Un anno fa Poste Italiane ha subito un disservizio informatico che ha paralizzato per diverse ore i servizi online, l’app PostePay e gli sportelli ATM Postamat in tutta Italia: per problemi tecnici, migliaia di clienti si sono trovati impossibilitati a effettuare pagamenti, prelievi e operazioni bancarie. Questo episodio ha messo in luce che le criticità nella gestione delle infrastrutture digitali non sono solo legate alle sempre più diffuse violazioni informatiche ma generano comunque un impatto negativo su tutti coloro che hanno la necessità di effettuare operazioni quotidiane o accedere a servizi anche essenziali. Lo scenario attuale conferma inoltre un cambio di paradigma: per le organizzazioni in settori critici – come Banking, Utilities e Pubblica Amministrazione – la Business Continuity non è più un’opzione, ma un imperativo strategico che necessita di una governance integrata che orchestri sinergicamente tre dimensioni fondamentali: compliance normativa, solidità tecnica e sostenibilità economica.
Conformità come baseline
Indubbiamente il quadro normativo europeo ha trasformato la Business Continuity da buona (e rara) pratica a requisito vincolante. La Direttiva NIS2 estende significativamente il perimetro degli operatori obbligati a garantire resilienza operativa: energia, trasporti, banche, sanità e tutta la PA. Le sanzioni per inadempienza possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo.
Per il settore finanziario, il Digital Operational Resilience Act (DORA) introduce obblighi ancora più stringenti: test di resilienza periodici obbligatori, gestione strutturata del rischio ICT legato a fornitori terzi, e requisiti specifici per la governance della continuità operativa.
Inoltre in Italia, il Codice dell’Amministrazione Digitale e le Linee Guida AgID impongono alla PA l’adozione di piani di continuità operativa per tutti i servizi pubblici digitali. Le amministrazioni che non si adeguano rischiano di vedersi contestare la responsabilità per interruzione di pubblico servizio, con possibili conseguenze anche penali per i dirigenti.
In questo contesto, la conformità normativa è certamente un adempimento legale ormai ineluttabile, ma esistono ulteriori ragioni, spesso sottovalutate, per mettere al centro della cultura aziendale la Business Continuity.
L’imperativo tecnico
La complessità delle infrastrutture tecnologiche moderne rende la Business Continuity anche una necessità tecnica. Le Big Company operano per cominciare su ecosistemi stratificati, dove sistemi legacy convivono con soluzioni cloud native, e dove una singola inefficienza e un singolo problema possono generare effetti a cascata.
Una grande banca gestisce tipicamente decine di sistemi core, alcuni tuttora su mainframe degli anni ’80, altri su architetture cloud distribuite. Questi sistemi devono dialogare in tempo reale, garantire disponibilità 24/7 e processare milioni di transazioni al giorno. Le utility che gestiscono infrastrutture energetiche affrontano la sfida della convergenza tra sistemi informativi (IT) e di controllo operativo (OT), dove un guasto può avere conseguenze catastrofiche.
Inoltre le grandi imprese – ma anche le PMI – dipendono da una rete complessa di fornitori esterni: cloud provider, software vendor, operatori di telecomunicazioni, system integrator, ecc. Casi come il disservizio AWS dell’ottobre 2025, che ha paralizzato la Delta Airlines e migliaia di servizi tra cui Snapchat e persino i sistemi interni di Amazon o il rilascio di un aggiornamento difettoso di CrowdStrike nel luglio 2024 hanno dimostrato quanto vulnerabile possa essere questa catena di dipendenze.
Un efficiente piano di BC deve quindi mappare e mitigare anche i rischi legati alla supply chain tecnologica. Rischi che devono includere guasti infrastrutturali, errori operativi, eventi naturali, problemi di supply chain, oltre ai sempre più attenzionati attacchi informatici, ovvero una varietà di scenari.
Va inoltre considerato che il Recovery Time Objective (il tempo massimo entro cui un sistema o servizio deve essere ripristinato dopo un’interruzione) e il Recovery Point Objective (il punto nel passato fino a che si può e deve tornare con il recupero dei dati) non sono solo metriche tecniche ma anche decisioni di business. Per una banca o un e-tailer, un RTO di 4 ore sui sistemi di home banking significa lasciare milioni di clienti senza accesso per mezza giornata. La definizione di questi aspetti tecnici deve partire pertanto da un’analisi dei processi di business, identificando quali sono critici e quale livello di interruzione è tollerabile.
Business Continuity: da vincolo a vantaggio strategico
Un ulteriore aspetto va considerato: la Business Continuity non è solo un obbligo normativo o una necessità tecnica, è un investimento strategico che genera valore tangibile e sostenibile. Il costo medio di un’interruzione dei sistemi IT per una grande organizzazione varia tra 100 mila e 500 mila euro l’ora.
Tuttavia limitarsi a calcolare le perdite evitate significa perdere di vista il quadro completo. Una BC ben progettata diventa infatti un moltiplicatore di opportunità. Dal punto di vista competitivo, abilita decisioni rapide in situazioni di crisi trasformano le minacce in opportunità di mercato e rappresenta un elemento differenziante nelle gare d’appalto pubbliche e nei contratti enterprise, dove la dimostrazione di resilienza operativa è sempre più un requisito qualificante.
Inoltre, la BC influisce positivamente sulle valutazioni in operazioni di M&A, dove l’esistenza di piani di continuità maturi può aumentare il valore dell’azienda e accelerare le due diligence e nei mercati regolamentati, facilita l’accesso a capitali a condizioni più favorevoli e riduce i premi assicurativi. Mentre, la capacità di garantire continuità del servizio protegge e rafforza la reputazione aziendale, un asset intangibile ma fondamentale in mercati e per clienti sempre più attenti alla affidabilità delle imprese.
In sintesi, la Business Continuity non può essere ridotta a un mero progetto IT o a una spunta su una checklist normativa. È, prima di tutto, una questione di mindset aziendale. L’esperienza dimostra infatti che la vera resilienza operativa non nasce dai soli strumenti, ma da un approccio integrato in cui le priorità di business guidano le scelte tecniche e legali. In questa direzione, le organizzazioni vincenti sono quelle in grado di trasformare la continuità in cultura diffusa, coinvolgendo ogni funzione aziendale attraverso una formazione mirata e un costante engagement.
A cura di Antonio Burinato, Direttore Generale di Innovaway
