Introduzione

Nelle organizzazioni contemporanee, caratterizzate da crescente complessità operativa e da una forte interconnessione tra processi, il rischio non può più essere interpretato esclusivamente come evento esternoo come esito di fattori tecnici. Un elemento centrale, spesso sottovalutato, risiede nella dimensione decisionale interna: le organizzazioni, infatti, non agiscono in modo autonomo, ma attraverso le persone che ne fanno parte. Ogni impresa è composta da individui — dipendenti, responsabili, dirigenti e amministratori — i quali, quotidianamente, assumono decisioni di varia natura e rilevanza. Se alcune scelte restano circoscritte a livelli operativi, altre, tipicamente adottate dai soggetti apicali, sono in grado di produrre effetti significativi sull’intero sistema organizzativo e sui rapporti con l’ambiente esterno.

Ne deriva che il funzionamento dell’organizzazione dipende, in larga misura, dalla qualità delle decisioni che la attraversano. In questa chiave di lettura, il rischio non può essere considerato unicamente come evento, ma deve essere interpretato come un processo che trova origine nella decisione.

La decisione come origine del rischio

Ogni decisione rappresenta un potenziale punto di generazione del rischio. Quando una scelta è adeguata,coerente e conforme alle procedure, contribuisce alla stabilità del sistema organizzativo. Al contrario, quando una decisione è assunta in modo superficiale, distorto o non conforme, essa può attivare conseguenze rilevanti, fino a determinare la realizzazione di un illecito. Sotto il profilo giuridico e organizzativo, la decisione può essere ricondotta a diverse matrici:

• colpa, intesa come negligenza, imprudenza o imperizia;
• dolo, quando la condotta è intenzionalmente orientata alla violazione;
• errore inevitabile, legato a limiti informativi o contestuali.

Tali categorie evidenziano come il rischio non sia riconducibile esclusivamente a carenze strutturali, ma siaprofondamente connesso alla dimensione decisionale e, quindi, al comportamento umano. In questo senso, ladecisione rappresenta il momento in cui il rischio, da potenziale, inizia a prendere forma.

La dimensione comportamentale del rischio

Comprendere il rischio come esito della decisione implica necessariamente l’analisi della dimensione comportamentale. Le organizzazioni operano in contesti caratterizzati da incertezza, pressione temporale e complessità informativa, nei quali i decisori non dispongono sempre di tutte le informazioni necessarie né del tempo utile per un’analisi pienamente razionale. In tali condizioni, il processo decisionale si discosta inevitabilmente dal modello di razionalità perfetta su cui tradizionalmente si è fondato il pensiero economico.

Gli studi di Daniel Kahneman, tra i principali esponenti della behavioral economics, hanno profondamente ridefinito il modo di interpretare il comportamento decisionale. In particolare, l’autore evidenzia come le scelte siano il risultato dell’interazione tra due sistemi cognitivi:

• il System 1, rapido, intuitivo e automatico;
• il System 2, più lento, riflessivo e analitico.

Nella pratica organizzativa, soprattutto in presenza di vincoli temporali, pressione sugli obiettivi esovraccarico informativo, il processo decisionale tende a essere dominato dal System 1. Questo comportauna riduzione della capacità di analisi critica e un maggiore ricorso a scorciatoie cognitive. Nel contestoconsiderato, il decisore    è    esposto    a    distorsioni    sistematiche    — qualioverconfidence, confirmation bias, loss aversion e anchoring — che incidono non solo sulla valutazionedelle alternative, ma anche sulla percezione del rischio stesso. Il rischio, infatti, non viene valutato in modooggettivo, ma

filtrato attraverso schemi cognitivi che possono portare a sottostimarlo o, al contrario, a sovrastimarlo.

Questo aspetto assume particolare rilievo se si considera il legame tra decisione, evento e conseguenzegiuridiche. Una decisione assunta in modo intuitivo, senza adeguata riflessione, può generare una vulnerabilità; tale vulnerabilità può tradursi in un evento dannoso; e l’evento, a sua volta, può configurarsi come violazione normativa o reato. Si delinea così una vera e propria catena decisionale del rischio:

decisione → vulnerabilità → evento → conseguenze

In questa direzione, la dimensione comportamentale consente di comprendere come il rischio non sia unelemento esterno che colpisce l’organizzazione, ma un fenomeno che prende forma all’interno dei processidecisionali, influenzati da limiti cognitivi, contesto e dinamiche organizzative.

Dalla decisione all’impatto: la propagazione del rischio

Le decisioni assunte all’interno delle organizzazioni non restano confinate alla dimensione interna, ma sonoin grado di produrre effetti che si estendono lungo l’intero sistema organizzativo e, spesso, anche versol’esterno.

Una scelta errata o non adeguatamente ponderata può attivare una pluralità di conseguenze, generando diverse tipologie di rischio tra loro interconnesse. In particolare, il rischio decisionale può tradursi in:

• rischio operativo, con impatti sull’efficienza e sul corretto funzionamento dei processi interni;
• rischio di compliance, connesso alla violazione di norme, regolamenti e procedure;
• rischio finanziario, derivante da perdite economiche, inefficienze o scelte non sostenibili;
• rischio reputazionale, con effetti sulla fiducia di clienti, stakeholder e mercato;

• rischio informatico, legato alla compromissione di sistemi, dati e infrastrutture digitali;
• rischio ambientale e rischio in materia di salute e sicurezza sul lavoro, con impatti sull’ambiente e sull’integrità dei lavoratori.

Ciò che emerge è la natura trasversale e sistemica del rischio, che tende a propagarsi tra funzioni, processi e livelli organizzativi.

Una decisione apparentemente circoscritta può, dunque, attivare una vera e propria catena di effetti,amplificando il proprio impatto nel tempo. In alcuni casi, tali effetti risultano difficilmente reversibili, come nel caso del danno reputazionale o della perdita di dati sensibili.

In tale ottica, la decisione rappresenta un punto di origine dinamico del rischio, capace di generare conseguenze che superano il singolo atto.

Indicatori di vulnerabilità: le red flags decisionali

Nel processo decisionale organizzativo emergono frequentemente segnali anticipatori in grado di evidenziare la presenza di una vulnerabilità. Le cosiddette red flags non costituiscono, di per sé, elementi probatori diillecito, ma rappresentano indicatori di rischio che si collocano in una fase intermedia tra decisione ed evento. Proprio per questa loro natura, esse assumono un valore strategico, in quanto consentono di intercettare il rischio quando è ancora potenziale e, dunque, più facilmente governabile.

Tali indicatori si manifestano attraverso specifiche anomalie nei processi decisionali, sintetizzabili come segue:

• Urgenza non giustificata: richieste decisionali formulate in tempi anomali o prive di adeguata motivazione → rischio: errori decisionali e bypass dei controlli → presidio: verifica dell’urgenza e validazione multilivello.
• Bypass delle procedure: mancato rispetto dei protocolli interni → rischio: non conformità e possibile illecito → presidio: blocco del processo e attivazione di audit interno.

• Discrezionalità eccessiva: concentrazione del potere decisionale in capo a un singolo soggetto →rischio: abuso o errore non intercettato → presidio: separazione delle funzioni e doppio controllo.
• Mancanza di tracciabilità: assenza di documentazione delle decisioni e delle responsabilità →rischio: opacità e impossibilità di verifica → presidio: formalizzazione e registrazione delle decisioni.
• Conflitto di interessi: interferenza, anche potenziale, di interessi personali nel processodecisionale → rischio: esposizione a rischi etici e legali

→ presidio: sistemi di segnalazione e gestione preventiva.

• Normalizzazione delle deviazioni: progressiva accettazione di comportamenti anomali comeprassi operative → rischio: rischio sistemico

→ presidio: revisione dei processi e rafforzamento della cultura organizzativa.

In una prospettiva comportamentale, tali anomalie non devono essere interpretate come episodi isolati, ma come manifestazioni di criticità più profonde, spesso riconducibili a pressioni operative, distorsioni cognitive o carenze strutturali nei sistemi di controllo. La loro individuazione e corretta interpretazione rappresentano,pertanto, un passaggio essenziale per rafforzare i meccanismi di prevenzione e impedire che la vulnerabilità sitrasformi in evento dannoso.

Prevenzione, modelli organizzativi e gestione del rischio

In un contesto in cui la componente comportamentale rende il rischio intrinsecamente difficile da eliminare,la risposta delle organizzazioni non può consistere nel controllo totale dell’individuo, ma nella costruzione di sistemi capaci di orientare, strutturare e contenere i processi decisionali.

In questo ambito, il Decreto Legislativo 231/2001 rappresenta uno degli strumenti più rilevanti nelsistema italiano di prevenzione dei reati d’impresa. Esso introduce il principio della responsabilitàamministrativa dell’ente, fondato sulla cosiddetta colpa di organizzazione, ossia sulla capacitàdell’impresa di dotarsi di modelli idonei a prevenire il verificarsi di determinati illeciti.

Il Modello di Organizzazione, Gestione e Controllo (MOG) si configura, pertanto, non solo come un insieme diregole formali, ma come un vero e proprio sistema di governo del rischio. Attraverso il modello,l’organizzazione è in grado di:

• individuare le aree a rischio reato;
  • analizzare i processi decisionali e operativi;
  • introdurre protocolli diretti a programmare la formazione e l’attuazione delle decisioni;
  • definire ruoli, responsabilità e flussi informativi;
  • istituire sistemi di controllo e vigilanza.

Un elemento centrale del MOG è rappresentato dai protocolli e dalle procedure, che non si limitano a disciplinare le attività, ma incidono direttamente sul processo decisionale. Esse stabiliscono chi decide, inquale fase e secondo quali modalità, riducendo il margine di discrezionalità non controllata e rendendo le scelte più tracciabili e verificabili.

In questo senso, il MOG 231 svolge una funzione duplice: da un lato, preventiva, in quanto mira a ridurre la probabilità che una decisione si traduca in un illecito; dall’altro, organizzativa, in quanto struttura il contesto entro cui le decisioni vengono assunte.

Tuttavia, l’efficacia del modello non può essere valutata esclusivamente in termini formali. Un MOG adottato ma non concretamente attuato rischia di perdere la propria funzione preventiva. Al contrario, un modelloefficace è quello che riesce a integrarsi con la cultura organizzativa, incidendo sui comportamenti e orientando le scelte dei soggetti che operano all’interno dell’ente.

Di conseguenza, il MOG non elimina il rischio decisionale, ma contribuisce a renderlo più prevedibile, più controllabile e più gestibile, inserendo la decisione all’interno di un sistema strutturato di regole, controllie responsabilità.

Prevenzione e gestione: un approccio integrato al rischio

La gestione del rischio decisionale richiede un approccio integrato, fondato su due dimensioni tra loro complementari: la prevenzione e la capacità reattiva.

Le misure preventive sono finalizzate a ridurre la probabilità che una decisione generi rischio e si fondano su:

• mappatura delle aree sensibili;
• definizione di protocolli e procedure;
• separazione delle funzioni;
• formazione e diffusione della cultura del rischio.

Tali strumenti consentono di orientare il comportamento dei decisori, riducendo la probabilità di errori, deviazioni o condotte illecite.

Accanto alla prevenzione, tuttavia, assume un ruolo centrale la dimensione reattiva e correttiva, cheinterviene quando l’errore si è già verificato e mira a contenere e gestire l’impatto dell’evento.

Essa si articola in una serie di fasi:

• rilevazione tempestiva dell’anomalia;
• contenimento del rischio e interruzione della propagazione;
• analisi delle cause, con particolare attenzione al processo decisionale che ha generato l’evento;
• aggiornamento dei processi e delle procedure;
• interventi formativi e organizzativi volti a prevenire il ripetersi dell’errore.

Nel quadro sopra delineato, la gestione del rischio non si esaurisce nella prevenzione, ma si completa nella capacità dell’organizzazione di reagire, adattarsi e apprendere.

L’errore, infatti, non rappresenta soltanto una criticità, ma anche un’opportunità di miglioramento: attraversol’analisi degli eventi e la revisione dei processi,

l’organizzazione può rafforzare i propri meccanismi di controllo e migliorare la qualità delle decisioni future.

Un’organizzazione efficace, dunque, non è quella che elimina completamente il rischio — obiettivo irrealistico — ma quella che è in grado di anticiparlo, contenerlo e trasformarlo in apprendimentoorganizzativo.

Conclusioni

L’analisi della dimensione comportamentale del rischio consente di superare una visione tradizionale, fondata esclusivamente su fattori esterni o strutturali, per riconoscere il ruolo centrale dei processi decisionali interni.

Nelle organizzazioni contemporanee, il rischio non si esaurisce in un evento isolato, ma si configura come un processo dinamico che prende origine nelle decisioni e si sviluppa attraverso i comportamenti degli individui. Le scelte, infatti, non sono mai pienamente razionali, ma risultano influenzate da limiti cognitivi, contesto operativo e dinamiche organizzative.

Da ciò deriva la necessità di un cambiamento di prospettiva: non è più sufficiente progettare sistemi e controlli, ma diventa essenziale comprendere, orientare e governare i processi decisionali che li attraversano.

Da questo punto di vista, la gestione del rischio assume una natura necessariamente integrata, articolandosi tra dimensione preventiva — volta a ridurre la probabilità che il rischio si generi — e dimensione reattiva —finalizzata a contenerne gli effetti e a trasformarlo in apprendimento organizzativo.

Il rischio, dunque, non è soltanto un evento da gestire, ma un processo da comprendere, monitorare e governare nel tempo, attraverso strumenti organizzativi, presidi decisionali e capacità di adattamento. Perché, in ultima analisi, il rischio nasce dalla decisione, e la decisione è, inevitabilmente, umana.

A completamento delle considerazioni svolte, lo schema seguente restituisce una sintesi del rischio decisionale, evidenziandone le principali dinamiche e le leve di governo organizzativo.

Fonte: elaborazione dell’autore

Fonti

Kahneman, D. (2011). Thinking, fast and slow. Farrar, Straus and Giroux.

OECD. (2017). Behavioural insights and public policy: Lessons from around the world. OECD Publishing.

ISO. (2018). ISO 31000: Risk management – Guidelines. International Organization for Standardization.

Financial Action Task Force. (2023). International standards on combating money laundering and the financing of terrorism (FATF Recommendations). FATF.

Italia. (2001). Decreto legislativo 8 giugno 2001, n. 231.Silvia Cardaci è laureata in Compliance, Sviluppo Aziendale e Prevenzione del Crimine e attualmente frequenta un master in Analista delle Politiche Internazionali di Difesa e Sicurezza. I suoi interessi di studio si concentrano sui fenomeni di criminalità economico-finanziaria, con particolare attenzione al riciclaggio di denaro, al finanziamento del terrorismo e ai rischi emergenti legati alla digitalizzazione dei sistemi finanziari. La sua prospettiva di analisi integra anche ladimensione comportamentale del crimine, nella consapevolezza che ogni reato è, prima di tutto, espressione di uncomportamento umano

---

Silvia Cardaci è laureata in Compliance, Sviluppo Aziendale e Prevenzione del Crimine e attualmente frequenta un master in Analista delle Politiche Internazionali di Difesa e Sicurezza. I suoi interessi di studio si concentrano sui fenomeni di criminalità economico-finanziaria, con particolare attenzione al riciclaggio di denaro, al finanziamento del terrorismo e ai rischi emergenti legati alla digitalizzazione dei sistemi finanziari. La sua prospettiva di analisi integra anche la dimensione comportamentale del crimine, nella consapevolezza che ogni reato è, prima di tutto,espressione di un comportamento umano.