Le imprese devono confrontarsi con crescenti esigenze di protezione delle persone e del business e impegnarsi conseguentemente nell’ideazione, sviluppo ed attuazione di strategie, politiche e piani operativi volti a prevenire, fronteggiare e superare eventi, in prevalenza di natura dolosa, che possono danneggiare le risorse materiali, immateriali, organizzative ed umane di un’azienda. Ne abbiamo parlato con Arianna Natalini Manfredi, consulente, esperta in compliance aziendale.
Quali sono le differenze tra security e safety?
Nel linguaggio comune questi due concetti vengono spesso confusi in quanto utilizzano il medesimo termine, “sicurezza”. La “safety” rappresenta l’insieme delle misure e dei dispositivi di protezione, finalizzati a prevenire o ridurre gli infortuni in ambito lavorativo; la “security” consiste nella prevenzione di rischi legati ad eventi di criminalità, terrorismo, reputazionali, privacy, cyber o di corruzione.
Da un punto di vista normativo esistono differenze sostanziali tra safety e security?
Il legislatore prevede norme comuni alle due branche della “sicurezza”, a partire dall’art. 41 della Costituzione, l’art 2087 del Codice Civile, fino al Dlgs 81/08 (TU Sicurezza) o il Dlgs 231/01 sulla Responsabilità di Impresa. In particolare, i Dlgs 81/08 e 231/01, letti congiuntamente, offrono il quadro normativo di riferimento per le aziende sul tema della sicurezza e protezione dei lavoratori. L’analisi e la gestione dei rischi si prefigura come un obiettivo aziendale mirato alla riduzione di perdite di asset, risorse economiche e materiali, danni alle persone, ma anche come un dovere legale in capo all’azienda, e segnatamente al datore di lavoro.
In che modo le aziende possono attivarsi?
È necessario per le imprese costruire degli efficaci sistemi di controllo e di gestione che permettano di minimizzare eventuali perdite o danni per impedire la risalita delle responsabilità, anche penali. Se infatti da una parte è evidente che le aziende non possano rispondere di comportamenti criminali di terzi, dall’altra il legislatore richiede l’adozione di uno strutturato processo di valutazione e mitigazione dei rischi connessi alla sicurezza e un sistema di security che monitora la minaccia, adottando opportune misure di mitigazione. È questo infatti l’elemento esimente della responsabilità dell’impresa nel caso di eventi attinenti la sicurezza dei lavoratori sia per i rischi di safety sia di security.
È quindi obbligatorio per le aziende dotarsi di professionisti della security?
Le norme prevedono il dovere da parte del datore di lavoro di valutare e mitigare i rischi. Sebbene non esista un obbligo, le aziende di maggiori dimensioni hanno introdotto nelle proprie organizzazioni figure specializzate nella gestione dei rischi di security. Anche le micro e PMI sempre di più si avvalgono di professionisti esterni per la realizzazione e la gestione di sistemi di protezione dei dati, applicativi, infrastrutture informatiche e fisiche (antintrusione, videosorveglianza, controllo accessi, etc.) nonché sistemi di business intelligence per l’analisi delle minacce esterne, accompagnati da processi e procedure organizzative per garantirne il governo e l’efficacia.