Quando le pandemie dilagano nella società, mettono in discussione infrastrutture critiche, quali i sistemi sanitari, la vita economica, le strutture socioeconomiche di classe, gli accordi istituzionali fondamentali, le comunità e la vita familiare quotidiana.

Così è successo con il COVID-19 che ha portato tutti noi e le nostre imprese ad adeguarci a nuovi stili di vita ed a nuovi modi ‘di fare business’ attraverso modalità che non sono state frutto di una decisione consapevole, di carattere strategico, quanto di una scelta obbligata.

Ora che poco più di un anno è passato dai primi momenti dell’emergenza, che ci siamo ‘abituati’ a fare del nostro meglio in piena emergenza, ma soprattutto adesso che intravediamo una via di uscita, abbiamo provato a fare mente locale, a identificare le cosiddette ‘lessons learned’ per arrivare a fornire un ventaglio di ambiti su cui l’emergenza ci ha fatto riflettere ed agire e che diventeranno il ‘new normal’ nel periodo post COVID.

Smart Working

Tutte le organizzazioni si sono trovate a dover adottare la modalità di lavoro remoto a causa del diffondersi del Coronavirus e, conseguentemente, del lockdown imposto dalle Autorità.

La modalità di lavoro remoto, frutto di un obbligo, ha portato molte imprese, non ancora pronte a lavorare con questa nuova modalità, a dover velocemente realizzare soluzioni tecniche e organizzative che le garantissero la continuità operativa.

Dall’ultimo report dell’Osservatorio Smart Working del Politecnico di Milano emergono i numeri di questa svolta. Il 97% delle grandi imprese ha usufruito del lavoro da remoto durante la fase più critica dell’emergenza, contro il 94% delle Pubbliche Amministrazioni e il 58% delle PMI per un totale di circa 6,5 milioni di lavoratori, ovvero un terzo dei lavoratori dipendenti italiani. Un numero sorprendente, soprattutto se comparato con i circa 570mila smart worker censiti nel 2019.

Frutto di questa esperienza, il lavoro agile diventerà una prassi comune, in maniera più equilibrata tra giornate in presenza e da remoto, sebbene non sia ancora chiaro se si tratterà effettivamente dell’introduzione di lavoro agile, che porta con sé una vera rivoluzione nel modo di lavorare dal punto di vista normativo, organizzativo e gestionale, oppure di solo lavoro da remoto.

In realtà lo smart working non vuol dire fare a distanza le stesse cose nello stesso modo rispetto a quando si lavora in ufficio poiché lavorando quasi sempre connessi, con ritmi variabili, e spesso in modalità asincrona con i colleghi, occorre sviluppare schemi di lavoro, routine giornaliere, modalità di comunicazione e interazione nonché modelli di pianificazione molto diversi da quelli utilizzati in un ambiente lavorativo tradizionale.

In particolare, andrà definita una strategia di smart working in cui siano chiaramente definiti, condivisi e ben comunicati gli obiettivi di ognuno e che si basi sulla trasparenza informativa con interazioni pianificate e supportate da strumenti adeguati, anche con riferimento ai risultati quantitativi e qualitativi delle performances. Per consentire tali risultati sarà, inoltre, necessaria la revisione dei processi organizzativi e la loro comprensione ed accettazione (soprattutto per il cambiamento che potrebbero portare) da parte dei dipendenti.

Lo Smart working tende necessariamente a isolare, per questo la comunicazione interna e la trasparenza sono uno dei fattori determinanti per fare dello smart working uno strumento di effettivo successo; ciò sarà facilitato dall'attenzione che, nel periodo in corso, i manager hanno posto verso i propri collaboratori e la capacità di questi ultimi di reagire tempestivamente ai cambiamenti imposti dal contesto esterno.

Nonostante la distanza fisica, si è venuta a creare una comunione di intenti tra i team operativi e il management verso un obiettivo comune, la sopravvivenza e la sostenibilità dell'Azienda.

Cybersecurity

La decisione consapevole di utilizzare nel futuro lo Smart Working deve portare con sé l’analisi di tutti i fattori di criticità emersi nel periodo pandemico; le nostre case e i nostri appartamenti sono diventati Smart Office e le famiglie e gli asset di casa sono ora parte integrante delle Aziende.

Per tale ragione lo Smart Working amplifica una serie di rischi, tra i quali quelli di Cybersecurity, che è bene conoscere per poterli affrontare, gestire e mitigare.

Come sempre quando si tratta di Cybersecurity il tema deve essere affrontato sia del punto di vista organizzativo che da quello tecnico.

Come già accennato la pandemia ha ulteriormente diffuso l’utilizzo della dotazione informatica personale anche per uso ‘professionale’ (Bring Your Own Device – BYOD), non solo in relazione ai dispositivi mobili ma anche ai Personal Computer.

Ciò ha portato con sé l’emergere di nuove vulnerabilità (es. come sono protetti questi PC da virus, malware, ..., come viene protetta la comunicazione con la rete aziendale?...), accrescendo il rischio che attraverso l’infrastruttura di casa sia possibile compromettere anche quella aziendale.

Soprattutto e, una volta di più, ha fatto emergere con forza che ai rischi tecnologici devono essere affiancati i rischi di carattere organizzativo e relativi alle persone, ai dipendenti e collaboratori che la pandemia ha portato all’isolamento, alla mancanza di confronto, allo scambio di informazioni con il proprio ‘vicino’ di scrivania comportando un’ulteriore diffusione degli attacchi di Phishing e di social engineering.

Tali rischi devono quindi essere gestiti e mitigati, sia dal punto di vista tecnico che da quello organizzativo. Appare quindi opportuno che le imprese effettuino attività di assessment per valutare la robustezza della propria infrastruttura e del parco applicativo per poi procedere ad attuare azioni di prevenzione e protezione delle informazioni critiche sia in transito che archiviate e memorizzate sui dispositivi.

Anche lato organizzativo, è facile immaginare che gli ambiti su cui agire non manchino, a cominciare dalle attività di formazione e sensibilizzazione, per creare la giusta consapevolezza delle risorse sui rischi cyber, per indicare in maniera chiara come intercettare e gestire eventuali tentativi di attacco di phishing o di social engineering e, ultimo ma non meno importante, andare a predisporre policy e procedure affinché le persone lavorino secondo regole e procedure chiare e ben definite; nulla deve essere lasciato al caso e all’improvvisazione anche in termini di ruoli e responsabilità.

Data Protection

Un altro tema che, causa emergenza sanitaria, è stato portato ulteriormente alla ribalta è quello della Data Protection, la protezione dei dati personali che, una volta di più si è dimostrato un ambito non solo per gli addetti ai lavori e che dovrà essere considerato con estrema attenzione anche nel prossimo futuro da tutte le imprese, anche da quelle che fino ad ora non lo hanno visto e vissuto come prioritario.

È infatti ormai più di un anno che la tutela della privacy è fonte di discussione da parte del Governo e degli enti territoriali per la corretta applicazione della stessa, oltre che da parte delle imprese private.

L’Autorità Garante per la protezione dei dati personali è intervenuta costantemente nel corso di questo anno, invitando tutti i titolari e responsabili del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.

Basti pensare al “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” adottato tra le Parti Sociali oppure alle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19.

Tale patrimonio normativo non solo fornisce utili indicazioni per un corretto trattamento dei dati da parte di pubbliche amministrazioni e imprese private ma anche garantisce il rispetto della normativa in materia di protezione dei dati personali, ad esempio, nei casi di:

  1. rilevazione e misurazione della temperatura corporea;
  2. effettuazione di test sierologici ai propri dipendenti;
  3. acquisizione di dati dei dipendenti in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro;
  4. trattamenti dei dati relativi alla vaccinazione dei dipendenti nel contesto lavorativo, per non dimenticare il ruolo centrale del medico competente nell’acquisizione dei dati relativi alla vaccinazione dei dipendenti, nella sua funzione di raccordo tra il sistema sanitario e il contesto lavorativo.

Digital Transformation

Ora che abbiamo perlomeno una prospettiva di uscita dal periodo COVID 19, molte imprese si stanno interrogando su quali azioni mettere in atto per ripristinare la piena operatività e per essere sempre più competitive nel nuovo contesto in cui si troveranno ad operare.

Già abbiamo accennato allo Smart Working ed a come nel 54% delle imprese questa modalità di lavoro continuerà anche post COVID; ma non è forse l’introduzione dello Smart Working già l’avvio del processo di Digital Transformation? A ben pensarci riteniamo di sì; le tecnologie utilizzate in ambito Smart Working hanno permesso meeting virtuali, facilitando la collaboration ed il knowledge management e comportando spesso un miglioramento dell’efficienza dei processi sia nell’operatività intra aziendale che in quella tra imprese.

Estendendo il discorso, e considerando la Digital Transformation come il processo di utilizzo delle tecnologie digitali per creare o perfezionare la customer experience, reingegnerizzare i processi di business e adattare i modi di lavorare dell'organizzazione, sono diverse le aree su cui si concentrerà l’attenzione e gli investimenti delle imprese nei prossimi mesi.

Volendo portare solo un esempio, un ambito su cui la transizione al digitale può comportare in tempi brevi e con investimenti relativamente limitati un vantaggio rilevante, con un occhio di riguardo al cost saving, è quello dell’automazione dei processi interni ripetitivi e con una forte dipendenza dal fattore umano.

Nell’area amministrativa, nelle funzioni di back-office, in ambiti specifici nel settore degli intermediari finanziari quali la funzione antiriciclaggio o per l’attività di onboarding della clientela, soluzioni di Robotic Process Automation (RPA) che, attraverso lo sviluppo di BOT software, si stanno sempre più diffondendo in tutti i settori e per le imprese di qualsiasi dimensione.

Tali soluzioni si sono rese sempre più utili, se non necessarie, nel momento in cui la disponibilità delle persone si rende un fattore critico, come il periodo COVID ci sta insegnando. Inoltre permettono una riduzione notevole nel numero di errori, la velocizzazione dei processi, la tracciabilità e la conseguente auditabilità nonché la possibilità di essere integrate senza impatti sui sistemi informativi già presenti.

E’ molto probabile, infine, che una spinta vera alla trasformazione digitale verrà anche dalle iniziative che si prenderanno a livello Europeo attraverso il Recovery Plan.

Questo darà attuazione al programma Next Generation EU, al cui obiettivo ‘Sostenere la transizione digitale e l’innovazione del sistema produttivo attraverso stimoli agli investimenti in tecnologie all’avanguardia e 4.0, ricerca, sviluppo e innovazione, cybersecurity’ della missione ‘Digitalizzazione, innovazione, competitività e cultura’ sono destinati una fetta importante dei circa 200 miliardi; ma su questo avremo modo di tornare in altri numeri di TopHic futuri quando il panorama sarà più chiaro.

La responsabilità amministrativa degli enti (D. Lgs. 231/01)

Con riferimento al tema della responsabilità 231 dell’impresa, occorre considerare che il COVID-19 determina o amplifica alcuni potenziali profili di rischio che possono essere distinti in due tipologie: indiretti e diretti.

Rischi indiretti rappresentati da un’ulteriore “occasione” di commissione di alcune fattispecie di reato già incluse all’interno del catalogo dei reati presupposto della disciplina 231 ma, in sé considerate, non strettamente connesse alla gestione del rischio COVID-19 in ambito aziendale. Si tratta di rischi che le imprese, dotate di un Modello 231, avrebbero già dovuto valutare come rilevanti nell’ambito dell’attività di risk assessment condotta nel processo di adozione del Modello e, rispetto ai quali, dovrebbero aver già adottato, al proprio interno, il complesso di presidi e procedure idonee a prevenirne la configurazione.

Al riguardo, può essere valutata, caso per caso, l’opportunità di rafforzare le procedure, adeguandone l’applicazione, ove necessario, per allinearle ai diversi contesti organizzativi determinatisi in occasione del COVID-19.

Accanto ai rischi indiretti, l’epidemia ha determinato l’insorgere di un rischio che potremmo definire diretto per le imprese, ovvero quello conseguente al contagio da COVID-19. Pertanto, ciò che si richiede al Modello 231 è di prevedere il complesso dei presidi generali idonei ad assicurare, a valle e in loro attuazione, un valido ed efficace sistema gestionale, che contempli tutte le specifiche misure necessarie per l’adempimento degli obblighi giuridici a tutela della salute e sicurezza dei lavoratori.

E infatti, le Autorità pubbliche hanno individuato (e continueranno a individuare) una serie di misure di contenimento del contagio, contenute in diverse fonti, ovvero nei decreti-legge e nei DPCM che si sono succeduti negli ultimi mesi, nonché nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro, sottoscritto dal Governo e dalle parti sociali il 14 marzo scorso e poi successivamente integrato e allegato al DPCM del 26 aprile 20202 (e, da ultimo, nel DPCM 17 maggio 2020).

In sintesi, dovrà quindi essere predisposto un protocollo aziendale, che declini in modo puntuale le misure poste in essere per recepire quelle contenute nel Protocollo di sicurezza, e dovranno essere documentate per iscritto tutte le singole attività realizzate e le decisioni assunte dal datore in attuazione di tali misure (ad esempio verbali e registri), le informative rivolte ai dipendenti, nonché le relazioni elaborate dagli organi preposti alle verifiche in ordine al rispetto delle nuove procedure.

Tale protocollo andrà a integrarsi, di fatto, nel complesso dei presidi puntuali messi in campo dal datore all’interno della propria organizzazione al fine di prevenire la commissione di fattispecie rilevanti anche in chiave 231.

In questa fase di emergenza assume rilievo determinante il ruolo dell’Organismo di Vigilanza, a cui spetta il compito di valutare l’idoneità dei modelli organizzativi, vigilare sulla loro osservanza e garantire l’aggiornamento al fine di mitigare i rischi derivanti anche dal Coronavirus.

Come lo è stato nel contesto dell’emergenza sanitaria, in cui una completa ed effettiva compliance aziendale risulta importante per garantire un’adeguata tutela della salute dei lavoratori ed escludere profili di responsabilità dell’impresa, anche nel futuro le imprese saranno tenute ad adeguare i propri impianti organizzativi, i Modelli 231 ed i relativi documenti di supporto, sulla base di tutte le novità e le evoluzioni che stanno per affrontare in un mondo e in un contesto lavorativo interno ed esterno che non sarà più quello lasciato agli inizi del 2020.

Modelli di business

E’ difficile in questo momento storico ancora così denso di incertezze fare delle previsioni su come evolveranno i modelli di business delle imprese italiane nei prossimi mesi e anni ma abbiamo rilevato dal nostro punto di osservazione privilegiato alcune tendenze che stanno sempre più facendosi largo nell’ampia platea di imprese nonché alcuni aspetti cui riteniamo utile dedicare attenzione.

Per quanto riguarda l’ambito delle operazioni straordinarie, in qualità di Advisor in operazioni di Merger&Acquisition, stiamo assistendo ad un notevole incremento delle richieste di supporto finanziario da parte delle imprese, soprattutto via equity, nonché all’aumento delle richieste di supporto alla cessione delle proprie partecipazioni da parte degli imprenditori; purtroppo però,  a causa del peggioramento diffuso dei dati di bilancio, aumenta anche la difficoltà di esecuzione dei mandati e quindi la conclusione positiva delle operazioni. Ciò porta infine ad una maggiore selettività da parte dei possibili acquirenti, a causa del maggior rischio sistemico percepito.

In relazione alle aree di investimento, oltre a quanto giù detto in tema di Smart Working, Cybersecurity e trasformazione digitale, abbiamo anche rilevato in maniera evidente la volontà dei gruppi di concentrare le proprie risorse interne sulle funzioni core, di business, facendo quindi maggiore ricorso all’esternalizzazione dei processi non core, in particolare in ambito amministrativo, consentendo maggiore flessibilità e, a determinate condizioni, maggiore efficienza e risparmio.

E’ facile immaginare come in tale ambito anche l’appetito per l’automazione, pur se non ancora presente nell’agenda di tutti i CFO o imprenditori, avrà un ruolo fondamentale, non solo per efficientare i processi in-house, ma anche per quelli posti in essere dall’outsourcer.

Ci aspettiamo quindi che queste saranno le direttive fondamentali di sviluppo nei prossimi mesi, specie allorché verranno meno i sussidi e le protezioni ai lavoratori ancora in vigore, lasciando spazio al restructuring come una necessità, più ancora che una opportunità.

La qualità dell’outsourcer diventerà quindi un fattore determinante dove i piccoli e locali saranno certamente rimpiazzati dai grandi e, soprattutto, internazionali, sicuramente più efficienti, più tecnologici e maggiormente in grado di assistere le aziende nel processo di internazionalizzazione, fondamentale in un mondo che ha dimostrato che la diversificazione territoriale consente di limitare le difficoltà connesse alle restrizioni locali.

L’internazionalizzazione è un tema che ha riguardato personalmente anche molte risorse che, causa pandemia, sono tornate a vivere nel paese di origine, anche a lungo termine, avendo il datore di lavoro estero fornito la possibilità di smart working internazionale.  Ciò ha comportato in molti casi temi di stabili organizzazioni, con impatti fiscali per l’employer, spesso sottostimati; inoltre, per molti expat vi sono stati movimenti temporanei non previsti (ad es. rientro a casa per alcuni mesi) con conseguente complicazione circa la definizione della loro residenza anche dal punto di vista fiscale.