non è solo un problema di sistemi. È un problema di relazioni, di fiducia, di cultura.
Le imprese di famiglia hanno un vantaggio straordinario su questo fronte — la profondità dei legami, la continuità dei valori, la possibilità di costruire comunità organizzative coese. Ma questo vantaggio non si attiva da solo: va coltivato con attenzione, anche — e forse soprattutto — quando si parla di sicurezza informatica.
La tecnologia protegge chi già sa difendersi. La cultura protegge tutti.
Una piccola auto-diagnosi per imprenditori
Prima ancora di parlare di software o firewall, può essere utile farsi tre domande molto semplici.
1⃣ Se un collaboratore ricevesse una richiesta sospetta a mio nome — ad esempio un bonifico urgente — si sentirebbe libero di fermarsi e verificare? Oppure avrebbe paura di rallentare le cose o di disturbare?
2⃣ In azienda è davvero chiaro chi può autorizzare pagamenti, accessi ai dati e decisioni sensibili? O esistono ancora zone grigie affidate alla fiducia personale?
3⃣ Se qualcuno commettesse un errore o cadesse in un tentativo di phishing, lo direbbe subito? Oppure cercherebbe di nasconderlo per timore delle conseguenze?
Le risposte a queste domande dicono molto più sulla sicurezza di un’impresa di qualunque software.
Nelle imprese di famiglia la cybersecurity è quasi sempre il riflesso di qualcosa di più profondo: la qualità della struttura organizzativa, delle regole e del clima di fiducia interno.
La vera sicurezza di un’impresa non sta nei sistemi che installa, ma nella qualità dell’organizzazione che costruisce.
Se ti riconosci in queste domande e vuoi ragionare su quanto è matura la tua organizzazione da questo punto di vista, possiamo sentirci per un confronto.
