Negli ultimi anni è diventato luogo comune parlare di “incertezza costante”. Le organizzazioni europee hanno dovuto imparare a operare in un contesto di crisi perpetua, l’incertezza geopolitica ed economica non è più un evento isolato, ma il tessuto stesso del panorama complessivo. Quali sono gli elementi di rischio da tenere oggi in maggiore attenzione?
La risposta può essere derivata dal report “Risk in Focus 2026” di ECIIA (European Confederation of Institutes of Internal Auditing, la principale organizzazione che promuove la professione di internal auditor in Europa), basato su un sondaggio condotto tra 879 Chief Audit Executives (CAE), una mappa cruciale per navigare nel futuro. Negli ultimi dieci anni, l’analisi “Risk in Focus” ha puntato a evidenziare le principali aree di rischio per aiutare gli Internal Auditor a prepararsi nella propria valutazione indipendente del rischio. Quest’anno, la relazione “Risk in Focus 2026” ha visto la collaborazione di 14 Istituti Europei di Internal Auditor, di15 Paesi (tra cui Austria, Belgio, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Lussemburgo, Paesi Bassi, Norvegia, Spagna, Svezia, Svizzera e Regno Unito). L’indagine ha raccolto 879 risposte da parte di CAE in tutta Europa e ha utilizzato i risultati delle discussioni in cinque tavole rotonde con 48 CAE, ciascuna su un ambito di rischio trattato nella relazione. Di seguito saranno commentati i principali risultati dell’analisi.
Takeaway 1: la cybersecurity rimane il rischio principale, ma lo stiamo valutando correttamente?
La sicurezza informatica e dei dati rimangono il principale rischio delle organizzazioni europee. L’82% dei CAE classificano quella cyber come la minaccia più importante e il 72% afferma che è quella in cui l’audit interno trascorre attualmente più tempo. I CAE prevedono inoltre che rimarrà il rischio numero uno almeno per altri tre anni. La preparazione post-quantistica sta iniziando a essere presente negli ambiti di audit.
Tuttavia, il report solleva un punto controintuitivo che merita una riflessione strategica. Una ricerca citata nel documento mostra che l’esposizione al rischio informatico, monetizzata e misurata come percentuale del fatturato, è in realtà diminuita ogni anno dal 2022.
L’ipotesi che viene avanzata del report per spiegare questa discrepanza è che “quando i dirigenti rispondono ai sondaggi sul rischio informatico, pensano al livello di rischio senza considerare le contromisure in essere“. L’implicazione strategica è chiara: i leader potrebbero allocare le risorse basandosi su una percezione del rischio ormai superata, invece che sulla reale esposizione attuale, sottostimando invece le nuove minacce emergenti. L’invito non è quindi volto a sottovalutare la minaccia, ma a ricalibrare la strategia, distinguendo tra la percezione generica del rischio e l’esposizione effettiva, che è oggi mitigata da difese giunte a maturità.
Takeaway 2: il clima in fondo alla Top Ten dei rischi più critici
Nonostante l’intensificarsi degli eventi meteorologici estremi in tutta Europa, è abbastanza sorprendente osservare che il rischio legato a “Cambiamento climatico, biodiversità e sostenibilità ambientale” è crollato di quattro posizioni nella classifica dei rischi più gravi per le aziende, passando dal 6° al 10° posto. Questo calo di attenzione è ancora più evidente nelle proiezioni future: solo il 24% dei CAE prevede che diventerà un’area di focus per l’audit entro il 2029, un crollo significativo rispetto al 40% dell’anno precedente.
Qual è la causa di questa tendenza? I CAE citano una crescente frustrazione per l’incertezza normativa in ambito ambientale, legata agli atteggiamenti politici mutevoli sia in Europa che a livello globale. Questa situazione crea un pericoloso scollamento tra il rischio fisico a lungo termine, ormai innegabile, e le priorità aziendali a breve termine. Un CAE ha cristallizzato perfettamente questa miopia strategica: “Nessuno si preoccupa se un fornitore in un altro Paese potrebbe finire sott’acqua tra 20 anni.” Ignorare questo rischio significa lasciare le organizzazioni potenzialmente impreparate alle inevitabili conseguenze del cambiamento climatico, creando un vero e proprio “blind spot” strategico.
Takeaway 3: l’era dell’AI è qui, ma nessuno ha ancora compreso tutte le implicazioni di questo cambiamento epocale
Il rischio legato a “Disruption digitale, nuove tecnologie e AI” è salito al 3° posto nella classifica della ricerca, segnalando una crescente urgenza. Il problema non è la tecnologia in sé, ma il caos che la circonda. Le organizzazioni faticano a definire strategie chiare perché gli sviluppi molto rapidi, in particolare nell’AI generativa, superano la capacità di comprendere il potenziale dirompente di questa tecnologia. Un CAE di una società di servizi finanziari olandese ha sintetizzato perfettamente questa sfida: “È difficile sviluppare una strategia che vada oltre i due o tre trimestri, quindi l’agilità e la capacità di adattamento sono fondamentali in questo momento.”
Le preoccupazioni includono il rischio di “vendor lock-in” (la dipendenza da un unico fornitore) e la sfida di verificare sistemi di AI che operano come “scatole nere” (black boxes). Il pericolo, nel secondo caso, non è solo operativo ma anche normativo, poiché potrebbe essere impossibile ottenere la compliance con sistemi così opachi. Un CAE di un’istituzione finanziaria spagnola ha lanciato un avvertimento ancora più forte: “Se la vostra azienda ha molti dei suoi processi effettivamente nascosti in modelli di intelligenza artificiale opachi dove le decisioni avvengono in una ‘scatola nera’, è molto peggio del vendor lock-in, è quasi un suicidio aziendale.”
Takeaway 4: il capitale umano si riduce: stiamo automatizzando le competenze del futuro?
Il punto “Capitale umano, diversità, gestione dei talenti e retention” è la seconda minaccia più grave per le organizzazioni. Tuttavia, emerge un fatto piuttosto grave, ossia, viene spesso sottostimata: questo rischio si classifica infatti solo al 9° posto in termini di tempo e sforzo dedicati dall’internal audit (vedi la figura successiva), un divario preoccupante tra la percezione del rischio e l’attenzione prestata.
Emerge dall’analisi un rischio che avrà implicazioni profonde e a lungo termine: il “de-skilling”, ovvero la perdita di competenze. Un CAE di un’azienda belga di servizi HR e paghe ha espresso questa preoccupazione: se l’AI automatizza il lavoro di base a livello junior, i futuri manager senior non avranno più le conoscenze e l’esperienza fondamentali che si acquisiscono svolgendo proprio questi compiti. Altre preoccupazioni chiave includono l’alto turnover del personale e la difficoltà di allineare la strategia delle risorse umane con la trasformazione guidata dall’AI.
Takeaway 5: i rischi non sono isolati, ma un unico groviglio interconnesso
Tra i risultati più importanti del report quello che i rischi principali, dopo la cybersecurity, si stanno “raggruppando più strettamente che in qualsiasi altro momento (tra il 45% e il 48%)“. Questo significa che i CAE percepiscono sempre più i loro rischi principali come “relativamente uguali perché sono diventati più interconnessi tra loro“, e questo fa sì che la gestione del rischio sia eccezionalmente complessa.
Un esempio concreto illustra perfettamente l’obsolescenza dei modelli tradizionali: il report cita un’istituzione finanziaria del Regno Unito per la quale “i calcoli dello scenario peggiore sull’impatto dei dazi statunitensi si sono rivelati ampiamente errati.” In questo ambiente, le guerre commerciali (rischi macroeconomici) influenzano direttamente i cambiamenti normativi, le minacce informatiche e le condizioni di mercato. I metodi di valutazione del rischio che isolano le minacce sono ormai superati, e l’agilità non è più un vantaggio competitivo, ma una condizione essenziale per la sopravvivenza.
In conclusione, servirebbe una nuova bussola per un mondo complesso
Il messaggio generale del “Risk in Focus 2026” è chiaro: il panorama dei rischi non sta solo crescendo, sta diventando fondamentalmente più complesso, interconnesso e incerto. I vecchi manuali potrebbero non essere più validi. L’analisi suggerisce che la resilienza futura non risiederà nella gestione di rischi isolati, ma nella capacità di governare la loro crescente e caotica interconnessione. Agilità, visione strategica e la capacità di mettere in discussione le proprie certezze sono più critiche che mai.
Accedi al report “Risk in Focus 2026” di ECIIA.
