Immagina questa scena, perché l'ho vista ripetersi identica troppe volte nei mercati ad alto rischio dell'America Latina o in certe aree dell'Africa subsahariana. Un direttore della sicurezza aziendale compila un faldone di trecento pagine pieno di grafici, mappe colorate e statistiche scaricate da internet. Confeziona un piano teorico perfetto, lo presenta al consiglio di amministrazione e ottiene il budget per mandare i dirigenti all'estero con una scorta armata locale improvvisata all'ultimo minuto. Tre mesi dopo, un dirigente viene prelevato durante un banale tragitto dall'aeroporto all'hotel perché l'autista ha preso la solita strada prevedibile per evitare il traffico. Il piano da trecento pagine si rivela carta straccia e l'azienda si ritrova a gestire una crisi da incubo. Questo genere di errore non distrugge solo la reputazione del marchio, ma prosciuga i conti aziendali con costi di negoziazione, consulenze legali d'emergenza e paralisi operativa che superano facilmente i sette cifre. Gestire il fenomeno del Kidnap richiede un approccio radicalmente diverso dalla semplice burocrazia difensiva.
Molte aziende credono che la sicurezza sia una questione di forza bruta o di tecnologia costosa. Spendono decine di migliaia di euro in auto blindate e tracciatori satellitari, dimenticando che la maggior parte dei sequestri di persona a scopo di estorsione avviene a causa di falle informative banali e routine prevedibili. Nel corso degli anni, lavorando sul campo nella gestione dei rischi estremi e nel supporto alle imprese in aree geopolitiche instabili, ho capito che il fallimento nasce quasi sempre da una discrepanza totale tra ciò che i manager pensano sia sicuro e il modo in cui i gruppi criminali agiscono concretamente.
L'errore di affidarsi solo alla scorta armata locale
Il primo grande abbaglio che le imprese commettono quando mandano il personale in trasferta in zone calde è ingaggiare un'agenzia di sicurezza locale basandosi solo sul prezzo più basso o sulle raccomandazioni di partner commerciali del posto. Il ragionamento tipico è: "Hanno le armi, quindi siamo protetti."
Questo è il modo perfetto per farsi intercettare. Spesso le guardie private locali nei paesi in via di sviluppo sono sottopagate, scarsamente addestrate e, nel peggiore dei casi, collegate direttamente alle organizzazioni criminali che pianificano i sequestri. Fornire l'itinerario del tuo viaggio a un soggetto non verificato equivale a consegnare la chiave di casa a un ladro. I criminali non attaccano quasi mai un bersaglio se non hanno informazioni precise sui suoi spostamenti, sui suoi orari e sulla sua capacità finanziaria.
La soluzione reale consiste nel validare la catena di custodia delle informazioni. Prima di muovere un solo dipendente, devi implementare protocolli di compartmentalization dove nessuno, nemmeno la squadra di protezione sul posto, conosce l'agenda completa con più di qualche ora di anticipo. Gli itinerari si cambiano ogni giorno, i veicoli non devono essere vistosi o identificabili come mezzi per stranieri facoltosi, e i fornitori di sicurezza vanno sottoposti a severi processi di due diligence internazionale, non a contratti d'appalto al risparmio gestiti dalle filiali locali.
Credere che la polizza assicurativa Kidnap risolva ogni problema
Esiste un'assunzione pericolosa diffusa tra i direttori finanziari: "Abbiamo stipulato una copertura assicurativa dedicata, quindi siamo coperti dal rischio economico." Questa mentalità burocratica ignora completamente il funzionamento operativo di una polizza d'assicurazione speciale per i rischi di estorsione e sequestro.
Una polizza non è uno scudo magico e non impedisce l'evento. Ma c'è un dettaglio ancora più critico che molti ignorano fino al giorno del disastro. I contratti assicurativi contengono clausole di riservatezza assolute. Se si sparge la voce che la tua azienda possiede una copertura per il Kidnap, la polizza stessa può essere annullata immediatamente dalla compagnia assicurativa. Questo accade perché la conoscenza della polizza rende il dipendente un bersaglio prioritario per i rapitori, i quali sanno che il riscatto verrà pagato senza intaccare il patrimonio personale della vittima.
La soluzione non è rinunciare alla polizza, ma comprendere il suo vero valore, che risiede nel rimborso ex-post delle spese e, soprattutto, nell'accesso immediato a una società di consulenza per la gestione delle crisi (Crisis Response Company). Le risorse finanziarie servono a pagare gli esperti che gestiranno la trattativa, non a distribuire denaro facilmente. Tutta la documentazione contrattuale deve rimanere secretata nell'ufficio delle risorse umane centrali o del General Counsel, lontana dagli occhi del personale viaggiante e dei manager locali.
Il mito del pagamento rapido del riscatto
Un altro mito da sfatare è che pagare subito la cifra richiesta dai sequestratori metta fine alla crisi in tempi brevi. Nella realtà dei fatti, cedere immediatamente alle richieste iniziali lancia un segnale di debolezza disastroso. I rapitori capiranno di aver chiesto troppo poco e prolungheranno la detenzione per estorcere ulteriore denaro, alzando la posta in gioco. La gestione di una trattativa richiede sangue freddo, tempi dilatati e una strategia psicologica mirata a sfinire la controparte criminale, riducendo il valore percepito dell'ostaggio.
Confondere la sicurezza informatica con la sicurezza fisica sul campo
Un errore moderno che ho visto crescere esponenzialmente negli ultimi anni riguarda la separazione netta tra il dipartimento IT e la sicurezza fisica dei viaggiatori. Le aziende spendono milioni in firewall aziendali ma permettono ai propri ingegneri o direttori commerciali di postare aggiornamenti in tempo reale sui social network durante le missioni di lavoro in territori complessi.
I gruppi criminali dediti al sequestro di persona non sono composti da sprovveduti che aspettano all'angolo della strada sperando nella buona sorte. Oggi fanno intelligence open-source (OSINT). Analizzano i profili LinkedIn per capire il ruolo e il livello di spesa dell'azienda, monitorano Instagram per localizzare l'hotel esatto grazie ai geotag e studiano i post di Facebook per conoscere le abitudini familiari della vittima.
Il confronto pratico mostra chiaramente la differenza tra l'approccio ingenuo e quello corretto in uno scenario reale.
Consideriamo lo scenario prima dell'intervento di una seria politica di OPSEC (Operations Security): un direttore tecnico atterra a Lagos, scatta una foto dal finestrino dell'aereo mostrando la pista, la pubblica su una piattaforma social con il testo "Pronto per una nuova avventura di due settimane con i partner locali", taggando l'azienda logistica del posto. L'hotel di destinazione è facilmente identificabile dallo sfondo della foto successiva mentre prende il caffè. I rapitori hanno tutto ciò che serve: sanno dove si trova, quanto resterà, chi lo ospita e il suo valore aziendale. Il sequestro avviene al quarto giorno, durante lo spostamento verso il sito industriale.
Consideriamo ora lo scenario dopo l'applicazione dei protocolli corretti: lo stesso direttore tecnico viaggia con un dispositivo mobile aziendale dedicato, privo di applicazioni social personali e con tracciamento della posizione disattivato per le piattaforme pubbliche. Non comunica a nessuno l'hotel di permanenza al di fuori dei contatti di emergenza della sede centrale. I post relativi al viaggio di lavoro vengono approvati e pubblicati solo due settimane dopo il suo rientro in Italia. I criminali che monitorano la rete per trovare bersagli vulnerabili non trovano alcuna traccia utile e passano a un obiettivo più facile e visibile.
Ignorare i segnali premonitori e la raccolta di informazioni ambientali
I sequestri non avvengono nel vuoto cosmico. C'è sempre una fase di sorveglianza che precede l'azione tattica. L'errore fatale delle aziende è non addestrare il personale a riconoscere i segnali di pericolo nei giorni precedenti all'attacco.
Ho analizzato casi in cui le vittime avevano notato lo stesso motoveicolo parcheggiato fuori dall'ufficio per tre giorni di seguito, o avevano ricevuto strane telefonate in hotel in cui lo sconosciuto riattaccava subito dopo aver verificato il nome dell'ospite. Questi eventi venivano liquidati come coincidenze o fastidi di poco conto. Nelle aree ad alto rischio, la coincidenza non esiste.
La soluzione è stabilire un canale di segnalazione immediato e senza penalizzazioni per il dipendente. Se un viaggiatore nota qualcosa di insolito, l'itinerario deve essere abortito o modificato istantaneamente, e la persona deve essere trasferita in un luogo sicuro o rimpatriata. Meglio pagare il costo di un biglietto aereo last-minute e perdere tre giorni di riunioni piuttosto che affrontare mesi di negoziazione per un rapimento.
Pensare che il rischio riguardi solo i massimi dirigenti
Questo è forse il malinteso più duro a morire nei corridoi delle multinazionali. Si tende a proteggere solo l'amministratore delegato o i membri del comitato esecutivo, lasciando i tecnici di livello medio, i supervisori di cantiere o i trasfertisti operativi a muoversi senza alcuna tutela.
I gruppi criminali conoscono bene le dinamiche aziendali e sanno che una grande impresa non abbandonerà mai un proprio dipendente, indipendentemente dal suo livello contrattuale, a causa delle leggi sulla responsabilità civile dei datori di lavoro e della pressione mediatica. Un ingegnere che ripara una turbina in un sito isolato è un bersaglio molto più attraente di un amministratore delegato che viaggia blindato: è più facile da catturare, è meno protetto e garantisce lo stesso identico risultato economico finale in termini di riscatto aziendale.
La legislazione europea, e in particolare la normativa italiana sulla sicurezza sul lavoro (Art. 2087 del Codice Civile e il Decreto Legislativo 81/08), obbliga il datore di lavoro a tutelare l'integrità fisica dei lavoratori anche all'estero. La mancata pianificazione del rischio per il personale operativo non è solo una colpa morale, ma espone i vertici aziendali a gravissime conseguenze penali in caso di incidente. I piani di mitigazione devono coprire chiunque metta piede in un territorio a rischio, parametrando le misure alla vulnerabilità della mansione e del luogo, non al livello della busta paga.
La realtà dei fatti sulla gestione del rischio
Smettiamola di girare intorno al problema con manuali teorici e certificazioni di facciata che servono solo a superare gli audit interni. Mitigare il rischio in aree instabili è un lavoro sporco, faticoso e costoso che non ammette scorciatoie o risparmi dell'ultimo minuto. Se la tua azienda non è disposta a spendere le risorse necessarie per verificare i fornitori locali, secretare le informazioni di viaggio, addestrare seriamente il personale e rinunciare alla visibilità mediatica immediata, allora non dovrebbe operare in quei mercati.
Non esistono soluzioni magiche o agenzie di sicurezza che possano garantirti il rischio zero con un abbonamento mensile low-cost. Il successo in questo campo si misura con i disastri che non accadono, e quei disastri si evitano solo accettando la dura realtà operativa: la sicurezza richiede disciplina ferrea, una diffidenza sistematica verso le consuetudini locali e la prontezza a fermare le operazioni commerciali quando i segnali sul campo indicano che la situazione sta sfuggendo al controllo.
