Traduzione dall’articolo originale Protect. Prevent. Progress! Master Digital Risk Management di Marco Amadei, Trainer and consultant, Co-Owner and Lead Trainer at EduBP e Stefano Bellelli, PM & ITSM trainer, Green Mill Solutions (Published: 22 October 2025)1
Introduzione
Un metodo di Risk Management per il 21° secolo
La gestione del rischio è un tema ricorrente in tutte le discipline manageriali. I framework tradizionali — dal project management all’IT governance, fino all’enterprise architecture — ne sottolineano costantemente l’importanza. Anche i framework Agile ne riconoscono il valore.
In sostanza, il Risk Management è (o dovrebbe essere) un modo per affrontare l’incertezza. Tuttavia, nella pratica viene spesso applicato come un esercizio burocratico, seguendo procedure in modo rituale senza comprenderne appieno lo scopo o l’impatto.
Una delle cause di questa deriva è il magical thinking (o, come spesso viene definito, il cargo cult del risk management): la convinzione che il rischio possa essere gestito semplicemente applicando un insieme prestabilito di procedure.
Un altro motivo è la deviazione dagli obiettivi: dall’efficacia della gestione dei rischi alla pura dimostrazione che le attività di gestione del rischio prescritte siano state eseguite. In questo caso, l’attenzione si concentra sulla conformità, sull’esigenza di dimostrare che siano stati implementati controlli adeguati per soddisfare requisiti normativi e policy interne.
Il risultato è che il Risk Management tende a privilegiare la mitigazione delle minacce (in particolare quelle legate alla sicurezza), trascurando del tutto la gestione delle opportunità. Ma, come nello sport, anche nel business una squadra che si concentra solo sulla difesa e trascura l’attacco finirà per diventare inefficace in entrambi.
La sfida più urgente per le imprese di oggi è imparare a sopravvivere alla digital disruption, ovvero alla discontinuità operativa generata dall’adozione di tecnologie trasformative come l’intelligenza artificiale, l’Internet of Things, la blockchain, la robotica e il cloud computing. L’accelerazione tecnologica ha reso il mondo digitale VUCA — Volatile, Uncertain, Complex, Ambiguous. Di conseguenza, è essenziale passare da una visione deterministica dello sviluppo del business (“if-then-else”) a una visione probabilistica (“if-then-maybe”), più in linea con la mentalità Agile, che valorizza adattabilità, sperimentazione e apprendimento continuo.
Il Digital Risk Management è il processo continuo di identificazione, valutazione, prioritizzazione e trattamento dei rischi — positivi e negativi — per ottimizzarne l’impatto sugli obiettivi aziendali. Una gestione efficace del rischio digitale consente alle organizzazioni di prosperare in un panorama sempre più competitivo e iperconnesso.
È importante sottolineare che il Digital Risk Management non rappresenta una rottura con il risk management tradizionale, bensì la sua naturale evoluzione in un contesto in cui, come evidenziato nel DevOps Handbook, ogni organizzazione può essere considerata un’azienda tecnologica, indipendentemente dal settore in cui opera.
Le componenti del Digital Risk Management
Molte innovazioni tecnologiche non nascono da invenzioni del tutto nuove, ma dalla combinazione di idee e tecnologie preesistenti.
Ad esempio, la blockchain deriva dall’integrazione di reti peer-to-peer, crittografia e una reinterpretazione della contabilità a partita doppia.
Allo stesso modo, l’intelligenza artificiale si è sviluppata grazie alla convergenza tra capacità computazionali avanzate, disponibilità di grandi quantità di dati e decenni di ricerca algoritmica. Il cloud computing, invece, è emerso dall’unione di virtualizzazione, sistemi distribuiti e connettività internet ad alta velocità.
Le discipline manageriali dovrebbero seguire lo stesso principio, contestualizzando i propri principi consolidati alla luce delle nuove condizioni. Il Digital Risk Management (DRM) incarna questo approccio, riconfigurando le pratiche tradizionali per rispondere alla realtà digitale contemporanea.
Nel contesto della trasformazione digitale, il DRM può essere articolato in cinque componenti fondamentali.
1. Concetti e definizioni fondamentali per il Digital Risk Management
Una definizione rigorosa dei concetti chiave del rischio è la base per una gestione efficace. In un ambiente VUCA, caratterizzato da volatilità, incertezza, complessità e ambiguità, tornano di attualità concetti del XX secolo come la probabilità epistemica (sviluppata dall’epistemologia e dalla teoria bayesiana).
Questi concetti affrontano la sfida cruciale di ragionare e prendere decisioni in condizioni di incertezza tipiche dei contesti digitali, dove ogni fenomeno nasce da una configurazione unica e irripetibile di condizioni, forze e variabili — i cui effetti sono spesso non lineari e difficili da isolare.
2. Risk Conceptual Decomposition (RCD)
Scomporre un rischio nei suoi componenti logici e comprenderne le interdipendenze consente di osservarli, analizzarli e controllarli meglio, aprendo così nuove possibilità di intervento efficace.
Ogni rischio può essere inteso come la combinazione tra la probabilità che un evento si verifichi e l’entità del suo effetto laddove si verifichi.
Ad esempio, un’azienda che intende entrare in un nuovo segmento di mercato e ha la possibilità di spodestare un concorrente affermato può quantificare questa opportunità come il prodotto tra la probabilità e la portata del successo (ovvero della conquista di una quota di mercato).
La probabilità di raggiungere l’obiettivo dipende a sua volta da diversi sottofattori. Uno di questi riguarda il grado di accessibilità del mercato target o il livello di protezione garantito dalle barriere d’ingresso che tendono a precludere la possibilità di acquisire una conoscenza più approfondita dei clienti target. Un altro sottofattore concerne la probabilità che l’impresa persegua effettivamente un’azione, basandosi su un business case che valuti in modo ponderato benefici, costi e i rischi, inclusa la possibilità di contromisure da parte dei concorrenti. Infine altri sottofattori includono la probabilità di cogliere di sorpresa i concorrenti (che non si attiveranno in azioni protettive) e le risorse e il know-how relativi mobilitate dall’impresa e dai suoi rivali.
Infine, è opportuno notare che l’effetto complessivo derivante dalla conquista di un asset può superare il suo valore intrinseco: ad esempio, tale conquista può anche accrescere la reputazione dell’impresa. In particolare, i social network possono fungere da potenti amplificatori sia dei successi sia degli insuccessi — come spesso accade nello sport, dove tifosi, media e attenzione virale tendono a moltiplicare rapidamente l’impatto dell’esito di una competizione.
3. Controlli basati su RCD
I controlli mirati sono specifici per ciascun elemento della decomposizione concettuale del rischio (RCD). Possono essere esercitati sia da chi persegue un’opportunità (superando ostacoli per accedere a un valore), sia da chi difende da una minaccia (evitando perdite o interruzioni).
In entrambi i casi, i controlli servono a rimodellare le probabilità e gli effetti potenziali degli scenari di rischio, trasformando la gestione del rischio in un processo dinamico e bidirezionale — più simile a una partita strategica che a un semplice meccanismo difensivo.
4. Il processo di Risk Management
Il processo di gestione del rischio comprende l’identificazione, la valutazione qualitativa e quantitativa, e la pianificazione iterativa delle risposte, che si concretizzano attraverso un insieme bilanciato di controlli basati su RCD.
Durante tutto il processo, la comunicazione e la gestione delle ipotesi e delle informazioni legate al rischio restano attività costanti, garantendo trasparenza e adattabilità.
Il DRM può operare come processo autonomo a livello aziendale o operativo, anche in contesti non Agile.
Nei contesti Agile, invece, dovrebbe essere integrato come tecnica complementare all’interno dei framework esistenti.
L’approccio Agile, infatti, è intrinsecamente orientato alla gestione del rischio, poiché riduce progressivamente l’incertezza a ogni iterazione. Framework iterativi e incrementali come Scrum o AgilePM3 possono quindi integrare il DRM come livello aggiuntivo di analisi e decisione.
Seguendo questo approccio, gli Scrum Product Owner dovrebbero identificare i rischi specificandone gli agenti e le cause, gli eventi di rischio e i loro effetti sugli asset; successivamente, dovrebbero stimarli e valutarne il valore monetario, al fine di poterli prioritizzare insieme agli altri elementi del Product Backlog. È preferibile dare priorità a un elemento del backlog che genererà un profitto garantito di un milione entro un anno, oppure a un’opportunità che presenta una probabilità del 50% di produrre tre milioni nello stesso periodo?
Tecniche tradizionali, come le simulazioni di Monte Carlo, possono essere utilizzate per fornire stime accurate della probabilità e dell’impatto di ciascun elemento dell’RCD. Un Decision Tree può supportare il Product Owner nell’ottimizzare l’ordine degli elementi del Product Backlog, tenendo conto della natura non lineare del valore.
Inoltre, così come il backlog refinement suddivide le user story più generiche in elementi più dettagliati, anche i rischi possono essere scomposti nelle loro molteplici cause tramite i diagrammi a lisca di pesce (Fishbone Diagrams), consentendo così di rafforzare o mitigare in modo mirato ciascun elemento. Se sapessimo quale farfalla in Brasile provocherà un tornado in Texas, potremmo facilmente catturarla e inchiodarla al muro, evitando così il rischio di devastazione con un investimento minimo.
Nel corso di ciascun sprint, gli sviluppatori possono pianificare e implementare i controlli previsti dall’RCD per i diversi elementi che lo compongono. Ancora più importante, possono verificare la modellizzazione di ciascun rischio identificato e dei controlli ad esso applicati, seguendo il ciclo di Deming (Plan, Do, Study, Act).
5. Un approccio per costruire una cultura della gestione del rischio
La mente umana tende a basare le scelte sulle certezze; tuttavia, in un mondo VUCA, le certezze sono spesso illusioni. Chi non impara a gestire il rischio non può competere. La soluzione risiede nel cambiamento culturale.
Ancora una volta: se un’azienda investe in un’iniziativa che garantisce un milione di profitto certo in un anno, e un’altra in una che ha il 50% di probabilità di generarne tre, quale delle due ha più chance di sopravvivere alla digital disruption?
I benefici del Digital Risk Management
Il principale vantaggio del Digital Risk Management non è la maggiore efficacia nella mitigazione delle minacce digitali, bensì la capacità di ristrutturare l’organizzazione per aumentarne l’adattabilità e la resilienza a lungo termine.
Il DRM mira a trasformare l’impresa in un sistema frattale, capace di scambiare costantemente informazioni e conoscenze e di replicare modelli operativi efficaci a più livelli dell’organizzazione.
Un’impresa che adotta il DRM sviluppa strutture adattive e auto-simili che migliorano la flessibilità, promuovono la condivisione del sapere e sostengono la competitività nel lungo periodo, creando al contempo una base per modelli di decisione e analisi dei rischi abilitati dall’intelligenza artificiale.
Questa trasformazione strutturale rafforza la capacità dell’organizzazione di apprendere in modo continuo, di cogliere le opportunità digitali e di consolidare un vantaggio competitivo duraturo.
Come implementare il Digital Risk Management
Per costruire una solida capacità di gestione del rischio, le aziende possono trarre ispirazione da metodi consolidati in ambiti come la scienza militare e la cybersecurity. Esercitazioni basate su scenari, tipiche del mondo militare, o le pratiche di purple teaming della sicurezza informatica, possono essere adattate al business aziendale, ben oltre il loro impiego originario.
Ad esempio, un team interno può simulare l’attacco di un concorrente, mentre un secondo team risponde correggendo le vulnerabilità e lanciando contromisure, e un terzo rappresenta i clienti, decidendo da che parte schierarsi.
Questo tipo di simulazione non solo rafforza il lavoro di squadra e il pensiero competitivo, ma accelera lo sviluppo di una cultura del Digital Risk Management, in cui resilienza, adattabilità e decisioni basate sui dati diventano parte integrante del DNA aziendale.
Conclusione
Il Digital Risk Management trasforma la disruption in slancio, rendendola il motore di una crescita sostenibile ed efficace nell’era digitale.
Fonti
[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.
[ii] “Properly enacted, agility in projects is an effective way of dealing with project risk – there is no need for, or value in, a parallel process to ‘manage risk’.” Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.
