di Claudio Ferioli, Corporate & Physical Security – Risk Mitigation, Intesa San Paolo
Nel secondo webinar del 2023, martedì 18 aprile, abbiamo ospitato il prof. Maurizio Catino, ordinario di Sociologia delle Organizzazioni alla Bicocca di Milano e docente alla New York University, autore tra gli altri del best seller Organizational Myopia (Cambridge University Press, 2014) e, da ultimo, Trovare il colpevole. La costruzione del capro espiatorio nelle organizzazioni (Il Mulino, 2022).
Di grande importanza per il nostro lavoro il tema affrontato col prof. Catino: perché alcuni rischi sono generati dal funzionamento delle organizzazioni? Per quali cause la resilienza sembra più una illusione, che una realtà acquisita? Attraverso l’esame di incidenti in settori diversi, il prof. Catino ci ha fornito alcune prime risposte.
L’analisi parte da una osservazione: secondo le statistiche, l’errore umano è la causa principale degli incidenti. Ad esempio, rappresenta il 90% nel controllo aereo, l’80-85% nel trasporto marittimo, il 70% nel settore nucleare, ecc. (ndr percentuali analoghe valgono per gli incidenti di corporate e di cyber security). Quindi, se si risolvesse il fattore umano, avremmo eliminato il problema della sicurezza.
Ma non è così.
Un incidente si palesa generalmente nelle componenti di front end, in cui sono sempre coinvolte le persone: le statistiche si limitano all’ultimo anello della catena (l’uomo) e non ne indagano le cause ultime. In realtà, tranne casi di dolo o colpa grave, l’errore umano non è ciò che spiega, ma ciò che deve essere spiegato: emerge con evidenza sia dagli incidenti accaduti, sia da quelli che non accadono.
Con riferimento agli incidenti che non accadono, esistono organizzazioni (portaerei, centrali nucleari, ecc.) che operano in contesti complessi e ad alta incertezza: teoricamente, dovrebbero avere molti incidenti, invece non ne hanno quasi nessuno. La motivazione è che un incidente in queste realtà avrebbe conseguenze catastrofiche: pertanto, si sviluppano meccanismi che garantiscono elevata affidabilità nel tempo. Si tratta delle High Reliability Organizations, di cui gli esperti di organizzazione hanno individuando i fattori di successo, trasversali ai settori e indipendenti dalle persone.
Con riferimento agli incidenti accaduti, l’analisi di centinaia di casi ha evidenziato che si ripetono errori progettuali e processi cognitivi identici, pur in aziende e settori diversi. Ma se un evento si ripete indipendentemente dagli attori, è il contesto che provoca l’evento e non l’individuo. Pertanto, dovremmo concentrarci sui fattori di contesto che portano a commettere un errore:
- il problema del coordinamento. L’affidabilità di un sistema non è determinata solo dalle singole componenti, ma anche dall’interazione tra le componenti stesse. Principio spesso trascurato, specialmente quando una delle parti in gioco è l’uomo.
Un caso noto è l’ammaraggio dell’ATR72 della Tuninter, avvenuto a Palermo il 6 agosto 2005, che provocò 16 morti e 23 feriti. La perizia individuò la causa nella manutenzione del velivolo: per sbaglio venne sostituito l’indicatore di carburante guasto, con uno previsto per un altro modello di aereo (l’ATR42). I due indicatori erano simili, tuttavia il secondo, se montato sull’ATR72, forniva un’indicazione sbagliata del carburante disponibile. Il progettista non aveva considerato l’interazione tra l’oggetto ed il manutentore e, pertanto, non aveva introdotto elementi grafici di differenziazione.
- La fallacia della ridondanza. Nei sistemi di sicurezza, la ridondanza umana (es. moltiplicare i controllori) funziona solo e soltanto se tra i soggetti sono chiare le regole di condivisione e di controllo (chi controlla cosa e quando), altrimenti ognuno pensa che abbia agito qualcun altro.
- Il trasferimento dei rischi. Normalmente si pensa che l’aumento della sicurezza determini una riduzione dei rischi. In realtà, spesso avviene il contrario: nuove misure di sicurezza creano nuovi rischi o inducono comportamenti più rischiosi (più sicurezza uguale più rischi).
Esemplare la tragedia del volo Germanwings del 2015, in cui il copilota, deciso a suicidarsi facendo precipitare l’aereo, si rinchiuse nel cokpit, la cui porta era stata blindata dopo l’11 settembre. La nuova misura di sicurezza divenne una fonte di rischio, in quanto impedì al Comandante di rientrare in cabina ed evitare lo schianto.
Due sono gli approcci per la spiegazione di un incidente, entrambi necessari ma con finalità diverse: l’approccio alla persona di tipo accusatorio, volto a cercare il “colpevole” e l’approccio al sistema di tipo funzionale, volto ad evitare che l’evento riaccada.
I problemi sorgono quando le organizzazioni ricorrono solo al primo approccio: nascono bias cognitivi che bloccano l’apprendimento:
- Hindsight bias (bias del “senno di poi”). Ciò che gli attori “vedono” dopo un incidente è diverso da ciò era visibile prima dello stesso. Ad esempio, la ricostruzione dell’attacco alle Torri Gemelle ha dimostrato che erano disponibili tutte le informazioni per prevederlo; tuttavia, prima dell’attacco non erano distinguibili nel rumore dei dati raccolti dai servizi di sicurezza.
Ciò avviene perché noi costruiamo senso elaborando le informazioni attraverso frame (schemi) interpretativi: se detti frame non sono disponibili, le informazioni scivolano via. Per questo, la sicurezza dovrebbe essere una professione anche ideativa e creativa, che sappia immaginare scenari inediti ma plausibili.
- Outcome bias. La bontà delle decisioni viene determinata solo in base ai risultati: i near miss vengono sottovalutati e si reiterano comportamenti errati. Un esempio è l’incidente della Costa Concordia, naufragata il 13 gennaio 2012 all’Isola del Giglio durante un “inchino” (navigazione sotto costa). La pratica dell’inchino era, in realtà, frequente nella navigazione turistica: la stessa Costa Concordia ne aveva compiuto uno pochi mesi prima, nel medesimo punto del naufragio. Solo perché non vi erano stati incidenti, queste prassi rischiose non venivano considerate “allarmi” su cui intervenire, anzi erano apprezzate dalle Compagnie e dai territori.
- Errore fondamentale di attribuzione. Si tende a sovrastimare i fattori disposizionali (le caratteristiche personali) e a sottostimare quelli situazionali (il contesto organizzativo). L’incidente viene attribuito tutto ad un colpevole, trasformato in capro espiatorio: la valutazione dei fatti viene sostituita dal giudizio morale della persona, stigmatizzata per come è in generale, ben oltre la sua condotta nella specifica circostanza.
Dopo questa analisi, nasce una domanda: come evitare gli errori di progettazione e superare i bias? Non esiste “la” soluzione, ma occorre ampliare i frame cognitivi e allenarci ad immaginare scenari nuovi. Alcune strategie possono aiutare:
- introdurre la figura dell’avvocato del diavolo: qualcuno che abbia il compito di pensare scenari inediti, con l’obiettivo di rompere la tendenza all’auto conferma delle aspettative del gruppo;
- diversificare la composizione dei team: arricchire i gruppi con soggetti “fuori dal coro”, che apportino approcci e mind set divergenti (es. hacker etici);
- allenare processi mentali che aiutino a ragionare in modo diverso, ad esempio in modo abdutivo e non deduttivo oppure benchmark con organizzazioni di settori del tutto diversi da quello di appartenenza, per evitare l’isomorfismo
Punto finale molto importante: queste prassi devono diventare una competenza dell’organizzazione e non solo un esercizio individuale. Questa è la sfida che ci aspetta e a che il prof. Catino ci invita a cogliere!