Travel Risk Management: dal quadro normativo ai processi operativi
Alla luce dei recenti accadimenti, le tematiche di travel security sono tornate a rappresentare un punto di forte attenzione per tutte quelle Realtà che si trovano ad operare in via continuativa o sporadica in territorio estero. La continua evoluzione delle minacce e la loro sempre maggiore permeabilità nel tessuto sociale e nella vita di tutti i giorni, rendono necessaria l’adozione di contromisure, tecnologie e sistemi di sicurezza commisurati al Paese e all’area in cui un “business traveller” si troverà ad operare.
Per analizzare al meglio queste tematiche e fornire utili spunti operativi, si rende necessario analizzare il contesto normativo in cui queste attività trovano inquadramento.
Decreto Legislativo 81/2008
Occorre prima di tutto ricordare che l’attività di valutazione dei rischi risulta fondamentale in merito alla gestione della sicurezza sul lavoro e, per tale ragione, rappresenta un obbligo esclusivo, personale e indelegabile in capo al datore di lavoro; tale obbligo è considerato come non delegabile a causa della sua importanza e per la stretta correlazione con le strategie aziendali.
Nel processo di valutazione dei rischi, a norma dell’articolo 28 comma 1 del D.Lgs 81/08, è necessario tenere in considerazione tutte le tipologie di rischio inerenti alla sicurezza e alla salute dei lavoratori, senza escluderne nessuno, facendo anche riferimento all’articolo 1 comma 1 del testo dove si afferma che il decreto si applica a tutte le tipologie di rischio; i rischi oggetto di analisi sono quelli inerenti l’attività lavorativa ma non per questo circoscritti alle mansioni svolte e, in conseguenza di ciò, devono essere considerati anche i rischi atipici o esogeni, cioè quelle tipologie di rischio che non trovano origine nelle mansioni svolte. A tale tipologia di rischio può ricondursi ad esempio la sicurezza degli alloggi e degli spostamenti dei lavoratori che operano all’estero, facendo così rientrare pienamente come obbligo normativo l’attività di valutazione dei rischi connessi a scenari criminali o terroristici presenti in alcuni Paesi o a situazioni politiche e sanitarie, ecc. A tal proposito è opportuno precisare che il datore di lavoro ha l’obbligo di tutelare la sicurezza dei propri lavoratori ovunque essi operino; pertanto nella redazione del DVR (Documento di Valutazione Rischi) è irrilevante che l’attività sia svolta all’estero o presso terzi. L’omessa, l’inadeguata, l’insufficiente o l’incompleta valutazione dei rischi è reato, previsto dall’articolo 29 del D.Lgs. 81/08 e punito ai sensi dell’articolo 55 comma 1 lettera A dello stesso decreto. La redazione del DVR deve essere effettuata dal datore di lavoro in collaborazione con due funzioni aziendali, il medico competente e il servizio di prevenzione e protezione dei rischi; queste sono le collaborazioni obbligatorie ma non escludono assolutamente la consulenza di terze parti, esperte di sicurezza a diversi livelli e con formazione specifica.
Ovviamente tale attività di valutazione deve essere effettuata in funzione preventiva e quindi prima dell’implementazione di eventuali misure di sicurezza; infatti, se effettuata dopo, la valutazione comprenderebbe il rischio residuo a seguito dell’implementazione di alcune misure e non sarebbe certo una valutazione obiettiva.
L’obbligo in capo al datore di lavoro ha ovviamente dei risvolti penali in caso di mancato adempimento come testimoniano diverse sentenze, come la N° 34772 del 2008 e la N° 22355 del 2003; quest’ ultima in particolare, condannava il datore di lavoro per la mancata informazione e formazione a favore di un dipendente che operava in un Paese diverso dall’Italia, successivamente infortunatosi proprio a causa di tali mancanze. Analizzando la fattispecie, la si potrebbe ricollegare alla mancanza di formazione e informazione in merito al contesto di sicurezza “sociale” del Paese dove si svolge l’attività lavorativa, riconducendo tali rischi a rischi atipici sopracitati (es. informazione sulla sicurezza dell’itinerario da percorrere tra luogo di abitazione e luogo di lavoro; nello specifico si ricorda che corre una differenza sostanziale di non poco conto; di fatti, all’estero, il tragitto tra abitazione e luogo di lavoro è totalmente da considerarsi già come lavoro e quindi pienamente a carico del datore di lavoro, mentre per attività lavorative svolte in Italia vi possono essere varie attenuanti o cause di esclusione di colpevolezza in merito). Inoltre, il datore può considerarsi punibile quando abbia omesso di valutare un rischio ragionevolmente prevedibile e identificabile (es. rischio sanitario = malaria in Congo; rischio sicurezza = minaccia terroristica Iraq; rischio criminalità = violenza e criminalità in Brasile).
Una importante novità, sempre in merito alla formazione e informazione, è stata introdotta dal D.Lgs. 106/09: a ricevere una specifica formazione e informazione periodicamente aggiornata non devono essere solo i preposti ma tutti i dirigenti.
Il D.Lgs. 81/08 può considerarsi quindi, ad oggi, come il principale testo riguardante la sicurezza dei lavoratori. All’interno dello stesso sono previsti diversi obblighi a carico del datore di lavoro, al fine di massimizzare i livelli di sicurezza dei propri dipendenti. Diverse volte però è stato messo in evidenza, da uomini di security come da giuslavoristi, come il Testo si concentri su aspetti di safety piuttosto che di security, lasciando quindi scoperte tematiche fondamentali e parificando i 2 mondi sopracitati, che in realtà sono differenti per definizione. Allo stesso tempo, gli obblighi sanciti dagli articoli 28 comma 1 “Oggetto della valutazione dei rischi”, 36 “Informazione ai lavoratori” e 37 “Formazione dei lavoratori e dei loro rappresentanti”, fanno esplicito riferimento a “tutte le tipologie di rischio” alla quale i dipendenti possano andare incontro; ne deriva quindi che anche i rischi di security devono essere necessariamente considerati, unitamente agli aspetti di safety.
Art. 2087 c.c.
Anche all’interno del codice civile italiano, è possibile trovare un riferimento legato agli obblighi a carico del datore di lavoro. Cit.: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”.
La ratio legis impone quindi all’imprenditore, in ragione della sua posizione di garante dell’incolumità fisica del lavoratore, di adottare tutte le misure di sicurezza atte a salvaguardare chi presta la propria attività lavorativa alle sue dipendenze. Sul datore di lavoro grava inoltre l’onere di dimostrare di aver adottato tutte le cautele necessarie per evitare il danno.
L’art. 2087 c.c. impone all’imprenditore un aggiornamento continuo delle misure da adottare per la tutela della salute dei suoi dipendenti con conseguente obbligo della loro individuazione e della loro attuazione, anche a integrazione della specifica normativa della sicurezza. La responsabilità del datore di lavoro, in ordine a infortuni o malattie professionali, non sussiste qualora egli abbia osservato tutte le misure prevenzionistiche previste dalla legge, nonché gli standard di sicurezza normalmente adottati dagli imprenditori.
Il principio generale del “neminem laedere” si affianca a quanto disposto dal testo normativo, il quale richiede che il dispositivo risponda nel miglior modo a tutelare la sicurezza dei lavoratori, realizzando i più avanzati ritrovati tecnici in relazione alle continue scoperte della scienza moderna.
Per ciò che concerne la sicurezza del “luogo di lavoro”, l’obbligo di tutela delle condizioni di lavoro riguarda non solo la predisposizione di attrezzature e macchinari che il datore deve fornire, ma si estende anche alla fase dinamica dell’espletamento del lavoro ed ai comportamenti necessari per prevenire possibili incidenti; da ciò ne deriva che l’obbligo riguarda anche, ad esempio, il tragitto da seguire per recarsi sul posto di lavoro o per eventuali trasferte. Inoltre, sussiste l’obbligo di una gestione oculata dei luoghi di lavoro mediante tutte le misure imposte normativamente (informazione, formazione, attrezzature idonee e presidi di sicurezza), nonché ogni altra misura idonea, per comune regola di prudenza e di diligenza, a garantire la sicurezza nei luoghi di lavoro.
Con ulteriore approfondimento analitico è stato determinato che l’art. 2087 c.c. obbliga l’imprenditore ad “adottare ai fini della tutela delle condizioni di lavoro non solo le particolari misure tassativamente imposte dalla legge in relazione allo specifico tipo di attività esercitata, nonché quelle generiche dettate dalla comune prudenza, ma anche tutte le altre misure che in concreto si rendano necessarie per la tutela della sicurezza del lavoro in base alla particolarità dell’attività lavorativa, all’esperienza ed alla tecnica”.
L’art. 2087 c.c., nell’affermare che l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa misure che, secondo le particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale del lavoratore, stimola obbligatoriamente il datore di lavoro ad aprirsi alle nuove acquisizioni tecnologiche; resta immutato l’obbligo di adottare tutte le misure tecniche necessarie a ridurre il rischio “al minimo, in relazione alle conoscenze acquisite in base al progresso tecnico”.
Per adempiere a tali disposizioni, l’art. 2097 c.c. obbliga il datore di lavoro a “ricorrere ad esperti competenti”, qualora sia privo della necessaria competenza.
In tema di “onerosità” delle soluzioni da implementare, la Cassazione è costantemente orientata nel senso di ritenere che la sicurezza non può essere subordinata a criteri di fattibilità economica o produttiva; la tutela dell’integrità fisica del lavoratore (art. 32 Cost. e art. 2087 c.c.) non tollera alcun condizionamento economico.
In tema di responsabilità penale, sussiste il dolo eventuale del delitto di omicidio nel caso in cui il datore di lavoro si rappresenti la concreta probabilità del verificarsi di un infortunio mortale e, nondimeno, ometta di adottare le misure di sicurezza dovute, subordinando così il bene dell’incolumità dei lavoratori a quello degli obiettivi aziendali.
D.Lgs. 231/2001
Il Decreto Legislativo n.231/01 ha introdotto il concetto di responsabilità per le persone giuridiche, società o associazioni (anche prive di personalità giuridica), per i reati specificatamente previsti da esso e commessi a proprio vantaggio o nel proprio interesse. La novità deriva dall’estensione della responsabilità, non più riconducibile soltanto alla persona fisica che materialmente commette ma anche alla società di cui esso è dipendente. Le sanzioni a carico delle persone fisiche rimarranno nell’ambito di pertinenza del Codice Penale, ma con l’applicazione del decreto 231 si potranno avere sanzioni amministrative a carico della società/ente di appartenenza.
Nello specifico, l’art. 4 “Reati commessi all’estero” afferma: “…gli enti e le società aventi nel territorio italiano la Sede, rispondono anche in relazione ai reati commessi all’estero, purché nei loro confronti non proceda lo Stato del luogo in cui è stato commesso il fatto.”
Inoltre, l’art. 25 – septies “Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro”, riguarda i delitti elencati dall’articolo 589 C.P. (omicidio colposo) e 590 C.P. (lesioni personali colpose), configurabili in violazione del Decreto Legislativo 81/08 sulla tutela e sicurezza sul lavoro.
Spunti di Governance dei processi e soluzioni operative
Avendo fornito le dovute basi normative sull’argomento in oggetto, si proverà adesso a fornire alcuni spunti per un corretto punto di governo dei processi legati al Travel Risk Management e strumenti di analisi ed operativi per minimizzare l’esposizione al rischio ed aderire alle normative vigenti. Alla luce di quanto emerso, infatti, è necessario affrontare la gestione del personale viaggiante attraverso un approccio integrato tra tutte le funzioni aziendali coinvolte in questi processi. Sarà quindi indispensabile redigere delle travel policy per l’organizzazione delle trasferte e per la gestione delle stesse.
Adempiere a tali obblighi normativi è ovviamente possibile, ma risulta fondamentale la predisposizione di un sistema di Risk Management e Travel Security in grado di far fronte alle molteplici minacce potenzialmente impattanti sul viaggiatore. È in questa circostanza che si necessita quindi delle funzionalità espletate da un TSOC (Travel Security Operation Center) il quale monitora, analizza ed informa i viaggiatori su ciò che accade nel mondo inviando early warning e news sugli ultimi accadimenti.
Ricevere informazioni e aggiornamenti (da manifestazioni, scioperi e chiusura delle ambasciate fino agli attentati terroristi) rende i trasfertisti/espatriati consapevoli di ciò che accade intorno a loro e poter anche evitare, quindi, eventuali aree a rischio.
Essendo queste competenze particolarmente specialistiche, risulta difficile individuare risorse interne all’Azienda in grado di gestire e valorizzare il processo di Travel Security. Esistono ad oggi sul mercato soluzioni “plug & play” in grado di elevare in modo quasi istantaneo il Security System attraverso processi integrati in grado di abbracciare aspetti puramente formali, sostanziali e in taluni casi anche operativi.
Oltre a tali attività, è fondamentale stabilire i criteri di scelta delle accomodation per i trasfertisti, tenendo in considerazione il Paese di destinazione, il numerico dei viaggiatori, la natura della trasferta e la tipologia di business da sviluppare onsite. Infatti, non sempre la scelta di catene alberghiere blasonate è garanzia di sicurezza; da un lato, l’importanza del brand agevola certamente le relazioni con le Autorità di sicurezza locali in caso di attacchi, ma di contro sono sempre maggiormente esposti ad attacchi criminali e terroristici. Inoltre, nonostante la qualità dei servizi canonici sia ineccepibile, non sempre la conformazione delle strutture stesse garantisce ottimi livelli di sicurezza.
Di recente si è anche assistito ad un notevole aumento delle sistemazioni attraverso il network Airbnb; tale pratica offre sicuramente vantaggi in termini economici ma è necessario evidenziare che, allo stato attuale, tale sistema non prevede alcuna certificazione delle strutture offerte né tantomeno una verifica dei soggetti che le offrono. Di conseguenza quindi, i propri trasfertisti potrebbero essere esposti a qualsiasi tipologia di scenario che difficilmente sarebbe gestibile, vista l’assenza di relazioni consolidate con le Autorità di sicurezza locali (in caso di emergenze infatti, il tutto potrebbe solamente ridursi ad una mera chiamata a carico del viaggiatore verso un numero di emergenza, lasciando però lo stesso al corso degli eventi e senza alcun appoggio per gestire l’evento critico).
Tra le principali problematiche da gestire per le varie unità di corporate security aziendali, vi sono certamente le diverse esigenze dei propri trasfertisti durante le missioni in territorio straniero. Molto spesso infatti, procedure di livello corporate o semplici norme di buon senso vengono disattese in nome di una maggior semplicità o velocità di movimento, sempre convinti che il peggio non è ancora accaduto e, se accadrà, altri ne saranno vittime.
In questo periodo però, si è potuto assistere alla trasversalità della minaccia e dell’esposizione al rischio, rendendo residenti, turisti ed Executive aziendali target allo stesso livello. A fronte di questo contrasto tra rischio reale e rischio percepito, cosa è possibile fare per ridurre e mitigare i rischi, riuscendo a rispondere positivamente alle richieste dei top Executive che, molto spesso, “gradiscono” viaggiare in solitaria e senza dispositivo di sicurezza al proprio seguito?
Risulta certamente indispensabile incrementare tutte le attività di “intelligence protettiva e controsorveglianza”, peraltro già svolte in caso di predisposizione di dispositivi di sicurezza attiva da dispiegare sul territorio. Nella quasi totalità dei casi, le attività criminali di qualsiasi tipologia (rapina, furto, rapimento, ecc..) difficilmente vengono svolte d’impeto e senza attività di sopralluogo e di valutazione di scenario; proprio durante queste attività, team di operatori dedicati ad attività di controsorveglianza e analisi potrebbero “prevenire” i diversi atti o ridurre sensibilmente l’impatto degli stessi. Un esempio concreto è possibile trovarlo tornando al 2003, quando furono scoperte diverse attività di sorveglianza da parte di membri operativi di al Qaeda a danno di istituzioni finanziare e commerciali negli Stati Uniti e in Asia; proprio nel continente asiatico, venne appurato come i terroristi trascorressero intere giornate seduti in diversi locali, di fronte a possibili target, registrando tutti i movimenti e studiando i dispositivi e le procedure di sicurezza poste in essere.
Tali attività, “invisibili” per l’Executive che viaggia, potrebbero certamente minimizzare l’esposizione al rischio e attivare, in caso di necessità, tutte le possibili variazioni già elaborate in fase di pianificazione attraverso attività di intelligence (studio ed elaborazione dei tempi di percorrenza, analisi itinerari alternativi, individuazione di “safe area” da utilizzarsi in casi di attivazione, approfondimento sulle zone cittadine attraversate, ecc.).
Unitamente a tali attività di stretta competenza degli “operatori di security”, campagne di sensibilizzazione sulla corretta individuazione ed identificazione dei rischi a favore dei propri dipendenti risultano assolutamente necessarie per far accrescere la consapevolezza che i rischi e le minacce esistono e necessitano di essere affrontate e gestite. Inoltre, l’eventuale partecipazione a briefing pre-viaggio per gli Executive potrebbe far comprendere in prima persona quali siano gli scenari dove ci si appresta ad operare e quali potrebbero essere le zone in cui si è maggiormente “esposti”, senza trasmettere comportamenti paranoici ma invitando i business oriented ad effettuare piccoli esercizi di attenzione a dettagli che potrebbero rivelarsi fondamentali per prevenire eventuali attività criminali.
Infine, avendo redatto delle policy Corporate per la gestione del personale viaggiante, andranno analizzati gli output ottenuti dalle attività di intelligence per poter analizzare e valutare al meglio i rischi e le minacce che potrebbero impattare sul capitale umano presente in quell’area, cosi da definire puntualmente cosa mitigare e cosa invece accettare come rischio, in ottica di una logica di costi benefici. L’attenta valutazione delle minacce presenti, legate al livello di rischio security di quella determinata area, si rende indispensabile per poter scegliere al meglio il dispositivo di sicurezza attiva da dispiegare a tutela del personale e degli altri asset aziendali.
In conclusione, al termine di questa analisi e in considerazione degli scenari internazionali in continuo mutamento, l’implementazione di policy di sicurezza e di attività di formazione specifica a tutti i livelli, pare assolutamente indispensabile. Tale formazione, secondo quanto previsto, deve avere come obiettivo quello di fornire quante più informazioni possibili per i propri dipendenti, sia che si tratti di operai che di quadri, dirigenti, security manager, ecc. Inoltre, al fine di garantire la sicurezza del proprio personale viaggiante, le aziende dovrebbero dotarsi (o fare affidamento a fornitori esterni competenti) di un sistema di Travel Risk Management all’altezza delle proprie esigenze ed adattabile alle svariate minacce che potrebbero colpire i Travelers all’estero.
Gli esempi concreti di diverse problematiche non mancano di certo; più pragmaticamente, si prenda in considerazione il fenomeno di forte ascesa della diffusione della malaria e della tubercolosi in vari Paesi del continente africano. I dipendenti operanti in tali aree ne sono a conoscenza? Sono stati informati? Si è fatto il possibile per informarli tempestivamente? Hanno effettuato la profilassi necessaria? E ancora, la recrudescenza del fenomeno terroristico in vari Paesi del nord africa e del medio oriente minaccia inevitabilmente i processi di business; i dipendenti sono informati del rischio terroristico? Sono state attuate tutte le misure di sicurezza necessarie? Sono adeguate? Si è in grado di monitorare l’aderenza, da parte del personale dipendete, alle disposizioni di sicurezza scelte (es. si è scelto di utilizzare 4 itinerari precisi ma magari il personale ne utilizza un altro secondo loro criteri)?
Le risposte a tali quesiti sono fondamentali sia per la salvaguardia del personale dipendente che per l’integrità dei processi di business e la solidità, sia economica che sotto il punto di vista di solidità e reputazione del brand; per rispondere a questi obblighi e alle nuove necessità dettate dai nuovi scenari, è assolutamente indispensabile prevedere adeguati strumenti di formazione e monitoraggio del personale operante all’estero per minimizzarne l’esposizione al rischio.
A cura di: Mauro Pastorello
Mauro Pastorello è un professionista di Security e Intelligence, membro ASIS. Congedatosi con elogio dall’Esercito Italiano, ha lavorato all’interno di alcune PMC. Ad oggi è Ricercatore Senior e Team Member del centro di ricerca ITSTIME – Italian Team for Security, Terroristic Issues & Managing Emergencies - dell’Università Cattolica del Sacro Cuore, focalizzando la sua attività sul monitoraggio delle minacce derivanti dal terrorismo di matrice jihadista. È Security Manager e responsabile dei servizi di Consulenza Strategica e gestione del rischio, Travel Security & Crisis Management all’interno del provider leader in Italia nell’erogazione di servizi di sicurezza e consulenza internazionale.