L’incidente è un problema. Il modo in cui lo racconti può peggiorarlo

Ci sono aspetti della vita aziendale che vengono presi davvero sul serio solo dopo che qualcosa è andato storto. La comunicazione d’emergenza è uno di questi.

Finché tutto funziona, finché i sistemi tengono, finché i clienti non si lamentano e i giornali non scrivono nulla, la comunicazione di crisi sembra un esercizio teorico. Un tema da manuale o da convegno. Poi accade qualcosa: un incidente informatico, un data breach, un disservizio importante. A quel punto non c’è più tempo per ragionare su come raccontarlo. Bisogna farlo subito. E bisogna farlo bene.

Lo spunto per questa riflessione mi è venuto da una vicenda che con la privacy non aveva nulla a che fare: il caso del ragazzo lasciato sotto la neve perché non aveva il biglietto “giusto”.
Al di là delle responsabilità e delle procedure interne, ciò che ha colpito è stata la gestione della comunicazione: tardiva, poco convincente, spesso difensiva.

Non è stato solo l’episodio in sé a generare l’ondata di indignazione pubblica, quanto il modo in cui è stato spiegato – o giustificato – nelle ore successive.

Qualcosa di molto simile accade nel mondo della protezione dei dati.

Quando un’organizzazione subisce un incidente informatico o scopre un data breach, la prima reazione è inevitabilmente tecnica: capire cosa è successo, isolare i sistemi coinvolti, limitare il danno, ricostruire la catena degli eventi. Tutto questo è necessario. Ma non è sufficiente.

Accanto alla gestione tecnica si apre immediatamente un altro fronte, altrettanto delicato: quello della comunicazione.
Chi parla a nome dell’azienda? Con quali parole? Con quali tempi? Con quale equilibrio tra trasparenza, prudenza e responsabilità?

Il GDPR, sotto questo profilo, è molto chiaro. Gli articoli 33 e 34 prevedono obblighi specifici di notifica all’autorità di controllo e, nei casi previsti, di comunicazione agli interessati.

Ma ridurre questo passaggio a un semplice adempimento formale sarebbe un errore.

Una notifica non è soltanto un atto giuridico. È anche un momento in cui si misura la fiducia tra un’organizzazione e le persone i cui dati vengono trattati. E la fiducia, una volta incrinata, è molto più difficile da ricostruire di quanto lo sia un sistema informatico compromesso.

Nelle aziende non mancano quasi mai le procedure per la gestione dei data breach. Documenti ben strutturati, diagrammi di flusso, moduli di valutazione del rischio, checklist operative. Dal punto di vista formale tutto appare in ordine.

Il problema è che spesso il passaggio più delicato viene trascurato: la comunicazione verso l’esterno.

• Chi redige il comunicato? L’IT? L’ufficio legale? Il marketing? Il DPO?
• Chi coordina le informazioni per evitare versioni diverse dello stesso evento?
• Chi decide cosa è opportuno comunicare subito e cosa invece richiede ulteriori verifiche?

Se queste domande non hanno una risposta chiara prima dell’emergenza, difficilmente la troveranno durante.

La comunicazione di crisi è una competenza, non una reazione istintiva. Non basta preparare un comunicato standard da adattare all’occorrenza. Serve preparazione, coordinamento interno, ruoli chiari.

• Un messaggio sbagliato può amplificare il danno più dell’incidente stesso.
• Una comunicazione tardiva può essere percepita come un tentativo di nascondere qualcosa.
• Un tono eccessivamente difensivo può trasmettere l’idea di uno scarico di responsabilità.
• Un linguaggio troppo tecnico rischia di risultare incomprensibile proprio per chi dovrebbe essere informato.

Nel contesto della privacy questo tema si intreccia direttamente con il principio di accountability. Non riguarda soltanto l’adozione di misure tecniche e organizzative adeguate, ma anche la capacità di rendere conto delle proprie scelte.

Rendere conto significa spiegare cosa è accaduto, quali dati sono coinvolti, quali rischi possono derivarne e quali misure sono state adottate per rimediare. Farlo in modo comprensibile, senza minimizzare ma senza nemmeno trasformare ogni incidente in una dichiarazione allarmistica.

È un equilibrio delicato. E come tutti gli equilibri delicati non si improvvisa.

C’è poi un elemento che spesso viene sottovalutato: la percezione degli interessati.

Dal punto di vista aziendale un data breach può apparire limitato, circoscritto, tecnicamente gestibile. Dal punto di vista di chi ha affidato i propri dati all’organizzazione la situazione può essere percepita in modo molto diverso: timore di furti di identità, perdita di controllo sulle informazioni personali, sfiducia verso chi avrebbe dovuto proteggerle.

Se la comunicazione ignora questa distanza di percezione, rischia di risultare fredda o autoreferenziale. Ed è proprio in questo passaggio che si vede la differenza tra una comunicazione formalmente corretta e una realmente efficace.

Non è raro incontrare organizzazioni che hanno investito molto in certificazioni, policy, registri e procedure, ma che non hanno mai ragionato seriamente su come comunicare una crisi.

È una contraddizione solo apparente.
La cultura dell’adempimento tende a concentrarsi su ciò che è misurabile e documentabile. La comunicazione, invece, è meno “contabile”: non si archivia in un faldone e raramente diventa oggetto di verifica ispettiva.

Eppure, proprio nel momento dell’emergenza, diventa il vero banco di prova della maturità organizzativa.

Preparare la comunicazione d’emergenza significa anche accettare un dato molto semplice: gli incidenti possono accadere.

Non è una dichiarazione di debolezza, ma un atto di realismo. In un ecosistema digitale sempre più complesso, fatto di fornitori, subfornitori, servizi cloud e integrazioni continue, il rischio zero semplicemente non esiste.

Esiste però la capacità di reagire in modo responsabile. E questa responsabilità passa anche dal modo in cui si comunica.

Un piano di risposta agli incidenti dovrebbe quindi includere, accanto alle misure tecniche, una strategia di comunicazione. Non un testo preconfezionato, ma linee guida, ruoli chiari e criteri decisionali condivisi.

Dovrebbe prevedere simulazioni periodiche, esattamente come si fanno le prove di evacuazione antincendio. Perché se si testa soltanto la parte tecnica e si trascura quella comunicativa, si resta scoperti proprio nel momento più visibile.

Altrimenti il rischio è quello di rincorrere gli eventi: prima la notizia sui media, poi le richieste dei clienti, poi le precisazioni dell’azienda. Una comunicazione reattiva, non governata, che finisce per aggravare la situazione.

A quel punto la domanda non è più come gestire l’incidente informatico, ma come contenere la crisi reputazionale.

Per questo la comunicazione d’emergenza dovrebbe essere considerata parte integrante della sicurezza. Non un accessorio, ma il completamento del lavoro tecnico e giuridico.

• Una buona architettura di sicurezza riduce la probabilità che un incidente accada.
• Una buona comunicazione riduce l’impatto quando l’incidente si verifica.

Entrambe sono espressione dello stesso principio: prendere sul serio la protezione dei dati.

Forse, più che un elemento accessorio, la comunicazione di crisi dovrebbe essere considerata un indicatore di maturità organizzativa.

Non basta avere sistemi robusti e policy aggiornate. Occorre saper spiegare cosa si fa e perché, soprattutto quando qualcosa non ha funzionato.

È proprio in quei momenti che si vede la differenza tra un’organizzazione che ha interiorizzato la cultura della protezione dei dati e una che si è limitata ad adempiere.

La lezione, che venga da un data breach o da una vicenda apparentemente lontana dal mondo della privacy, resta sempre la stessa: l’emergenza non è il momento per inventare un messaggio. È il momento per mettere in pratica ciò che si è preparato prima.

Un’ultima osservazione, forse la più semplice: non improvvisatevi. La comunicazione di crisi è un lavoro, e come tutti i lavori richiede competenze specifiche. Pensare di gestirla all’ultimo momento, magari scrivendo un comunicato in fretta o improvvisando davanti ai media, è uno degli errori più comuni. Esistono professionisti che fanno esattamente questo: aiutare le organizzazioni a comunicare quando qualcosa è andato storto. Vanno individuati prima, coinvolti prima e preparati prima. Quando l’emergenza arriva, il tempo per cercarli non c’è più.