Per prevenire gli incidenti c’è il modello del formaggio svizzero

L’importanza di questo modello è spiegata dal professor Paolo Reale che chiarisce come “il modello delle fette di formaggio svizzero ci ricordi che nessuna misura di sicurezza è sufficiente da sola. Ogni controllo (sia tecnico, procedurale o umano) ha le sue ‘fette’, ossia barriere, ma anche i suoi ‘buchi’, ossia vulnerabilità. Gli incidenti si verificano quando i buchi di più livelli si allineano, permettendo a una minaccia di passare attraverso tutti i controlli.

Ricordarlo è cruciale, in cyber security come in altre discipline che devono garantire un livello ‘error proof’, perché ci spinge a progettare difese multilivello, a non affidarci mai a un singolo meccanismo, e a considerare l’errore umano come parte integrante del rischio.

Efficacia ed adozione del modello

Fino ad oggi questo modello è stato meno considerato a causa di una eccessiva concentrazione sulle questioni tecnologiche, ma ha invece una sua efficacia. “Spesso il settore cyber security – spiega Reale – è stato dominato da una logica tecnocentrica, che punta sull’efficacia di singoli strumenti digitali come firewall, antivirus, SIEM ed altri, trascurando l’aspetto sistemico degli errori, le interazioni umane, la possibile concomitanza di fattori.

Il modello svizzero, nato soprattutto in ambito sanitario ed aeronautico, non era percepito come naturale per l’IT. Tuttavia, la sua adozione è efficace perché inquadra la sicurezza come un processo umano e organizzativo, non solo tecnico: aiuta a capire che incidenti complessi derivano quasi sempre da più fattori concatenati, e quindi devono essere prevenuti con approcci integrati e ridondanti”.

La sua adozione nella pratica della prevenzione incidenti richiede accorgimenti per introdurre ridondanze procedurali e organizzative per evitare che un singolo errore umano, decisionale o procedurale possa compromettere l’intera operatività.

In questo senso Reale spiega che adottare questo modello “significa costruire e mantenere più livelli di difesa indipendenti, ognuno dei quali possa mitigare i fallimenti dell’altro. In pratica: implementare controlli tecnici diversificati, definire procedure chiare, formare e sensibilizzare gli utenti.

E, soprattutto, analizzare ogni incidente come una concatenazione di eventi, non come un singolo errore, per migliorare continuamente le “fette”. Il modello non è una teoria astratta, ma un approccio integrato per creare resilienza stratificata e ridurre la probabilità che una minaccia superi tutte le difese”.

Interventi sulla Root cause dei ‘guasti latenti’

Un ulteriore orientamento preventivo agli incidenti di sicurezza viene dalla risoluzione della causa principale degli errori, la ‘root cause’ che secondo l modello, risiede nella prevenzione dei ‘guasti latenti’.

Quattro ricercatori, Douglas A Wiegmann, Laura J Wood, Tara N Cohen e Scott A Shappell, nel 2022 hanno ripreso i modello e analizzato come l’effetto domino dei guasti latenti porti ad una serie di errori verso il basso secondo lo schema “one to many”.

In sostanza gli errori che dipendono dai punti 2, 3 e 4 del modello, ovvero i ‘Prerequisiti per Atti non sicuri’, i ‘Fattori di supervisione’ e le ‘Influenze organizzative’ sono la causa maggiore del problema tecnico specifico che si verifica quando è appurato un evento incidente.

Esempi specifici di questo tipo di problemi sono “politiche e procedure contrastanti, tecnologie obsolete e scarsamente manutenute, sistemi di incentivi controproducenti, mancanza di coinvolgimento della leadership, carichi di lavoro e priorità contrastanti, supervisione e responsabilità carenti, scarso lavoro di squadra e comunicazione, e interruzioni eccessive”.

Gli interventi risolutivi dovrebbero permettere di liberare il personale operativi dall’occuparsi di cause sistemiche e di potersi dedicare al proprio reale lavoro collegato al ruolo.

Ad esempio, se in un gruppo di security, vi sono poche risorse operative, per cui si verificano alti carichi di lavoro e sono svolte sistematicamente attività ‘tappabuchi’ in cui gli addetti sono costretti ad occuparsi anche di altre attività per scarsità di personale, non ci si può stupire che possano verificarsi episodi in cui l’errore, o l’evento di una minaccia non sia identificato per tempo, con tutte le rovinose conseguenze del caso.

Gli autori in sostanza suggeriscono che nella prevenzione per la resilienza è doveroso occuparsi a titolo preventivo, non solo dei ‘guasti attivi’, ma includere la resilienza anche per i fattori scatenanti dei ‘guasti latenti’ che, se sono relativi ai livelli organizzativo, di supervisione e delle precondizioni, richiedono interventi correttivi proprio a questi livelli.

Norme che responsabilizzano i decisori

Se si deve intervenire a livello organizzativo, a livello di supervisione e controllo e nelle precondizioni necessarie a livello di ruoli, responsabilità, politiche, processi, procedure, budget, controllo interno e formazione, chi deve operare questi interventi?

La normativa di cyber sicurezza in proposito ha recentemente risposto in modo inequivocabile: infatti nell’articolo 2 della Determinazione ACN del 14 aprile 2025, che implementa le prescrizioni dell’art. 23 del D.lgs.138/2024, viene affermato il principio per cui le misure di sicurezza di base sono a carico degli organi di amministrazione e direttivi.

La responsabilità degli interventi sta quindi al CdA e ai C-Level che devono assumere il controllo operativo e la responsabilità formale. Questo significa, spiegano gli esperti Alverone-Perego, che “la sicurezza informatica è un dovere giuridico personale, non delegabile, che definisce una nuova architettura della governance digitale: chi guida, risponde in prima persona”.