Lo scorso 28 marzo si è tenuto l’evento “Kriptia Meeting Miami 2025 | Risk Management, the Key to Success for Future” presso The Ritz-Carlton South Beach, Miami (FL), in collaborazione con Kriptia USA e Italy-America Chamber of Commerce Southeast (IACCSE), incentrato sulla gestione del rischio come elemento chiave per il successo futuro delle aziende.

La tavola rotonda è stata moderata da Gaspare Ruggia, Intelligence Analysis Manager di Kriptia, responsabile della supervisione delle attività di analisi strategica con una solida esperienza in antiriciclaggio e finanziamento del terrorismo.

Gli ospiti dell’evento sono stati:

• Richard W. Kollmar, figura di alto livello nella sicurezza e nella gestione del rischio con oltre due decenni di esperienza nell’FBI (Deputy Assistant Director), ex Chief Security Officer per Haniwa International Global Security e attualmente Vice President e Chief Security Officer di un’importante azienda sanitaria in Georgia e anche membro del Board of Palm Security Group e consulente strategico per la sicurezza.
• Joseph M. Deters, con oltre 20 anni di esperienza nell’FBI come Deputy Assistant Director presso il Cincinnati Field Office. La sua carriera si è concentrata su aree critiche come la corruzione internazionale, le indagini sui rapimenti e il controterrorismo. È ora Presidente di The Ackerman Group, portando una vasta esperienza in intelligence e mitigazione del rischio.

Ripercorriamo i temi principali e le idee chiave emersi durante questo incontro attraverso gli interventi dei tre relatori.

GESTIONE DEL RISCHIO DI TERZE PARTI – GASPARE RUGGIA

In un mondo plasmato dalla globalizzazione e dalla trasformazione digitale, le aziende dipendono più che mai da attori esterni, come fornitori internazionali e dipendenti in remoto. Le terze parti sono parte integrante delle operazioni moderne, ma, se da un lato, questa interdipendenza offre opportunità come la possibilità di ridurre i costi, dall’altro espone ad un rischio, poiché ci si affida a entità o individui esterni, aumentando in modo significativo l’esposizione delle organizzazioni al rischio operativo, legale, finanziario e di reputazione.

La gestione del rischio di terze parti – fornitori, licenziatari di joint venture, distributori e persino clienti in alcuni settori regolamentati – richiede un approccio strutturato per la valutazione e il monitoraggio delle attività e delle entità esterne coinvolte.

La prima fase è una due diligence iniziale al momento dello screening e dell’onboarding.
Anche se il fallimento di terzi potrebbe sembrare qualcosa non legato all’attività principale della nostra azienda, può avere un elevato impatto sulla reputazione della tua organizzazione. Un case study esemplare è un fornitore di patate per McDonald’s, coinvolto in un grosso schema di criminalità organizzata. Pensate ora come i giornalisti hanno pubblicizzato il loro articolo: pensate che l’attenzione fosse limitata al fornitore di McDonald’s? No, il titolo era “I fornitori di McDonald’s sono coinvolti in affari mafiosi“.
Il rischio reputazionale nei confronti degli stakeholder, azionisti e clienti è altissimo. Ecco perché è obbligatorio investire in questa procedura come misura di prevenzione e non come misura di reazione. Perché quando il rischio si presenta, è molto più difficile superarlo.

Un altro case study che possiamo utilizzare per parlare della gestione del rischio di terzi proviene dalla nostra esperienza personale. Abbiamo avuto un caso in cui un cliente multinazionale ha richiesto una due diligence su un nuovo fornitore. Questo fornitore era fondamentale per un’iniziativa di produzione su larga scala e, in apparenza, l’azienda sembrava avere tutte le carte in regola: credenziali aggiornate, registri fiscali, banche molto efficienti, conti e referenze esistenti, clienti esistenti e un processo strutturato di onboarding dei fornitori da parte del cliente. Ma dopo un’ulteriore indagine abbiamo rivelato una catena di proprietà molto complessa che coinvolgeva società offshore, amministratori designati e una struttura di partecipazione a più livelli. La complessità in sé non c’entra; non è illegale, perché molte società utilizzano schemi societari molto complessi solo per risparmiare sulle tasse. E questo è perfettamente legale. Ma ci sono alcuni schemi che, con la giusta esperienza, si possono riconoscere: abbiamo analizzato i documenti delle entità e le registrazioni transfrontaliere e abbiamo notato modelli di occultamento familiari: società di comodo in paradisi fiscali, cicli circolari di proprietà e improvvisi cambi di direzione.

Questi indicatori segnalavano l’offuscamento internazionale del vero controllo. Con ulteriori ricerche abbiamo rintracciato la proprietà effettiva, finalmente collegata a una ONG che era stata sanzionata dall’autorità di regolamentazione internazionale per aver finanziato organizzazioni terroristiche in Medio Oriente. Questa connessione non era visibile al primo processo di onboarding.
Ma con ulteriori indagini siamo stati in grado di identificare e informare il cliente e poiché questa azienda era davvero strategica nella catena di fornitura dei nostri clienti e perché era fondamentale per la produzione di un prodotto leader di questo importante marchio automotive che ha dato al nostro cliente l’opportunità di passare rapidamente ad un altro fornitore.

Come ultima riflessione sui controlli approfonditi sul background degli individui, bisogna osservare che negli Stati Uniti il controllo dei precedenti è un’industria professionale, mentre in Europa non abbiamo una regolamentazione così rigida. In Kriptia usiamo molte best practice americane e le abbiamo già inserite nelle politiche dei nostri clienti per lo screening dei collaboratori, soprattutto di un C-level che viene dall’estero. Per una nostra azienda cliente che aveva assunto due persone per lavorare a distanza che sostenevano di lavorare dal Regno Unito, abbiamo svolto un’indagine approfondita, attraverso metodologie di OSINT e all’elaborazione di alcuni dati, scoprendo che quelle persone si trovavano in Pakistan. Pur non essendo illegale, la preoccupazione è grande dal punto di vista della sicurezza informatica, della conformità e anche della cattiva condotta di questi lavoratori a distanza. Quindi, alla fine dell’indagine, il nostro cliente è stato in grado di identificare questo rischio, di allontanare le persone e di informare la polizia di questa frode.
Prima di passare alle testimonianze degli altri relatori vogliamo sottolineare che l’intelligence è una parte cruciale delle strategie di gestione del rischio.

TRAVEL MANAGEMENT E SITUAZIONI DI CRISI – JOE DETERS

Il secondo relatore dell’evento è stato Joe Deters, da 4 anni presidente di The Ackerman Group, con sede a Fort Lauderdale. L’azienda è stata fondata circa cinquant’anni fa da Mike Ackerman, un ex agente della CIA, e che collabora da tempo con la compagnia assicurativa Chubb, con la quale lavora a stretto contatto per gestire le richieste di risarcimento legate alle polizze per rapimento e riscatto.

Per chiunque nel mondo sia assicurato con Chubb per questo tipo di rischio, loro sono i primi a intervenire. Per questo motivo è fondamentale raggiungere rapidamente i luoghi dove i clienti potrebbero trovarsi in situazioni critiche, sfruttando anche la presenza di due grandi aeroporti internazionali per raggiungere rapidamente qualsiasi destinazione.

Prima ha fatto parte dell’FBI per vent’anni, trascorrendo circa la metà del tempo all’estero. Negli Stati Uniti, la legge prevede che, se un cittadino americano viene rapito ovunque nel mondo, il reato può essere perseguito a livello federale – naturalmente in presenza di alcune condizioni. È proprio per questo che l’FBI si occupa delle indagini sui rapimenti di cittadini statunitensi, indipendentemente da dove avvengano.

Parlando fluentemente spagnolo, durante la sua carriera, si è occupato principalmente di casi in America Latina. Non a caso, se guardiamo le mappe dei rapimenti a livello globale, il Messico risulta essere il Paese più pericoloso già da diversi anni. Hanno molti clienti che operano lì, e gran parte del loro lavoro si concentra proprio in quella zona. Altri Paesi dell’America Latina, purtroppo, non sono da meno per quanto riguarda il rischio di rapimenti.

Oltre al personale interno, collaborano anche con altre società di sicurezza in tutto il mondo, come Kriptia, un partner esperto con cui lavorare, per ampliare i servizi e mantenere elevati standard di qualità e attenzione verso i clienti di The Ackerman Group.

Dispongono di una vasta rete di collaboratori e aziende partner con cui sono in contatto costante da decenni, per essere sempre aggiornati sulle situazioni di rischio e sicurezza che potrebbero coinvolgere i loro clienti.

In The Ackerman Group, raccolgono informazioni in modo continuo: non solo da fonti aperte, ma anche tramite contatti ben posizionati in tutto il mondo. Questo permette loro di fornire ai clienti rapporti utili per prevenire situazioni di rischio, come rapimenti o altri problemi legati alla sicurezza.

Una delle principali attività è la gestione dei rischi di viaggio per i clienti aziendali. Dopo la pandemia di COVID-19, i viaggi sono prima stati sospesi e poi sono ripresi gradualmente. Molte aziende si sono trovate a rivedere le proprie politiche di viaggio, domandandosi se, quando e perché sia davvero necessario mandare personale in giro per il mondo, con tutti i costi e rischi che ciò comporta.

Uno dei passaggi chiave che si trovano ad affrontare con i loro clienti, prima che un dirigente parta, è proprio capire lo scopo del viaggio: dove sta andando? quali attività svolgerà? quali rischi possono essere mitigati in anticipo per garantire la sua sicurezza e quella dei collaboratori sul posto?

Questo processo di riflessione, che incoraggiano presso i loro clienti, aiuta anche a distinguere quando il viaggio è davvero necessario e quando, invece, si può optare per una riunione virtuale. Ci sono situazioni in cui il contatto diretto è irrinunciabile: ad esempio, quando un dirigente deve comunicare qualcosa di importante ai dipendenti – magari anche difficile. In questi casi, la presenza fisica è spesso fondamentale per trasmettere il messaggio in modo efficace e umano.

Un altro motivo per cui i viaggi restano essenziali riguarda quelle figure specializzate, come ingegneri o tecnici con competenze molto specifiche. Capita spesso di supportare clienti che devono inviare i propri esperti in impianti all’estero, per esempio in Brasile, dove nessun altro ha le competenze necessarie per intervenire su certi macchinari.

Una volta stabilita la necessità del viaggio, si passa alla fase operativa: dove si va? qual è il contesto di sicurezza? In alcuni Paesi, la situazione è particolarmente delicata, e qui il loro ruolo diventa cruciale. Informano i clienti su cosa aspettarsi, su eventuali procedure da seguire, sulla documentazione necessaria, come visti o permessi, e danno indicazioni su cosa portare – o non portare – con sé.

Soprattutto, raccomandano sempre di viaggiare con il minor numero possibile di informazioni sensibili, sia digitali che cartacee. In molti Paesi, bisogna presumere che tutto ciò che si porta potrebbe essere esaminato, magari alla dogana, all’immigrazione o anche semplicemente lasciando incustodita una valigetta in camera d’albergo.

Spesso, i dirigenti che viaggiano sono accolti all’aeroporto da membri dello staff locale, con le migliori intenzioni. Ma dal punto di vista della sicurezza, non è sempre una buona idea. Chi corre il maggior rischio non è tanto il dirigente in visita per pochi giorni, quanto piuttosto il manager locale, che ha una routine prevedibile e può essere facilmente monitorato da malintenzionati.

Per questo motivo, consigliano un approccio di basso profilo: meglio affidarsi a un servizio di trasporto sicuro piuttosto che coinvolgere figure aziendali di alto livello. Stesso discorso vale per gli spostamenti durante il soggiorno: devono essere pianificati, coordinati con attenzione e, se necessario, supportati da professionisti della sicurezza.

All’arrivo in hotel, consigliano sempre di fornire il minimo indispensabile di informazioni personali. Meglio evitare di lasciare il numero di cellulare, l’indirizzo di casa o contatti d’emergenza — spesso gli hotel non sono così sicuri nel proteggere questi dati.

Durante la permanenza, è importante restare vigili rispetto a telefonate o visite inattese. Meglio scegliere hotel con buoni standard di sicurezza, ma ricordarsi sempre che nessun luogo è immune da falle nella protezione degli ospiti.

Infine, al momento del rientro, si raccomanda di prestare attenzione a non portare con sé pacchi o regali da sconosciuti. È importante che tutto ciò che si trasporta sia stato ricevuto in un contesto chiaro e trasparente.

Dopo ogni visita, suggeriscono anche una sorta di “debriefing”: cosa ha funzionato? cosa si può migliorare? Questo aiuta a rafforzare i protocolli per i viaggi futuri.

Durante tutta la trasferta, è fondamentale che anche la casa madre sia informata sull’itinerario del viaggiatore: voli, hotel, agenda. Serve sempre un doppio controllo, per garantire che, in caso di emergenza, si possa intervenire tempestivamente.

Tutto questo fa parte del processo standard per garantire viaggi aziendali sicuri, specialmente in Paesi ad alto rischio.

Il suo intervento si è concluso con una storia significativa. Lo scorso anno si sono occupati di sei casi: cinque in Messico e uno in Colombia. Solo qualche settimana prima, hanno affrontato un nuovo caso, sempre in Messico, e si trattava di un “rapimento virtuale”.

Ne esistono tre tipi:

1. Rapimento classico, con sequestro fisico, richiesta di riscatto e rilascio dopo trattativa.
2. Rapimento express, che avviene di solito per strada, magari salendo su un taxi sbagliato: la vittima viene costretta a prelevare denaro per diverse ore, spesso fino al giorno successivo per accedere a nuovi fondi.
3. Rapimento virtuale, che sta diventando sempre più comune: nessuno viene realmente rapito, ma si convince la vittima o i familiari che ci sia una minaccia reale e si estorce denaro.

L’ultimo caso riguardava un nostro cliente in viaggio per lavoro, che aveva fatto tappa in un hotel e, al momento del check-in, aveva fornito il proprio numero di cellulare. Poco dopo, è stato contattato con una telefonata falsa, manipolato psicologicamente fino a fargli credere che un suo caro fosse in pericolo. Questo è esattamente il motivo per cui insistiamo su ogni dettaglio, anche i più piccoli.

IL RISCHIO IN AMBITO SANITARIO – RICHARD KOLLMAR

Il secondo relatore è stato Richard Kollmar, che lavora nel settore della sicurezza da circa 25 anni, gran parte dei quali trascorsi all’FBI, dove ha concluso la mia carriera come vicedirettore della Divisione Sicurezza Nazionale. Circa nove anni fa ha deciso di passare al settore privato, e ha condiviso con noi alcune esperienze pratiche legate alla sicurezza aziendale e alla gestione del rischio in diversi contesti industriali.

Il suo primo incarico nel privato è stato con un importante appaltatore della difesa, dove ha guidato il team di sicurezza globale. Successivamente è approdato in Honeywell International, sempre con la responsabilità della sicurezza. In quel ruolo, la sua attenzione era concentrata soprattutto sulla divisione manifatturiera. Oggi, invece, opera nel settore sanitario: è responsabile della sicurezza di un grande sistema ospedaliero in Georgia, del valore di circa 8 miliardi di dollari, con 350 strutture e oltre 45.000 dipendenti.

Sulla base di questa esperienza ha fatto una riflessione su alcune dinamiche comuni nella gestione del rischio, per mostrare quanto le minacce possano cambiare in base al contesto. Ogni settore ha le sue particolarità e richiede approcci differenti.

Prima di tutto, un programma di sicurezza efficace, sia in un’azienda privata che pubblica, deve partire dall’alto: serve l’appoggio concreto della dirigenza. Devono credere nel valore della sicurezza, finanziarla adeguatamente e sostenere i team preposti. Ricorda ancora un colloquio in cui un dirigente gli disse: “Voglio che tu elimini tutti i rischi dalla nostra azienda”. Gli rispose con un sorriso: “Allora dovremmo chiudere”. Perché diciamolo chiaramente: il rischio è parte integrante di ogni attività. L’importante è riconoscerlo, gestirlo e decidere qual è il livello di tolleranza accettabile.

Facendo un esempio concreto, quando è arrivato nell’azienda del settore della difesa, la sicurezza veniva percepita come un freno. Per molti ero semplicemente quello che dice: “Non si può fare, stai sbagliando“. Ma il compito degli specialisti della sicurezza non è fermare il business: è proteggerlo. Proteggere gli asset, i dipendenti, la reputazione e il futuro dell’azienda.

Ricorda, in particolare, un episodio interessante legato alle Risorse Umane. Avevano firmato un contratto per un servizio di risposta telefonica per i dipendenti. Voleva solo dare un’occhiata al contratto, e mi risposero: “Perché? È solo una linea di supporto per domande su buste paga e ferie“. Ma nel contratto c’era una clausola che diceva che, se necessario, le risorse potevano essere fornite anche da terzi. Alla fine, scoprirono che, fuori dall’orario lavorativo, le chiamate venivano dirottate a un call center in Cina. In pratica, dati sensibili dei dipendenti, molti dei quali legati a contratti di difesa, venivano potenzialmente esposti. Ovviamente è stato interrotto subito quel servizio. Il CEO stesso lo chiamò per ringraziarlo: “Non ne avremmo mai saputo nulla, se non avessimo fatto quel controllo”.

Nel settore della difesa, il rischio più grande è la minaccia interna, visto che si trattava di una organizzazione di circa 45.000 dipendenti, molti dei quali lavoravano su progetti riservati. Se anche uno solo di loro avesse tradito la fiducia, le conseguenze sarebbero gravissime: danni alla reputazione, perdita di segreti industriali o governativi. Ecco perché in quel contesto ogni segnale va analizzato con grande attenzione.

Diversa è la situazione nel settore manifatturiero dove i rischi principali riguardano la perdita di informazioni proprietarie, magari attraverso dipendenti scontenti. Honeywell, ad esempio, impiega molti ingegneri software brillanti, ma non è sempre facile trovare un equilibrio tra innovazione e rispetto delle policy di sicurezza. In alcune situazioni si è trovato di fronte a violazioni evidenti: chiavette USB inserite in computer aziendali, dati copiati per lavorare da casa. La Corporate Security, in questi casi, ha il compito di portare alla luce il problema, valutarne la gravità, e collaborare con l’azienda per decidere cosa fare: accettiamo il rischio o interveniamo?

Nel settore sanitario, invece, il rischio numero uno è la sicurezza fisica dei dipendenti. Gli operatori sanitari hanno cinque volte più probabilità di essere aggrediti rispetto a qualsiasi altra categoria lavorativa. Questo è stato uno shock per lui, appena arrivato nel settore. Se infermieri e medici non si sentono al sicuro, lasciano il lavoro. E senza di loro, un sistema sanitario non regge.

Quando è stato assunto, la sua posizione non esisteva. L’azienda si era finalmente resa conto che serviva una figura centrale per gestire la sicurezza. Ha fatto ben 24 colloqui, incluso uno con l’amministratore delegato. Volevano capire come avrebbe gestito i rischi, ma soprattutto volevano capire se c’era l’intenzione vera di investire nella sicurezza. Senza l’appoggio dei vertici, anche le idee migliori restano solo sulla carta.

Ora, per esempio, partecipa a ogni riunione del board per fornire aggiornamenti sullo stato della sicurezza. Questo è un segnale importante: significa che la sicurezza non è più un reparto secondario, ma una funzione strategica.

A volte i rischi sono anche piuttosto inquietanti. Non tutti sanno che alcuni dei serial killer più prolifici della storia sono stati operatori sanitari. Uno di loro, raccontato nel documentario HBO “The Good Nurse“, ha ammesso di aver ucciso più di 50 pazienti, anche se le indagini parlano di oltre 400 casi. Il sistema sanitario è particolarmente vulnerabile: i pazienti sono indifesi, i farmaci sono accessibili, e spesso manca una supervisione capillare. Quando qualcosa iniziava a insospettire i colleghi, quell’infermiera si licenziava e cambiava struttura. Solo dopo anni si riuscì ad arrestarla.

Oggi, grazie alla tecnologia, è possibile fare molto di più. Hanno oltre 5.000 telecamere negli ospedali, ma non basta registrare: serve l’intelligenza artificiale per individuare comportamenti anomali. Se, ad esempio, una porta che normalmente non viene mai usata si apre più volte durante la notte, scatta un allarme e il centro di comando analizza immediatamente la situazione. Possono anche monitorare i movimenti del personale: se un infermiere si aggira troppo spesso in reparti dove non lavora, scatta un alert.

Un altro esempio: se un badge d’accesso viene usato in una struttura e contemporaneamente vediamo un collegamento alla rete proveniente da un’altra zona, gli operatori della sicurezza capiscono subito che c’è qualcosa che non va. In quel caso, possono disattivare l’accesso fisico e digitale all’istante, e recuperare subito le immagini delle telecamere.

La tecnologia aiuta anche nella fase di espansione. In passato, il reparto immobiliare acquistava strutture senza consultare la sicurezza. Magari si trattava in zone ad alto rischio, e poi veniva richiesto di mettere le telecamere e sistemare tutto. Oggi la sicurezza viene coinvolta fin dall’inizio. Viene valutato il tasso di criminalità delle zone, e si fornisce ai leader aziendali una stima del rischio. La decisione finale è sempre strategica, ma almeno l’azienda ha le informazioni per scegliere consapevolmente.

In definitiva, ogni settore ha rischi diversi, ma una cosa è certa: il rischio è inevitabile. Senza rischio, non c’è innovazione, non c’è crescita. Il compito degli specialisti della security è identificarlo, valutarlo, e decidere come affrontarlo. Non bisogna averne paura, ma bisogna essere pronti.

L’ultima frase citata, “il rischio è inevitabile”, è la chiave di tutta la conferenza: il rischio è sempre presente e dobbiamo gestirlo perché se non lo facciamo, se lo non gestiamo e lo evitiamo, evitiamo le situazioni rischiose, ma anche le opportunità di business.