Come spesso accade, il mondo finanziario precede, dal punto di vista normativo, la maggior parte degli altri settori. Anche il presidio delle conseguenze dei cambiamenti climatici non fa eccezione.
BCE, EBA, BSI e altri hanno emesso negli ultimi anni, su questo tema, diversi documenti con valenza informativa o regolamentare.
Il rischio legato al clima in ambito bancario si esplica su molteplici fronti, ma in questo momento ci limitiamo a considerare il rischio fisico derivante da eventi climatici estremi o prolungati, che possono impattare, ad esempio, sulla continuità operativa di un’organizzazione.
Data breach da incendi e calamità naturali: valutazioni e adempimenti privacy
Indice degli argomenti
Rischio climatico e business continuity
Dal punto di vista della definizione dei piani di continuità operativa, come più volte ricordato in precedenti articoli, questi operano su scenari a breve e brevissimo termine, compatibili con gli RTO (Recovery Time Objective) derivanti dalla valutazione del tempo massimo di indisponibilità di un processo (MTDP) così come valutato nella BIA (Business Impact Analysis).
In tale contesto, quindi, gli impatti climatici non rivestono un ruolo specifico, in quanto la soluzione per fronteggiare l’indisponibilità di un asset è indipendente dalla causa scatenante (fanno eccezione a questa regola i sistemi informativi, dove anche le soluzioni a breve termine sono legate al tipo di evento occorso).
In altri termini non mi interessa nel brevissimo termine sapere perché un edificio è indisponibile (incendio o allarme bomba) in quanto la soluzione adottata (ad esempio il ricorso ad un’altra sede o allo smart working) è il medesimo.
Diversa è la predisposizione di soluzioni a medio e lungo termine quando, superata la fase iniziale, devo pensare a come fronteggiare la nuova situazione.
Qui sì che la causa scatenante entra in gioco in quanto l’allarme bomba, se risolto, mi consente di tornare nell’edificio principale dopo poche ore, mentre un incendio potrebbe rendere inagibile un edificio per un periodo molto variabile, in funzione dei danni provocati.
È quindi nella valutazione di questa seconda fase che entrano in gioco eventi specifici, come ad esempio quelli climatici.
Valutazione dell’impatto degli eventi climatici
Un evento climatico violento potrebbe portare, ad esempio, alla distruzione di un edificio, o al suo allagamento, o al suo incendio (ad esempio a causa di un fulmine…) e quindi è probabile che l’impatto potrebbe essere anche rilevante.
A differenza di altri eventi, quelli climatici sono caratterizzati in alcuni casi anche dalla loro portata, cioè dalla loro estensione geografica (altri eventi di questa natura non attinenti al clima sono, ad esempio, un terremoto o una nube tossica), intensità, durata.
Infatti, un evento esteso, ad esempio una pioggia prolungata, potrebbe portare a un alluvione analogamente a un acquazzone molto violento.
Analogamente, un evento esteso geograficamente potrebbe vanificare alcune soluzioni messe in atto per garantire la continuità operativa, ad esempio rendendo indisponibili contemporaneamente siti primari e siti secondari (questo è uno dei motivi che consiglia di porre i due siti a distanza considerevole).
Si parla di siti e non di sito in quanto i siti secondari potrebbero essere diversi in funzione dell’asset coinvolto.
Gli eventi climatici possono avere un impatto non soltanto sull’edificio nel quale si svolgono le attività, ma anche su altri asset, come riportato nella seguente tabella, tratta dal mio libro Manuale di resilienza (ITER, 2023).
Persone | Aumento delle assenze per:
|
Edifici | Inondazioni Infiltrazioni d’acqua per forti piogge Scopertura delle coperture per venti forti, trombe d’aria Frane |
Energia | Riduzione della produzione per problemi di siccità Aumento elevato dei costi Riduzione della disponibilità in conseguenza dell’aumento dei consumi per fronteggiare temperature (alte e basse) elevate Danneggiamento delle infrastrutture e della rete di distribuzione |
Comunicazioni | Allagamento delle centrali Danneggiamento delle infrastrutture e della rete di distribuzione |
Materie prime | Aumento dei prezzi e riduzione della disponibilità |
Clienti | Variazione delle richieste per prodotti e servizi |
La definizione del piano di continuità operativa
La valutazione sulle capacità di garantire la continuità operativa deve riguardare, quindi, la disponibilità di ognuno dei precedenti asset, elencati nella precedente tabella.
La definizione del piano di continuità operativa parte individuando i processi più critici per l’azienda in funzione del tempo massimo di tolleranza della loro indisponibilità (MTPD), limite superato il quale vi possono essere impatti estremamente rilevanti ed anche irreversibili per l’azienda.
Questo si fa effettuando una valutazione di impatto (BIA).
Tale valutazione non tiene conto delle probabilità di accadimento di un evento, in quanto si limita, come il nome stesso evidenzia (business impact analysis) alla valutazione dell’impatto.
Non dimeno è importante, nella determinazione delle soluzioni di continuità operativa, valutare quello che è il rischio legato agli eventi climatici.
La probabilità di accadimento di un evento
Si introduce, quindi, per tale valutazione un fattore molto importante, che è quello della probabilità di accadimento di un evento che, per portata, possa avere effetti negativi sulla continuità operativa di una organizzazione.
Qui iniziano i problemi, in quanto la valutazione della probabilità di accadimento di un evento climatico non è cosa facile.
Sono disponibili moltissimi dati sul clima, con una profondità storica anche rilevante, ma gli eventi estremi sono recenti e quindi non è così semplice effettuare valutazioni adeguate al futuro.
Va infatti considerato che l’uso di serie storiche ha un suo limite nel momento in cui cambiano radicalmente le condizioni.
Infatti, una serie storica è legata ad un contesto ben definito, ma se questo contesto cambia completamente, i dati fino a quel momento raccolti perdono notevolmente di significato.
È un po’ come se si volesse valutare la probabilità che un’auto nuova resti in panne considerando la propria esperienza con una precedente vettura, completamente diversa per marca e tipologia.
Per aiutare nella valutazione riporto solo alcuni link che rimandano a dati utili nel contesto italiano[1]:
- Scenari climatici per l’Italia, Fondazione Centro Euro-Mediterraneo sui Cambiamenti Climatici;
- SCIA, Sistema nazionale per l’elaborazione e diffusione di dati climatici, ISPRA;
- Analisi del rischio. I cambiamenti climatici in Italia, CMCC;
- Temperatura e precipitazione nei Comuni capoluogo di Provincia, ISTAT;
- Dati storici climatici, Istituto di Scienze dell’atmosfera e del clima (CNR ISAC);
- CLIMap: la mappa dei fenomeni atmosferici estremi;
- Valutazione dei rischi e delle vulnerabilità legati ai cambiamenti climatici, Climate ADAPT.
Ridurre il rischio climatico: strumenti per le PMI
Di particolare interesse è il tool messo a disposizione nell’ambito del progetto DERRIS, un progetto nato per offrire, alle PMI gli strumenti necessari per ridurre tali rischi:
- trasferendo conoscenze alla PA e alle PMI su risk assesment e risk management di eventi legati al cambiamento climatico;
- realizzando un tool di auto-valutazione per misurare il rischio e per adottare misure di prevenzione e di gestione delle emergenze nelle aziende.
Il tool consente di effettuare una valutazione puntuale del rischio rispetto a eventi quali:
- alluvione;
- pioggia;
- vento;
- grandine;
- fulmini;
- temperatura
- frane;
e di fornire altresì indicazioni su possibili azioni di prevenzione.
Le finalità dell’analisi del rischio climatico
La finalità di un’analisi del rischio, nell’ambito della continuità operativa è infatti duplice.
Da un lato consente di valutare quali siano gli eventi più rischiosi, al fine di mettere in atto sia soluzioni per ridurre gli impatti nel caso in cui un evento si manifesti, sia adeguate soluzioni di recupero nel caso in cui le prime non siano sufficienti a garantire la continuità.
Dall’altro lato consente di valutare, anche se tale aspetto è solitamente molto trascurato, quelli che sono gli impatti negativi di un evento non solo dal punto di vista della continuità del business, ma anche da altre tipologie di impatto (ad esempio; gli effetti sulla riservatezza o integrità dei dati) ovvero di valutare anche altre tipologie di conseguenze, quali ad esempio l’impatto su soggetti terzi (ad esempio persone fisiche nell’ambito della normativa privacy, lavoratori nell’ambito della normativa safety).
Il tutto al fine di valutare l’insieme di conseguenze di un evento in modo tale da meglio stimare l’opportunità di talune contromisure, avendo come parametro di confronto fra costi e benefici, quella che è la perdita complessiva derivante da un evento, e non solo le conseguenze in termini di continuità.
Ad esempio, nel caso di frequenti alluvioni, sarà necessario valutare anche soluzioni estreme, come il trasferimento dell’attività in un’area meno rischiosa.
Le conseguenze di possibili combinazioni di eventi climatici
Ulteriore elemento da prendere in considerazione sono le conseguenze di possibili combinazioni di eventi climatici che avvengono non in contemporanea, ma in sequenza.
Riporto al riguardo l’esempio tratto dal mio libro precedentemente citato.
Situazioni di siccità seguite da un periodo di caldo estremo, come è accaduto lo scorso anno nel nord Italia, portano da un lato ad una maggior richiesta di energia per il raffrescamento dei data center, ma contemporaneamente ad una minore disponibilità di energia elettrica prodotta a causa della:
- mancanza di acqua negli invasi delle centrali idroelettriche;
- ridotta portata dei corsi d’acqua utilizzati per raffreddare le centrali termoelettriche.
Quindi, la sequenza di eventi sopra citati, rende disponibile meno energia nel momento in cui la richiesta è più alta.
È quindi evidente che per fronteggiare questa eventualità una organizzazione che ha necessità di garantire un elevato livello di continuità operativa del proprio data center deve essere in grado di provvedere in autonomia, ad esempio:
- riducendo i consumi:
- efficientamento energetico del CED con uso di apparati poco energivori;
- attivazione di un Building Management System;
- aumentando la propria capacità produttiva autonoma:
- autoproduzione da fonti rinnovabili;
- autoproduzione di energia da fonti tradizionali aumentando la capacità di stoccaggio (se possibile in funzione della collocazione del CED e delle norme di sicurezza antincendio).
Conclusioni
L’esempio riportato evidenzia quanto sia complesso valutare gli impatti degli eventi climatici e che questo richiede anche un po’ di immaginazione per valutare situazioni che in passato raramente si sono presentate, ma che potrebbero diventare la normalità nel futuro.
NOTE
A livello globale riporto, a titolo di esempio, solo quanto citato nel documento di EBA: EBA/ITS/2022/01 del 24 January 2022 Final draft implementing technical standards on prudential disclosures on ESG risks in accordance with Article 449a CRR
Examples of data sources to identify geographical areas subject to climate-change-related hazards include:
• GFDRR – ThinkHazard! (covering heatwaves, water scarcity and stress, floods, wildfires, hurricanes, landslides);
• PREP – PREPdata (coastal floods, extreme heat, landslides, water scarcity and stress, wildfires);
• WRI – Aqueduct Water Risk Atlas (floods, coastal floods, water scarcity and stress);
• Swiss Re – CatNet® (floods, tropical cyclones (hurricanes and typhoons), wildfires);
• World Bank – Climate Change Knowledge Portal (extreme heat, extreme precipitation, drought);
• PCA – Global Drought Risk platform (drought);
• NOAA – historical hurricane tracks (tropical cyclones (hurricanes and typhoons)). ↑
