Di Emanuela Gotta, Digital Generalist | Marketing & Communication Manager | Privacy Manager | UX-oriented Project Manager | Formazione, contenuti e presales per il settore tech & GRC presso Compet-e.
“Please allow me to introduce myself, I’m a man of wealth and taste…”
L’APPARENZA DELL’ELEGANZA REGOLATORIA
“Sympathy for the Devil” è un capolavoro ambiguo: chi parla è il diavolo, ma è raffinato, colto, educato. È un mostro in abito elegante.
Così è anche certa compliance di facciata: impeccabile nei documenti, formalmente allineata, tecnicamente ineccepibile. Ma vuota.
Organizzazioni che mostrano certificazioni, policy, codici etici ben impaginati… mentre nei corridoi regnano l’opacità, il silenzio, l’adattamento delle regole ai fini del potere.
“I shouted out, who killed the Kennedys? When after all, it was you and me.”
Il male non serve gridarlo. Basta non vigilare. Basta ignorare. Basta piegare le regole agli interessi. Senza complotti. Senza clamore.
In questi contesti, la compliance diventa una maschera: un’estetica, non una tutela.
NORME SENZA ETICA, CONTROLLO SENZA CULTURA
Nel mondo GRC (Governance, Risk, Compliance), esiste una differenza radicale tra chi applica le regole con convinzione e chi le usa come alibi.
Modelli come il D.Lgs. 231/2001, le ISO 37301 (compliance), 37001 (anticorruzione), ma anche il GDPR, NIS2, DORA e le Linee guida ANAC, chiedono più della carta. Chiedono intenzionalità etica.
Ma troppo spesso si trovano:
- Mappature dei rischi copiate da altri settori;
- Organismi di Vigilanza “invisibili” o compiacenti;
- Codici etici ignorati, firmati ma mai letti;
- Controlli interni creati per gli audit, non per prevenire.
“Just as every cop is a criminal, and all the sinners saints…”
Il paradosso si consuma quando le regole servono a proteggere chi abusa, e non chi subisce. Quando la compliance è un’arma di potere, non uno strumento di giustizia.
In questi casi, l’organizzazione si assolve da sola, proclamando “abbiamo fatto tutto quello che ci chiedevano…”
Ma senza crederci. Senza viverlo.
LA CONFORMITÀ AUTENTICA È UN FATTO CULTURALE
La vera compliance non ha paura delle domande. Non cerca la perfezione, cerca la coerenza.
Le aziende sane sono quelle dove:
- Il sistema di compliance è parte del processo decisionale, non un esercizio parallelo;
- I vertici danno l’esempio, prima ancora che le istruzioni;
- La formazione è concreta, dialogica, viva – non una slide letta distrattamente;
- Gli errori emergono, vengono corretti, non nascosti.
“Use all your well-learned politeness…”
Il diavolo della non-conformità veste bene, parla bene. Ma non protegge nessuno.
La cortesia formale non basta. Serve il coraggio della verità.
LA MASCHERA O LA SOSTANZA?
Le strutture che non sbagliano mai, che non segnalano mai nulla, che dichiarano di essere “già a posto”… sono spesso le più a rischio.
La vera regolazione è un esercizio continuo di dubbio, aggiornamento, vigilanza.
Non paralizza. Non copre. Protegge. Illumina.
Una compliance autentica:
- Non ha bisogno di “simpatia”.
- Ha bisogno di consapevolezza, di spirito critico, di scelte difficili.
“I was round when Jesus Christ had his moment of doubt and pain…”
Anche le organizzazioni devono affrontare il dubbio. La tentazione di fingere. La pressione a sembrare “conformi”, anche quando non lo sono.
Ma la conformità vera non è un teatro.
È un impegno faticoso, imperfetto, ma onesto. Che mette in discussione. Che ascolta. Che corregge.
Chi lavora nella compliance ha il dovere – etico prima che giuridico – di riconoscere l’ambiguità e affrontarla.
Perché la regolazione non è un vestito elegante da indossare. È un percorso da vivere, ogni giorno, con trasparenza e responsabilità.