Sembra una di quelle frasi fatte che dovrebbe avere come logica risposta: “Dove finiremo signora mia!”
Invece è vero.
Quanti report e questionari sono arrivati nell’ultimo periodo dai tuoi clienti?
Specialmente se sei un fornitore inserito in una supply chain.
Le grandi aziende chiedono dati sulla filiera. Vogliono sapere come lavori, come gestisci i rischi, come tratti i tuoi dipendenti, come proteggi le informazioni, come misuri il tuo impatto.
Non lo chiedono per curiosità. Lo chiedono perché qualcuno lo chiede a loro, e loro scaricano a valle.
È il meccanismo della supply chain compliance: l’obbligo scende, il questionario sale, e alla fine arriva sul tavolo della PMI che pensava di dover solo produrre bene e consegnare in orario.
Nel frattempo, l’Europa ha smesso di chiedere e ha cominciato a imporre.
ESG, CSRD, NIS2, AI Act, DORA, GDPR, supply chain compliance. Le sigle cambiano, i regolamenti si accumulano, le scadenze si sovrappongono.
Ma se togli le sigle e guardi la direzione, è una sola: le imprese non devono più soltanto produrre beni o servizi. Devono dimostrare di saper governare dati, processi, decisioni ed esposizioni. Devono avere una struttura. Devono poterla mostrare. Devono poterla difendere.
Chi legge tutto questo come burocrazia da assolvere probabilmente non ha ancora capito cosa sta diventando l’impresa europea.
Non è colpa sua; nessuno glielo ha spiegato in modo chiaro, e chi avrebbe dovuto farlo spesso aveva interesse a vendergli una certificazione invece di dargli una mappa.
La mappa esiste. Si chiama governance. E la governance non è un documento da consegnare al Garante o un modulo da allegare al bilancio.
È il modo in cui un’impresa conosce sé stessa, i suoi dati, i suoi rischi, le sue vulnerabilità, le sue esposizioni, e dimostra di saperli gestire prima che diventino un problema.
Cybermetrica nasce esattamente da questo. Non da una norma, non da un obbligo, ma dall’osservazione di quello che succede quando un’impresa non ha questa mappa: accumula dati senza governarli, prende decisioni senza misurarne il rischio, risponde ai questionari senza sapere cosa sta cedendo e cosa potrebbe legalmente rifiutare.
E quando arriva il problema, sotto forma di una sanzione, un contenzioso, un cliente che chiede spiegazioni, l’imprenditore scopre che non aveva gli strumenti per vederlo arrivare.
Ma anche che era obbligato a predisporli. E neppure gli hanno detto che erano nel Codice civile; all’articolo 2086.
Il mercato e l’Europa stanno chiedendo la stessa cosa, con linguaggi diversi e strumenti diversi.
Chiedono che dietro l’impresa ci sia qualcuno che sa cosa sta facendo, perché lo sta facendo e come dimostrarlo.
Non la chiamano (ancora) Cybermetrica.
Ma è esattamente quello che descrivono.
