Molto spesso, quando si intraprende un progetto, soprattutto quando c’è il frizzante sapore di qualche innovazione tecnologica applicata, eufemisticamente si pecca d’entusiasmo.

Allegoricamente, il buon senso deraglia e realisticamente parlando si raddoppieranno i costi si è voluto prima fare qualcosa piuttosto che ragionare a riguardo.

Un ragionamento prevede però pianificazione, e la pianificazione invoca rischi e opportunità. Fra cui rientra la valutazione limiti, divieti, obblighi o condizioni che solitamente vengono raggruppati nel blob della compliance. Che solitamente è qualcosa che viene approcciato con delle fasi piuttosto singolari.

All’inizio si preferisce evitare perché rovinerebbe quel mood proprio delle startup. A metà strada è visto come un intralcio e quindi si rinvia a dopo quando si avrà più tempo. A progetto realizzato si riadatta l’affermazione hegeliana per cui ciò che è reale è razionale e dunque si può ben ritenere che fatte le cose si trovi la compliance.

Non è così, e un rischio pur ignorato comunque produce i suoi effetti. Con tutti i derivanti costi strategici, operativi ed economico-finanziari del caso.

Integrare la compliance

Per quanto al tavolo di un progetto la compliance a norme cogenti o altrimenti a best practices non sarà mai ospite graditissimo, è bene comunque che abbia sempre un posto a sedere riservato.

Altrimenti si potrebbe apprendere con ritardo che l’idea, l’entusiasmo e la capacità di realizzare qualcosa dal punto di vista tecnico sono condizioni necessarie ma non sufficienti per realizzare un progetto.

La recente sanzione del Garante Privacy sul sistema di videosorveglianza veicolare della provincia di Bolzano rappresenta un esempio emblematico in cui l’assenza di un approccio integrato di compliance posta come condizione di sostenibilità tecnologica può far deragliare ogni migliore intenzione.

Per quanto riguarda la compliance in tema di sicurezza, questa va integrata non come un wannabe o un nice to have, o men che meno con un ci pensiamo dopo, dal momento che l’economia del cybercrime pianifica le strategie di attacco e monetizza grazie a difensori strategicamente impreparati.

Molto probabilmente, il peccato originale è nel confondere la compliance con un concetto statico di conformità, mentre invece andrebbe preferita la suggestione insita nel termine inglese che si collega al concetto di realizzazione.

Questo vuol dire che se la compliance viene intesa come qualcosa che realizza il progetto, forse smetterà di essere la Cenerentola della pianificazione? Chissà.

L’unica certezza è che l’opzione di ignorarla porta ad avere gadget particolarmente costosi come sanzioni o violazioni di sicurezza per celebrare il progetto.

Che forse non si realizzerà mai come nei desiderata.