Comunicazione di crisi: il lato dell’incidente che non si risolve in sala server
La comunicazione di crisi è l’insieme delle decisioni con cui un’organizzazione, mentre un incidente è in corso, sceglie cosa dire, a chi e in quale momento. È la metà meno tecnica e più sottovalutata della risposta a un attacco informatico, eppure è quella su cui, a distanza di mesi, si misura quasi sempre il danno vero. Un attacco si contiene nel giro di ore o giorni; la fiducia di clienti, autorità e mercato si perde o si difende in base a poche frasi pronunciate nelle prime ore, quando le informazioni sono incomplete e la tentazione di tacere o minimizzare è più forte.
Il paradosso è che la parte tecnica di un incidente segue procedure note, mentre la comunicazione viene quasi sempre improvvisata. Le organizzazioni investono in strumenti di rilevamento e in piani di ripristino, ma raramente hanno pronto, prima che serva, chi parla a nome dell’azienda, con quali messaggi e dentro quali vincoli di legge. Il risultato è che la prima dichiarazione, quella che resterà agli atti e nei titoli, viene spesso scritta sotto pressione da chi non avrebbe dovuto scriverla.
Perché la comunicazione è parte della risposta, non un’appendice
Trattare la comunicazione come un’attività separata, da affidare all’ufficio stampa a emergenza conclusa, è l’errore concettuale di fondo. Gli standard di settore la collocano invece dentro la gestione dell’incidente. La guida del NIST sulla risposta agli incidenti prevede il coordinamento e la condivisione delle informazioni tra le funzioni come parte integrante del processo, e lo standard internazionale dedicato alla gestione delle crisi, la ISO 22361 pubblicata nel 2022, dedica alla comunicazione di crisi una sezione specifica, costruita attorno a pochi principi: informazioni accurate, credibili e tempestive, coerenza del messaggio tra i diversi canali, consapevolezza delle barriere che ostacolano la comprensione e gestione attenta dei social media, descritti insieme come opportunità e minaccia.
Lo stesso standard chiarisce un punto che ha conseguenze pratiche: la strategia di comunicazione deve essere definita e approvata dai vertici prima della crisi, non costruita durante. È la stessa logica che governa la gestione degli incidenti sul piano tecnico, dove la qualità della risposta si decide nella preparazione. Per la comunicazione vale identicamente: chi non ha stabilito in anticipo chi è il portavoce, quali sono i canali e quali i messaggi di base per gli scenari più probabili, si troverà a deciderlo nel momento peggiore.
Le tre domande della comunicazione di crisi: cosa, a chi e quando
Ogni comunicazione di crisi si regge su tre decisioni che vanno prese quasi simultaneamente. La prima riguarda i destinatari, che non sono un pubblico indistinto. I dipendenti vanno informati prima che leggano la notizia altrove, perché diventano inevitabilmente i primi testimoni verso l’esterno. I clienti hanno bisogno di sapere se i loro dati sono coinvolti e cosa devono fare. Le autorità competenti vanno notificate entro termini di legge precisi. I partner della catena di fornitura devono poter valutare la propria esposizione. Stampa e opinione pubblica arrivano per ultimi nell’ordine di priorità, ma sono i più rapidi a colmare con ipotesi il vuoto lasciato dal silenzio.
La seconda decisione è il contenuto, e qui il principio guida è la coerenza. Messaggi diversi a interlocutori diversi sono fisiologici, ma non devono contraddirsi, perché una contraddizione tra ciò che si dice ai clienti e ciò che si dichiara alla stampa diventa essa stessa la notizia. Il contenuto deve dire ciò che è confermato, ammettere ciò che non si sa ancora e indicare cosa l’organizzazione sta facendo, senza promettere ciò che non si è certi di poter mantenere. Una rassicurazione smentita il giorno dopo costa più del problema che voleva nascondere.
La terza decisione è il tempo. Comunicare troppo presto, con informazioni sbagliate, è pericoloso; comunicare troppo tardi cede il racconto ad altri. La via praticabile è la comunicazione progressiva: un primo messaggio che riconosce la situazione e dice che si sta indagando, seguito da aggiornamenti man mano che il quadro si chiarisce. Il silenzio totale, nella convinzione di parlare solo a indagini concluse, è quasi sempre la scelta peggiore, perché trasmette l’idea che l’organizzazione non controlli ciò che sta accadendo.
Gli obblighi di legge che scandiscono i tempi
La comunicazione di crisi, nel caso di un attacco informatico, non è solo una scelta strategica: è in parte un obbligo giuridico con scadenze cronometrate. Il Regolamento generale sulla protezione dei dati impone, ai suoi articoli 33 e 34, di notificare una violazione di dati personali all’autorità di controllo entro settantadue ore dal momento in cui se ne è venuti a conoscenza, salvo che sia improbabile un rischio per i diritti delle persone, e di comunicarla anche agli interessati, senza ingiustificato ritardo, quando il rischio per loro è elevato. La direttiva NIS2, per i soggetti che vi rientrano, aggiunge una scansione ancora più stretta: un pre-allarme entro ventiquattro ore dalla consapevolezza di un incidente significativo, una notifica più completa entro settantadue ore e una relazione finale entro un mese. Per le organizzazioni incluse nel Perimetro di Sicurezza Nazionale Cibernetica i termini si comprimono ulteriormente, fino a sei ore o addirittura un’ora a seconda della gravità dell’incidente, una finestra in cui non c’è alcuno spazio per l’improvvisazione.
Questi termini cambiano la natura della comunicazione, perché la trasformano in un processo con una sveglia che corre dal primo istante. Significa che la decisione di chi notifica, con quali contenuti e tenendo il conto di quali scadenze, va presa quando tutti sono concentrati sul contenimento tecnico. Per questo gli adempimenti NIS2 in materia di notifica non sono un capitolo a parte rispetto alla gestione dell’incidente, ma una sua componente che va provata in anticipo, perché nessuno improvvisa una notifica giuridicamente corretta in ventiquattro ore mentre i sistemi sono fermi.
Gli errori che trasformano una crisi gestibile in un disastro reputazionale
Le crisi che degenerano raramente lo fanno per il danno tecnico in sé. Degenerano per come vengono raccontate. Il primo errore è il silenzio prolungato, l’idea di non dire nulla finché non si sa tutto: lascia spazio a ricostruzioni esterne che poi è difficilissimo correggere. Il secondo è la minimizzazione, il dichiarare che è tutto sotto controllo quando non lo è, perché ogni sviluppo successivo smentirà la rassicurazione e ogni smentita eroderà la credibilità di quella dopo. Il terzo è la pluralità di voci non coordinate, con persone diverse che rilasciano versioni incoerenti, situazione che lo standard ISO indica esplicitamente tra le barriere a una comunicazione efficace.
C’è poi un errore più sottile, quello di considerare la comunicazione un problema solo esterno. Una crisi mal comunicata all’interno, con dipendenti tenuti all’oscuro, produce ansia, voci incontrollate e fughe di informazioni verso l’esterno che vanificano qualsiasi strategia mediatica. La comunicazione interna e quella esterna sono lo stesso problema visto da due lati, e vanno gestite con la stessa cura. Lo strumento che previene gran parte di questi errori non è il talento del portavoce, ma la preparazione: messaggi di base già abbozzati per gli scenari ricorrenti, un portavoce designato e addestrato, e prove regolari che mettano alla prova non solo la reazione tecnica ma anche quella comunicativa, come avviene nelle esercitazioni di crisi che simulano l’intera catena decisionale.
La comunicazione di crisi, in fondo, non è l’arte di dire la cosa giusta sotto pressione, ma il risultato di un lavoro fatto quando la pressione non c’è. Le organizzazioni che escono meglio da un incidente non sono quelle che hanno trovato le parole perfette nel momento dell’emergenza, ma quelle che avevano già deciso, a freddo, chi parla, a chi, entro quali termini di legge e con quale messaggio di fondo. È in questo spostamento, dalla reazione improvvisata alla capacità preparata, che una crisi smette di essere una minaccia esistenziale per la reputazione e torna a essere ciò che dovrebbe restare: un problema tecnico grave, ma gestito.

