Crisis Management e Sicurezza Fisica: cosa fare nelle prime 72 ore

Il modello operativo in 3 fasi

Fase 1 — 0–4 ore: mettere in sicurezza e stabilizzare

Obiettivo: proteggere persone e asset, contenere l’evento, preservare le evidenze.

Azioni chiave

• People & site safety: evacuazione o confinamento; triage HSE; perimetro fisico e punti di controllo.
• Comando & controllo: attivare il Crisis Cell (Security lead, HSE, IT/OT, HR, Legal, Operations). Nomina di Incident Commander e sostituti.
• Prove & log: blocco sovrascrittura DVR/NVR; copia forense dei segmenti video rilevanti; sequestro temporaneo badge/log accessi; registro eventi time-stamped.
• Comunicazione flash (interna): messaggio breve a tutto il personale su stato, istruzioni e canali ufficiali; designare un unico portavoce.
• Autorità: valutare attivazione Forze dell’Ordine/VVF/118; informare l’assicurazione secondo polizza.

Output fase 1

• Evento stabilizzato, perimetro sotto controllo, prime evidenze sigillate, chain of custody avviata, nota interna diffusa.

Fase 2 — 4–24 ore: contenere, valutare impatto, pianificare il ripristino

Obiettivo: capire cosa è accaduto, quanto ha colpito, quali funzioni sono critiche.

Azioni chiave

• Assessment strutturato:
  • Danno a persone/asset/impianti; compromissione linee produttive e servizi.
  • Verifica varchi, percorsi, sensori, sistemi antintrusione e controlli accesso.
  • Correlazione con IT/OT: badge vs login, anomalie di rete, eventuale correlazione fisico-cyber.
• Business impact: individuare processi prioritari (lista “A”) e dipendenze di supply chain.
• Piano 24h: scegliere le opzioni di contenimento e ripristino rapido (alternate site, turni speciali, scorte).
• Comunicazione mirata: informare management, capi area e clienti critici con fatti verificati e orizzonte di ripristino.
• Contrattualistica & insurance: aprire claim, verificare clausole SLA con fornitori, documentare spese vive.

Output fase 2

• Rapporto iniziale (“Situation Report”) con cause probabili, impatti, azioni decise, rischi residui, tempi stimati.

Fase 3 — 24–72 ore: ripristinare, comunicare, preparare il post-incident

Obiettivo: tornare in servizio in modo controllato e fissare il percorso di miglioramento.

Azioni chiave

• Ripristino controllato: riapertura per fasi, hardening dei varchi critici, test funzionali (accessi, video, allarmi).
• Workforce: riassegnazioni temporanee, briefing obbligatorio su nuove procedure; supporto HR se l’evento coinvolge personale.
• Public & stakeholder comms: messaggi coerenti a clienti, partner, media e assicuratori; Q&A unificato.
• After Action Review (AAR): entro 72h raccogliere timeline, decisioni, problemi, lezioni apprese; definire remediation e owner.
• Governance: aggiornare piani di crisi, training e contratti (SLA/penali) in base a quanto emerso.

Output fase 3

• Servizio ripristinato con controlli, piano di remediation, comunicazioni chiuse, materiali per audit e assicurazione.

Checklist pronta all’uso (da tenere in sala crisi)

Crisis Cell – ruoli minimi

• Incident Commander (Security) – decisioni e priorità operative
• HSE – safety persone/impianti
• IT/OT – integrazione dati, correlazione eventi
• HR – workforce, comunicazioni interne, supporto
• Legal/Privacy – compliance, assicurazione, catena custodia
• Operations – continuità produttiva/supply chain
• Media/Comms – messaggi a stakeholder

Evidenze & log

• Copia segmenti video e accessi badge
• Foto georeferenziate dei danni (timestamp)
• Registro decisioni (chi, cosa, quando, perché)
• Conservazione oggetti/prove in contenitori etichettati

Contatti critici

• Forze dell’Ordine / VVF / 118 / Comune
• Assicurazione (sinistri, periti)
• Fornitori vitali (energia, vigilanza, manutenzione)
• Clienti “A” e partner logistici

Kit crisi essenziale

• Planimetrie, liste varchi, numeri utili
• Credenziali di emergenza, chiavi master sigillate
• Torce, UPS portatili, radio o telefoni satellitari
• Moduli precompilati (incident report, inventory danni)

Tipologie di incidente e mosse specifiche

Intrusione/furto

Blocco varchi e percorsi di fuga; geofence ricostruito da video + badge; inventario rapido; coordinamento con Forze dell’Ordine; incremento presidio temporaneo.

Incendio/fumo

Post-evento: test aria/impianti; interdizione aree calde; verifica passaggi cavi e compartimentazioni; riallineamento sensori (ridurre falsi allarmi post-ripristino).

Sabotaggio interno

Team “need-to-know”; segregazione funzioni; confronto HR/Legal; mirror dei log per evitare contaminazioni; sospensione temporanea credenziali a rischio.

Blackout prolungato

Prioritizzazione carichi essenziali; controllo sistemi in riaccensione (sovracorrenti); sorveglianza fisica rafforzata su varchi e aree di pregio.

Evento climatico

Barriere mobili, pompe, protezioni perimetrali; ripristino per cluster di aree asciutte; percorsi alternativi per merci e personale.

Evento fisico + cyber

War-room congiunta; correlazione timeline; segmentazione d’emergenza di rete/aree; comunicazione integrata clienti e autorità.

Errori da evitare

• Attese eccessive per “avere tutte le informazioni”: meglio decisioni iterative con dati parziali.
• Messaggi non coerenti tra HR, Operations e Legal.
• Sottovalutare l’insider threat nelle prime ipotesi.
• Non preservare i log video/badge nei primi minuti.
• Delegare a troppi fornitori senza un unico coordinamento: si allungano i tempi e aumenta l’attrito. Qui un interlocutore unico e un centro di acquisto semplificano e creano economie di scala.

KPI per misurare la gestione delle 72 ore

• MTTA / MTTR crisi (tempo di attivazione / tempo di ripristino)
• % processi “A” salvaguardati entro 24/48/72h
• Integrità catena di custodia (audit positivo)
• Tasso di falsi allarmi pre/post interventi
• SLA di presidio/tecnologia durante l’evento (>96% target)
• Perdite evitate vs baseline (ALE), claim assicurativi riconosciuti

Come dovrebbe apparire un partner efficace

Un partner efficace porta in dote:

• Catena del valore end-to-end (analisi del rischio, design, tecnologia, presidio, auditing) e unico interlocutore per esecuzione e reporting.
• Network indipendente dagli istituti di vigilanza (scelta “super partes” sito per sito, evitare lock-in).
• Coordinatori dedicati con gruppi di lavoro ristretti, ispezioni e controllo continuativo, SLA elevati e recupero di efficienza misurabile.

Conclusione

Una crisi non si “improvvisa”: si governa con procedure chiare, ruoli noti, prove preservate, comunicazioni univoche e un partner che accorcia i tempi. Le prime 72 ore sono il momento in cui la sicurezza fisica dimostra di essere un investimento: protezione delle persone, continuità dei processi, valore aziendale preservato.