"Le potenzialità del modello di corporate compliance integrato basato sulla tecnologia blockchain"
Se la crisi epidemiologica da Covid-19 ha scatenato una crisi economica senza precedenti, l'innovazione digitale vive un momento di grande espansione. Secondo i dati pubblicati dal Ministero dello Sviluppo Economico, nel terzo trimestre del 2020, sono nate più di dodicimila start up, molte delle quali ha forte valenza innovativa. In tale contesto, le aziende più evolute hanno necessità di integrare, in tempo reale, una enorme quantità di informazioni operative e di contesto, al fine di assumere le migliori decisioni per l'azienda.
Il modello di corporate compliance integrato. Se la crisi epidemiologica da Covid-19 ha scatenato una crisi economica senza precedenti, l'innovazione digitale vive un momento di grande espansione. Secondo i dati pubblicati dal Ministero dello Sviluppo Economico, nel terzo trimestre del 2020, sono nate più di dodicimila start up, molte delle quali ha forte valenza innovativa. In tale contesto, le aziende più evolute hanno necessità di integrare, in tempo reale, una enorme quantità di informazioni operative e di contesto, al fine di assumere le migliori decisioni per l'azienda. Le aziende hanno necessità di generare valore dai dati che implica necessariamente la capacità di saper estrapolare, al momento giusto, quelli corretti e più utili per le finalità dell'operatività aziendale (data- driven). In altri termini, è fondamentale una governance dei dati in grado di declinare una visione strategica in pratiche e linee guida capaci di supportare l'attività operativa dell'azienda, un vero e proprio rinnovamento dell'organizzazione dei dati, allo scopo di definire i requisiti standard da rispettare in modo che i prodotti e servizi al cliente siano rilasciati in modo corretto, efficiente e nel rispetto degli obblighi imposti dalle normative di settore. E proprio con riferimento a questo ultimo aspetto, la corporate compliance è diventata prima di tutto uno strumento a disposizione del management per la gestione del rischio di non conformità alle normative esterne, nonché al sistema di regole che l'azienda ha inteso assumere a riferimento delle proprie attività. Mai come in questo momento storico, gli stakeholders si aspettano che la corporate compliance protegga le organizzazioni dai rischi esterni ed è innegabile come l'importanza di una effettiva corporate compliance non sia mai stata così grande. L'elevato livello di law enforcement, le crescenti pressioni da parte di watchdogs come i movimenti globali, gruppi di attivisti, whistleblowers e giornalisti investigativi, stanno alimentando l'importanza di una cultura etica forte e reattiva, nonché di canali di segnalazione interni alle aziende più trasparenti. I fallimenti di una inadeguata corporate compliance possono causare alle organizzazioni enormi danni reputazionali, un elevato tasso di perdita del portafoglio clienti e gravi sanzioni pecuniarie, patrimoniali e interdittive. Al contrario, solidi programmi di conformità ed etica possono aiutare i managers ad assumere i rischi in sicurezza e a cogliere nuove opportunità di mercato. Oggi la gestione del rischio di non conformità richiede processi di monitoraggio più reattivi e più produttivi, aggiornamenti frequenti delle politiche aziendali, formazione e comunicazione continua e alti livelli di efficienza per gestire i costi in linea con l'espansione della copertura dei rischi. Senza una solida base tecnologica per aiutare la corporate compliance a operare in tempo reale, tutti questi requisiti sono difficili, se non impossibili, da soddisfare. È necessario, pertanto, ripensare ad un nuovo modo di fare corporate compliance e quindi abbandonare la gestione tradizionale e passare ad una gestione integrata della stessa. Invero, nella gestione tradizionale, la compliance viene gestita mediante un progetto, condotto da gruppi di lavoro autonomi, tra loro coordinati da una funzione di project management. La difficoltà in questa fase è quella di rispondere prontamente e in modo coordinato ed efficiente alle richieste di adeguamento normativo. Occorre invece che la compliance passi da un approccio progettuale ad un approccio armonico di gestione ordinaria, in modo che venga percepita non più come un obbligo normativo ma come la modalità corretta di operare e le attività dei processi siano svolte in coerenza con il dettato normativo. Secondo questa nuova impostazione, l'introduzione di un nuovo processo di business non avvia un progetto di adattamento della compliance ma il nuovo processo viene sviluppato già in modo aderente alla normativa. La gestione integrata della corporate compliance mira a focalizzare l'impegno sulle aree di rischio, garantendo il necessario coordinamento tra tutte le componenti e trasformando la compliance da mero fattore di costo a fattore generatore di valore aggiunto. Tecnicamente, il modello di compliance integrato prevede l'installazione di una piattaforma tecnologica di supporto sulla quale caricare tutti gli adempimenti riferiti ai vari settori normativi (un vero e proprio unico punto di accesso) e quindi, attraverso un software applicativo è possibile mappare e documentare i seguenti macro elementi: processi, rischi e controlli.
I benefici della corporate compliance integrata. Anzitutto, questo modello consente la gestione centralizzata dei documenti, l'archiviazione di qualsiasi attachment, un audit trial di tutte le modifiche operate, il workflow di qualsiasi tipo, la gestione dei dati finanziari (valori di bilancio, formule di significatività), Risk Control Matrix, cruscotti sintetici di avanzamento del progetto, risk assessment, analisi predittiva dei dati, ecc. Nel modello integrato di corporate compliance cambia anche il flusso documentale e il relativo processo di review. Nella gestione tradizionale il ciclo di vita dei documenti è un processo manuale e articolato: viene creato il documento, viene modificato da un capo progetto, viene poi revisionato da un responsabile di funzione e può subire ulteriori successive modifiche. In questo ciclo di vita tradizionale è importante tenere traccia di tutte le modifiche al documento originale e consentire la review delle stesse e rendere efficiente il processo di scambio di informazioni evitando email con allegati. Diversamente, nel modello integrato di compliance è possibile gestire centralmente i documenti e grazie all'attivazione di opportuni workflow i documenti vengono fatti avanzare automaticamente lungo una sequenza specifica di azioni correlate tra di loro, consentendo anche l'integrazione con il sistema di mailing aziendale. Il documento viene salvato in un punto centrale e protetto sulla base dei diritti di accesso. I diversi utenti accedono ad un unico repository. I benefici del modello di gestione integrata e dell'utilizzo del workflow consente una maggiore efficienza (in quanto l'automazione del processo consente l'eliminazione dei passi non necessari), un miglior controllo del processo (viene infatti tenuta traccia di tutte le modifiche e dei vari passaggi) e flessibilità nel senso che è possibile programmare il processo di lavoro in base alle specifiche esigenze (customizzazione del workflow). Questo ultimo aspetto è di sostanziale importanza perché consente di adattare il modello di compliance integrata al particolare settore economico in cui opera l'azienda (ad esempio, un soggetto obbligato alla normativa antiriciclaggio avrà un workflow differente da una società che opera nel settore ambientale). Nel modello integrato di compliance sarà inoltre possibile importare i dati da fonti esterne, gestire l'analisi e il censimento dei processi, gestire dinamicamente l'analisi dei rischi e i relativi controlli, gestire una specifica reportistica sui rischi, permettere la definizione e l'aggiornamento di una o più Risk Control Matrix, per i gruppi societari supportare la determinazione delle società controllate nel loro rispettivo ambito operativo, proporre report di dettaglio e/o aggregati per le varie normative, gestire cruscotti di sintesi, gestire il workflow e le evidenze documentali, gestire i profili di accesso e i livelli di autorizzazione. Con riferimento all'importazione di dati esterni, il modello di compliance integrata deve organizzare in un unico punto di accesso tutta la documentazione esistente, consentire la compilazione guidata di strutture di dati tramite l'accesso web, permettere l'indicizzazione automatica e la ricerca dell'informazione inserita, consentire l'importazione da fonti di dati esterne tramite meccanismi di importazione. Con riferimento al risk assessment, il modello di compliance integrato prevede una specifica funzione che coinvolge più "owners" nella valutazione del rischio. Più nel dettaglio, questa funzione consente di: creare automaticamente una collezione di valutazioni vuote associate al rischio (una valutazione per ciascun "owner" del rischio); notificare agli "owners" del rischio un'email contenente la richiesta di procedere alla valutazione degli attributi "impatto" e "probabilità" per il rischio stesso; di effettuare un calcolo automatico della media delle valutazioni complessive per ciascun rischio; effettuare un calcolo automatico della media di tutti i rischi per categoria; indicare la probabilità e l'impatto del rischio; determinare la valutazione del rischio lordo e del rischio residuo; determinare l'esito complessivo dei controlli e le macro categorie e categorie di appartenenza di ciascun rischio. Il modello integrato di compliance ci permette di esplicitare graficamente il reporting dei rischi in un grafico aggregato, in pratica un piano cartesiano probabilità/impatto, nel quale vengono indicati il rischio lordo e il rischio residuo per ciascuna categoria; ad esempio, sarà possibile attribuire un determinato colore a ciascun simbolo indicato nel grafico riferito a ciascuna categoria di rischio che esprime il grado di rischio complessivo, ottenuto per media di tutti i rischi facenti parte della specifica categoria.
Il modello integrato di compliance ci consente di gestire contemporaneamente molteplici normative di riferimento attraverso la Risk Control Matrix nella quale l'utente che svolge le valutazioni di compliance ha la possibilità di valorizzare uno specifico rischio ad uno o più degli ambiti di compliance. I controlli e le valutazioni registrate per uno specifico rischio hanno conseguentemente impatto su tutte le norme di competenza. L'analisi mediante la Risk Control Matrix consente una single view of risk, la riduzione delle attività di audit, l'aumento del contributo informativo relativo a ciascuna normativa e il contenimento delle attività di controllo. La capacità di aggregazione del dato deve essere alla base della funzionalità strategica del modello integrato di compliance e si estrinseca attraverso una reportistica di dettaglio per singola normativa, reportistica aggregata per tutte le normative, possibilità di customizzare il modello, in ragione delle caratteristiche delle aziende, per ottenere ulteriori rappresentazioni grafiche. È possibile, in pratica, avere un cruscotto riassuntivo di compliance per tutte le normative costituito da una serie di report grafici che riassumono i dati relativi ai rischi, controlli e valutazioni. Il modello integrato deve, in ultima analisi, consentire la gestione della compliance mediante l'associazione dei rischi alle differenti normative; come detto in precedenza, la Risk Control Matrix deve consentire di visualizzare l'integrazione delle varie normative attivate. Infine, il modello integrato deve consentire di definire dettagliatamente i permessi di accesso alle informazioni. In sostanza, ogni utente del modello deve essere autorizzato a vedere o modificare solo le entità di propria competenza. I profili di accesso definiscono un insieme di specificati livelli di accesso (sola lettura, modifica, cancellazione, ecc.) per ciascuna risorsa all'interno del modello, la definizione dei livelli autorizzativi di ampiezza e profondità variabili, l'autenticazione tramite le credenziali di accesso impiegate per l'accesso alla rete, ovvero, la possibilità di disegnare e assegnare profili di accesso o per singoli utenti oppure per gruppi di utenti. Il modello integrato di corporate compliance prevede un'analisi integrata dei dati e delle informazioni nella disponibilità delle varie funzioni aziendali, in un'ottica di circolarità dell'informazione e di condivisione trasversale dei rischi aziendali, secondo un workflow condiviso, dinamico e costantemente aggiornato. L'analisi integrata dei rischi provenienti dalle varie funzioni aziendali su un'unica piattaforma digitale (un unico punto di accesso dei dati) consentirà di valutarli, associandoli alle differenti normative e avere un quadro di compliance d'insieme che potrà essere immediatamente fruibile attraverso un'esplicitazione grafica dei dati. L'analisi predittiva dei dati, attraverso l'utilizzo di algoritmi statistici e tecniche di machine learning, dovrà individuare la probabilità di risultati futuri ed elaborare scenarizzazioni utili per una migliore valutazione di quello che accadrà in futuro.
Blockchain, smart contracts e corporate compliance integrata. Nell'ottica della compliance integrata, la blockchain e gli smart contracts possono fornire un'interessante opportunità, al fine di migliorare resilienza, affidabilità ed efficienza di tale sistema. Invero, se la blockchain offre, da un lato, un'infrastruttura immodificabile, decentralizzata e particolarmente resiliente - data l'assenza di un single point of failure - dall'altro, la codificazione in smart contracts della normativa vigente e della policy interna garantisce un'implementazione ex ante, automatica e in tempo reale delle stesse. In quest'ottica, l'utilizzazione di un tale sistema potrebbe fornire risposte innovative ad annosi sistemi della compliance quali la controllabilità esterna ed interna delle informazioni, la chiara assegnazione di responsabilità all'interno dei processi decisionali e la fragilità del rapporto fiduciario con gli enti deputati al controllo. Partendo dall'infrastruttura, al fine di perseguire i fini qui delineati l'infrastruttura più adatta sembra una blockchain private e permissioned; invero tale blockchain, attraverso un sistema decentralizzato quanto a gestione, conservazione ed inserimento dei dati e centralizzato quanto a direzione dei partecipanti (e.g. i nodi) e a governo dell'architettura, garantisce una gestione decentralizzata assicurando, allo stesso tesso tempo, un forte potere di controllo all'ente centrale. Infatti, entrambe queste caratteristiche giocano un ruolo chiave per ottimizzare i sistemi di compliance. Per quanto riguarda la decentralizzazione, questa ha due ricadute fondamentali. In primo luogo, la decentralizzazione ha un impatto diretto sulla resilienza e affidabilità del registro. Al riguardo, l'assenza di un controllo centralizzato sottrae i dati contenuti in blockchain dalla eventualità che questi ultimi possano essere adulterati unilateralmente da un eventuale "custode corrotto"; segnatamente, il modello di validazione decentralizzata e cooperativa caratterizzante tale tecnologia riduce fortemente la possibilità per un singolo attore di compromettere e manipolare le informazioni contenute nel registro. Inoltre, l'immutabilità dei blocchi già salvati comporta un ulteriore riduzione del potere di adulterazione unilaterale, potendo l'eventuale attore corrotto modificare solo i blocchi presenti e futuri e non quelli passati, i quali costituiscono, pertanto, un registro storico immutabile. Da ultimo, l'assenza di un centro di conservazione e controllo centralizzato comporta la mancanza di un single point of failure, con ricadute dirette in termini di sicurezza e resilienza del sistema di archiviazione. In secondo luogo, la decentralizzazione permette di migliorare l'accessibilità e controllabilità dei dati. Mediante la ricomprensione, nell'infrastruttura in oggetto, degli enti di controllo, degli auditor esterni e dell'organismo di vigilanza, quali nodi, si darebbe a questi ultimi accesso completo e in tempo reale all'intero patrimonio informativo necessario ad esercitare il controllo. Tale accesso, oltre a migliorare l'efficienza del sistema di vigilanza, avrebbe ricadute dirette in termini di riduzione del costo dell'attività di compliance e di riduzione del rischio reato per l'impresa di riferimento. Difatti, se da una parte l'accesso diretto ad un registro unico ridurrebbe i costi del controllo, evitando dispendiose attività di richiesta, trasmissione e processamento delle informazioni; dall'altra, la predisposizione di una tale infrastruttura rafforzerebbe, in caso di verificazione di reati o altre condotte irregolari, la posizione dell'impresa in termini di predisposizione di adeguati sistemi di prevenzione del reato, nonché di tempestiva e completa condivisione delle informazioni necessarie al controllo. Passando all'aspetto della centralizzazione, l'utilizzo di una permissioned e private blockchain permetterebbe all'impresa di ritenere il controllo rispetto all'ammissione ed amministrazione dei nodi della rete, alla creazione di account e alla diffusione e disponibilità delle informazioni. In particolare, riguardo quest'ultimo punto, tale centralizzazione consentirebbe di creare nodi ad informazioni differenziate in modo tale da permettere di coniugare le summenzionate necessità di controllo con le esigenze di privacy e protezione dei dati della clientela; un esempio di tale combinazione sarebbe, come suggerito recentemente da IBM, di dare accesso ai nodi assegnati alle autorità di controllo ai soli header e hash dei blocchi, in modo di garantire, allo stesso tempo, la segretezza dei dati e la loro affidabilità; invero, avendo accesso all'hash le autorità di controllo avrebbero la certezza che fin quando l'hash rimane invariato, anche il contenuto del blocco non si modifica (tecnica tra l'altro già utilizzata in ambito di sequestri di materiale informatico). Per quanto riguarda il secondo degli elementi del sistema sopra delineato, la codificazione in smart contracts, da far girare nell'infrastruttura blockchain, delle normative locali e delle policy di compliance, fornirebbe uno strumento di controllo continuo ed ex ante del rispetto da parte degli attori coinvolti delle normative di riferimento. Inoltre, tali smart contracts giocherebbero un ruolo fondamentale non solo in termini di controllo, ma anche di automatizzazione dei flussi di lavoro e delle procedure di segnalazione interna ed esterna. Invero, attraverso la codificazione di tali flussi informativi e di segnalazioni le informazioni verrebbero automaticamente veicolate nei vari centri decisionali senza necessità di interventi esterni. Si prenda ad esempio, a fini esemplificativi, il sistema di segnalazione in ambito di antiriciclaggio e prevenzione del terrorismo: l'implementazione di uno smart contract contenente i parametri di segnalazione porterebbe a un procedimento di segnalazione automatica, in caso di parametri oggettivi, quali la consistenza della transazione, o mediante un c.d. "oracolo", in caso di parametri maggiormente complessi, di tutte quelle transazioni da considerarsi alla luce della normativa di riferimento come "sospette"; tale procedimento di segnalazione e il relativo processo decisionale sarebbe interamente registrato in blockchain e, pertanto, in ogni momento verificabile da eventuali auditor interni o esterni. Inoltre, la codificazione dei due livelli normativi - regole di compliance globali e normative locali – in appositi smart contracts permetterebbe di sottoporre le informazioni inserite a doppio controllo, automaticamente e contemporaneamente, garantendo la piena aderenza di queste ultime alla normativa vigente. Non solo, la codificazione in blockchain della normativa comporta lo spostamento del baricentro applicativo della norma dalla repressione ex post alla invalidazione ex ante; invero la norma informatica, a differenza della norma analogica, è basata sulla dicotomia validità/invalidità, piuttosto che legittimità/illegittimità; da ciò deriva che l'azione contraria alla norma risulta impossibile e l'unica violazione concepibile è una condotta che rompa o aggiri il codice, e non una che si muova al suo interno. Tale caratteristica causa una diretta conseguenza in termini di compliance: la possibilità di sottoporre il codice che traduca la normativa locale alle autorità in via preventiva, al fine di instaurare un dialogo e ottenere un "bollino di conformità"; inoltre, l'istaurazione di tale dialogo comporterebbe un più facile adattamento alle varie modifiche normative, le quali possono essere incluse nel modello di compliance mediante modifiche al codice base, discusse e approvate con le autorità di regolazione; l'istaurazione di un dialogo avrebbe una indubbia ricaduta positiva su quel deficit di fiducia che spesso affligge il rapporto tra multinazionali e autorità locali. Per concludere, l'implementazione di un'infrastruttura blockchain accompagnata dalla codificazione in smart contracts degli obblighi normativi potrebbe fornire alla compliance integrata un supporto tecnologico per migliorare l'efficienza, la resilienza e l'affidabilità dei sistemi di compliance, permettendo allo stesso tempo di migliorare i rapporti di fiducia con stakeholders ed enti di controllo e ridurre i rischi di responsabilità delle persone giuridiche.
* a cura di Marco Letizi, Avvocato e Dottore Commercialista, Esperto della Commissione europea e del Consiglio d'Europa e PhD Student in Business Management presso l'Universita "La Sapienza" di Roma e Giulio Soana , PhD Student in Diritto e Impresa presso l'Università LUISS Guido Carli
