C’è una frase, poco elegante ma estremamente efficace, che circola da anni tra chi lavora davvero nei contesti complessi: il rischio è qualcosa di cui senti l’odore. La issue è qualcosa che hai appena calpestato. È una battuta, certo. Ma è anche una sintesi brutale di uno dei principali limiti del risk management contemporaneo.
Disclaimer. Quanto segue non nasce da manuali, standard o best practice codificate. Nasce da esperienza diretta, maturata in contesti complessi, nazionali e internazionali, dove l’incertezza non è un’eccezione ma una condizione strutturale. Non è teoria. Non è accademia. È osservazione sul campo. Ed è proprio per questo che spesso non la troverete nei framework ufficiali.
Il grande equivoco
Negli ultimi anni si è consolidata una distorsione ricorrente: problemi già manifesti vengono trattati come rischi potenziali; issue evidenti finiscono nei risk register; eventi già in corso vengono analizzati con strumenti pensati per il futuro. Il risultato è una confusione sistemica tra rischio e problema.
Un rischio è qualcosa che potrebbe accadere. Una issue, un problema, è qualcosa che sta già accadendo. La distinzione è semplice. Ma viene sempre più spesso ignorata. Il risk management nasce per anticipare, non per razionalizzare ex post. Eppure oggi vediamo: incidenti cyber definiti “rischi emergenti”, crisi reputazionali chiamate “scenari potenziali”, falle di governance etichettate come “aree di attenzione”. Ma se il danno è già reale, se l’autorità è già intervenuta, se il costo è già misurabile, non siamo più nel dominio del rischio. Siamo nel dominio della issue. Continuare a chiamarla rischio non la rende meno grave. La rende solo meno gestibile.
Nel contesto attuale, seguendo il ragionamento, Il cigno nero non è più un rischio, ma una issue. Per anni il simbolo del rischio estremo è stato il Cigno Nero. Nassim Nicholas Taleb lo definisce come un evento imprevedibile, ad alto impatto, che viene razionalizzato solo dopo che è accaduto (The Black Swan, 2007). Per molto tempo il cigno nero è stato l’eccezione. L’evento raro. L’anomalia. Oggi no.
Pandemie, guerre, shock geopolitici, crisi delle supply chain, tecnologie che riscrivono modelli di business in pochi mesi, intelligenza artificiale che ridefinisce ruoli, responsabilità e controlli. Il cigno nero non è più raro. Il lago è pieno di cigni neri. Quando l’inaspettato diventa ricorrente, quando la discontinuità è sistemica, quando l’eccezionalità è la norma, non stiamo più parlando di rischio. Stiamo parlando di issue strutturali. Expect the unexpected non è più una strategia. È la normalità.
Molti modelli continuano a separare eventi attesi ed eventi inattesi, come se il contesto fosse ancora stabile. In realtà oggi: l’instabilità è strutturale; la crisi non è un evento, ma una condizione; l’imprevedibilità è parte del sistema. Ragionare solo in termini di probabilità, senza riconoscere che alcuni eventi sono già parte della realtà operativa, alimenta il misunderstanding tra risk e issue. C’è poi un fraintendimento ancora più insidioso, particolarmente diffuso ai livelli apicali. Molti amministratori delegati ritengono che un rischio, in quanto tale, possa essere “responsabilmente accettato”, come se la decisione in sé fosse sufficiente a neutralizzarne gli effetti — e come se il fatto che la responsabilità sia formalmente loro legittimasse il mettere a repentaglio l’organizzazione.
Dire “accetto il rischio di viaggiare senza cintura di sicurezza” equivale a operare stabilmente all’interno di una condizione di vulnerabilità strutturale. In questo caso, l’evento critico non è l’incidente. È solo l’istante in cui una conseguenza ormai inevitabile si manifesta. La stessa logica si applica all’impresa. Indebolire il sistema di controllo interno, ridimensionare compliance e audit, sterilizzare i presidi indipendenti viene spesso giustificato con una formula apparentemente razionale: accettiamo il rischio.
Ma quello non è un rischio. È una issue conclamata. Non si sta discutendo se accadrà qualcosa. Si sta discutendo solo quando. Dopo ogni tragedia aziendale, industriale o reputazionale, la narrativa è sempre la stessa: il rischio non è stato gestito correttamente. No. Era già un problema. Persistente. Visibile. Ignorato.
Le grandi tragedie raramente nascono dall’imprevedibile. Nascono da controlli noti ma indeboliti, segnali ignorati, alert silenziati, decisioni consapevoli mascherate da normalità. Se questa distinzione è reale, allora anche reporting e informativa devono cambiare.
Oggi raccontiamo le aziende quasi esclusivamente attraverso i Top Risk: gli eventi futuri che potrebbero compromettere il raggiungimento degli obiettivi strategici. È necessario. Ma non è sufficiente. Accanto ai Top Risk dovrebbero comparire i Top Gap: i problemi reali; i rischi che si sono già trasformati in issue; tutti quei fattori critici che non abbiamo semplicemente individuato o percepito, ma che sono già entrati concretamente nella nostra operatività quotidiana.
L’informativa dovrebbe tenere insieme due dimensioni: ciò che potrebbe accadere; ciò che sta già accadendo. Perché il board non ha bisogno solo di sapere cosa potrebbe succedere. Ha bisogno di sapere cosa sta già erodendo valore, resilienza e credibilità. In Conclusione, forse il vero Top Risk del 2026 non è una nuova minaccia esotica. È continuare a chiamare rischi ciò che sono già problemi. Perché un rischio si può accettare. Una issue no. Una issue si può solo gestire, risolvere o subire. E il vero salto di qualità, oggi, non è prevedere di più. È riconoscere, per tempo: quando senti l’odore, ma hai già calpestato.