I 5 fatti

1. La percezione dell’incertezza resta alta: metà dei rispondenti al Global Risks Perception Survey (GRPS) vede i prossimi due anni come “turbolenti” o “tempestosi” (WEF, GRPS 2025–2026). Implicazione: stress test più frequenti, non solo scenari annuali.

2. Il “confronto geo‑economico” è indicato come rischio più pressante nel 2026 e come possibile innesco di crisi globale (WEF, GRPS 2025–2026). Implicazione: alternative di fornitura e clausole contrattuali su dazi/export control.

3. Tra i rischi tecnologici, “mis/disinformazione” e “insicurezza cyber” rimangono ai vertici nell’orizzonte a 2 anni (WEF, GRPS 2025–2026). Implicazione: proteggere identità, dati e continuità come rischio di ricavi e reputazione.

4. Nel lungo periodo, i rischi ambientali dominano la classifica di severità (WEF, GRPS 2025–2026). Implicazione: capex e supply chain devono integrare resilienza fisica e disponibilità di risorse.

5. La “disuguaglianza” emerge come rischio altamente interconnesso con dinamiche economiche e sociali (WEF, GRPS 2025–2026). Implicazione: competenze, equità interna e relazione con i territori diventano mitigazioni operative.

In numeri

Come leggerli (1): le distribuzioni mostrano dispersione: lo stesso rischio può essere percepito in modo molto diverso, suggerendo incertezza elevata su traiettorie e impatti.

Come leggerli (2): la media cresce leggermente nel lungo periodo, ma il tema per le imprese è la “coda” alta (valutazioni 6–7): è lì che si annidano i casi che rompono piani e covenant.

Che cosa cambia per le imprese

Lettura pratica: trasformare i rischi “più in alto” nel report in una lista corta di decisioni e output verificabili. Ogni punto sotto indica un trigger osservabile e un KPI interno da monitorare, più un trade‑off da rendere esplicito.

·        [CEO] Ridurre concentrazione delle dipendenze critiche (paesi, fornitori, tecnologie) su 10 input chiave. Trigger: nuove restrizioni commerciali/export control o ritardi ricorrenti su un fornitore critico. KPI: % input critici con alternativa qualificata e lead‑time di switch. Trade-off: costo/unità vs continuità.

·        [COO] Inserire “continuità operativa” nei piani di stabilimento e logistica (anche OT). Trigger: fermo non pianificato o near‑miss su impianti/fornitori logistici. KPI: ore di fermo su asset critici + esiti dei test di ripristino. Trade-off: produttività vs ridondanza.

·        [CFO] Eseguire stress test trimestrali su margini e cassa legati a shock di input, energia e interruzioni. Trigger: aumento volatilità costi o peggioramento tempi incasso. KPI: buffer di liquidità (giorni) + sensitivity EBIT a shock di costo. Trade-off: efficienza capitale vs buffer.

·        [CISO] Mettere “identità + backup + terze parti” nel perimetro non negoziabile (IT/OT dove applica). Trigger: incidenti di phishing/credential leak o outage di provider. KPI: copertura MFA su privilegiati + % backup testati con restore riuscito. Trade-off: time-to-market vs controllo.

·        [HR] Stabilizzare competenze e clima interno nei ruoli critici (cyber, operations, data/AI). Trigger: aumento turnover o shortage su skill chiave. KPI: tasso turnover ruoli critici + % workforce su piani reskilling. Trade-off: costo del lavoro vs rischio operativo.

Rischio (dal report)

Manifattura

Energia‑Utility

Finance‑Assicurazioni

Tech‑ICT

Agro‑food

Confronto geo‑economico

Impatto: shock su componenti/fornitori, dazi, export controlContromisure: dual sourcing; clausole contrattuali; mappa criticità paese-fornitore

Impatto: vincoli su gas/LNG, componenti rete, permessiContromisure: portfolio fornitori; scorte strategiche su ricambi critici; stress test su indisponibilità

Impatto: volatilità su mercati e cross‑border, sanzioniContromisure: screening sanzioni; limiti di controparte; piani di continuità su mercati

Impatto: restrizioni su chip/cloud, sovereign requirementsContromisure: strategie multi‑cloud; escrow; inventory dipendenze; compliance export

Impatto: fertilizzanti, mangimi, logisticaContromisure: contratti a lungo; alternative input; diversificazione rotte

Mis/disinformazione

Impatto: attacchi reputazionali, crisi su safety/qualitàContromisure: monitoring media; playbook crisis comms; tracciabilità qualità

Impatto: sfiducia su prezzi/blackout, protesta socialeContromisure: comunicazione trasparente; canali customer; simulazioni crisis

Impatto: bank run digitale, frodi, manipolazioneContromisure: monitoring rumor; antifrode; comunicazioni customer verificate

Impatto: abuso brand, phishing, social engineeringContromisure: DMARC/SPF; awareness; SOC use-case su brand abuse

Impatto: false info su sicurezza alimentare/origineContromisure: tracciabilità lotti; certificazioni; response rapida

Insicurezza cyber

Impatto: fermi impianto (OT), ransomwareContromisure: segmentazione OT/IT; backup offline; esercitazioni ripristino

Impatto: attacchi a reti e control roomContromisure: hardening ICS; gestione terze parti; incident response con esercizi

Impatto: servizi critici, regolatoContromisure: controlli DORA-like; test resilienza; gestione provider ICT

Impatto: supply chain software, cloud outageContromisure: SBOM; disaster recovery; contratti SLA; multi-region

Impatto: IoT e logistica, frodi su filieraContromisure: MFA; logging; access management; controlli su terzi

Eventi meteo estremi

Impatto: danni asset, interruzioni logisticheContromisure: valutazioni fisiche sito; ridondanza logistica; assicurabilità

Impatto: stress rete, picchi domandaContromisure: piani resilienza rete; manutenzione predittiva; backup alimentazione

Impatto: impatti su collateral e sinistriContromisure: modelli cat risk; revisione underwriting; stress su portafogli

Impatto: datacenter cooling/power, continuitàContromisure: piani continuità energetica; siti alternativi; test DR

Impatto: resa agricola, acquaContromisure: piani irrigazione; varietà resilienti; diversificazione sourcing

Polarizzazione sociale / disuguaglianza

Impatto: conflitti industriali, turnoverContromisure: relazioni industriali; salari/benefit competitivi; ascolto interno

Impatto: accettabilità sociale di infrastruttureContromisure: stakeholder plan; trasparenza; investimenti territoriali

Impatto: rischio reputazionale e politicoContromisure: policy di condotta; monitor ESG; piani su inclusione

Impatto: talent war e sicurezzaContromisure: policy su lavoro; sicurezza; HR analytics su rischio fuga competenze

Impatto: tensioni su prezzi e accesso al ciboContromisure: price strategy; filiere locali; comunicazione valore

Esiti avversi dell’IA

Impatto: errori qualità, responsabilità prodottoContromisure: governance AI; validazione modelli; controlli umani su decisioni critiche

Impatto: ottimizzazioni errate su rete/dispatchContromisure: audit modelli; simulazioni; fallback manuale

Impatto: credit/claim decisioning e complianceContromisure: model risk management; trasparenza; logging e audit trail

Impatto: AI nei prodotti e nel SOCContromisure: policy su dati; red teaming; vendor risk; AI literacy

Impatto: previsioni domanda/resa e prezziContromisure: monitor drift; diverse fonti dati; explainability

Funzione

Azioni entro 90 giorni (output atteso)

CEO/COO

• Identificare 3 processi “stop‑the‑business” e fissare target interni di ripristino (RTO/RPO) per IT e OT.• Approvare un piano di riduzione concentrazione su fornitori/paesi per 10 input critici.• Eseguire un tabletop exercise su “confronto geo‑economico” (dazi/export control + shortage) con procurement e legale.

CFO

• Aggiornare stress test di liquidità su due shock: (i) costi input/energia; (ii) stop operativo 5–10 giorni (simulazione interna).• Rivedere clausole contrattuali su forza maggiore, indicizzazione e termination; mappare esposizione su controparti extra‑UE.• Verificare coperture assicurative: cyber, property, business interruption (gap e franchigie).

CRO / Risk

• Convertire il registro rischi in una mappa “rischio → controlli chiave → segnali precoci” per i primi 10 rischi rilevanti.• Stabilire un processo mensile di risk review con KPI leading (cyber, supply chain, clima fisico) e owner nominati.• Eseguire un assessment terze parti per i 20 fornitori più critici (IT, logistica, componenti).

CIO/CISO

• MFA obbligatoria su account privilegiati + revisione accessi; verifiche su backup offline e restore test.• Piano di hardening e segmentazione OT/IT (se presente): inventario asset e telemetria minima.• Preparare reporting incidenti e procedure coerenti con NIS2/DORA ove applicabile (gap analysis documentata).

Appuntamenti

• NIS2: verificare perimetro e obblighi di incident reporting nei settori essenziali/importanti (Italia/UE).

• DORA: per finanza/assicurazioni, consolidare i processi su rischio ICT, test e terze parti (applicabile dal 17 gennaio 2025).

• AI Act: completare inventario dei casi d’uso e il modello di governance (piena applicabilità dal 2 agosto 2026, con scadenze intermedie).

• CBAM: per importatori scope, preparare tracciabilità e procurement dati emissioni verso il regime definitivo dal 2026.

Il filo rosso è che ogni “data” in calendario si traduce in requisiti operativi (processi, evidenze, controlli) che attraversano funzioni diverse. Se IT/cyber, procurement e finanza lavorano separati, la compliance diventa un costo e un rischio di fermo. Se invece le scadenze sono trattate come progetto di resilienza, generano anche disciplina su terze parti, continuità e governance dell’AI. Nei prossimi 90 giorni, scegliere una cabina di regia unica riduce errori e costi di coordinamento.

Orizzonte: ultimi 6 mesi, prossimi 3 mesi

• Geoeconomia: implicazione impresa: includere questo tema nei risk review mensili e assegnare un owner. Confidenza: media. Segnali: annunci di dazi/indagini antidumping; ampliamento di export control su tecnologie dual‑use. Collegamento: aumenta costi e shortage e può alimentare Coesione sociale via prezzi e disponibilità, rendendo più probabili crisi reputazionali.

• Cybersecurity: implicazione impresa: trattare incidenti e compliance come rischio di continuità, su IT e OT. Confidenza: alta. Segnali: crescita di ransomware e compromissioni di terze parti; audit/adeguamenti NIS2 o DORA che espongono gap di controllo. Strato: identità/endpoint/OT. Impatto: fermo operativo + perdita dati. Collegamento: un incidente IT/OT amplifica Mis/disinformazione via narrazione pubblica e impatta Finanza via business interruption.

• Mis/disinformazione: implicazione impresa: includere questo tema nei risk review mensili e assegnare un owner. Confidenza: media. Segnali: campagne di phishing/brand abuse; polarizzazione online su temi sensibili (prezzi, lavoro, sicurezza). Collegamento: accelera Coesione sociale (tensione interna/esterna) e aumenta probabilità di incidenti cyber (social engineering).

• Clima e risorse: implicazione impresa: includere questo tema nei risk review mensili e assegnare un owner. Confidenza: media. Segnali: eventi meteo estremi con impatto su siti/logistica; segnali su stress idrico o scarsità input. Collegamento: colpisce Manifattura e Agro‑food e può tradursi in shock di prezzo che alimenta Geoeconomia e Coesione.

• AI e governance: implicazione impresa: includere questo tema nei risk review mensili e assegnare un owner. Confidenza: media. Segnali: adozione rapida di AI in processi core; preparazione a obblighi AI Act (inventory, governance, audit trail). Collegamento: un errore di modello può diventare crisi reputazionale e può creare contenzioso, aumentando pressione su Finanza e HR.

• Coesione sociale: implicazione impresa: includere questo tema nei risk review mensili e assegnare un owner. Confidenza: bassa‑media. Segnali: aumento conflitti industriali o turnover su ruoli critici; proteste locali su infrastrutture/prezzi. Collegamento: amplifica Mis/disinformazione e rende più difficile attuare cambiamenti operativi (energia, sicurezza, supply chain).

• Finanza e credito: implicazione impresa: includere questo tema nei risk review mensili e assegnare un owner. Confidenza: media. Segnali: stress su tassi/costo capitale; allargamento spread o irrigidimento condizioni su linee. Collegamento: riduce margini di manovra per investimenti in cyber e resilienza climatica, aumentando vulnerabilità a Cybersecurity e Clima.