Il parallelo tra il mondo militare e quello della sicurezza digitale è un’analogia reale, concreta, che tocca la sostanza operativa di entrambi gli ambiti.

Il pensiero analitico, al centro di questa trilogia, è lo strumento attraverso cui si esercita il comando, sia che si tratti di guidare un esercito in battaglia, sia che si debba proteggere un’infrastruttura informatica, i dati personali di milioni di persone e la continuità operativa di un’organizzazione.

Così come un comandante guida le sue truppe analizzando scenari complessi, allo stesso modo un DPO, un CISO o un dirigente devono adottare l’Analytical Thinking per difendere reti, dati e organizzazioni.

Senza questa capacità di osservare, valutare e decidere con metodo, resta astratta la compliance a GDPR, Direttiva NIS 2, AI Act. Solo il pensiero analitico trasforma le norme in azione concreta e in una difesa reale.

Ecco come il pensiero analitico non è una competenza da specialisti IT, ma una prerogativa irrinunciabile per ogni figura di vertice chiamata a garantire la compliance al GDPR, alla NIS 2, all’AI Act e a tutte le norme europee collegate.

Il pensiero analitico, dal mondo militare alla cyber

Ogni grande organizzazione – sia essa un esercito, un’azienda, un ente pubblico – ha bisogno di qualcuno che la guidi.

Ma guidare non significa semplicemente decidere. Vuol dire decidere sulla base di un’analisi approfondita, sistematica e consapevole.

Nel mondo militare, il comandante è colui che, grazie al pensiero analitico, trasforma il caos del campo di battaglia in un piano ordinato.

Nel mondo della cybersecurity e della data protection, la stessa funzione è oggi affidata a figure come il Chief Information Security Officer (CISO) , il Risk Manager e il Data Protection Officer (DPO).

Questo articolo mostra perché il pensiero analitico è, letteralmente, il metodo di comando nella governance della sicurezza digitale.

Il metodo di comando nel mondo militare: OODA Loop e pensiero analitico

Il pensiero analitico, nel mondo militare come in quello della sicurezza digitale, non si esercita in modo casuale o improvvisato ma segue un metodo preciso, strutturato e ripetitivo.

Uno dei modelli più emblematici in questo senso è l’OODA Loop, sviluppato dal Colonnello John Boyd nel 1987 nel suo studio The Essence of Winning and Losing.

Quattro semplici parole che racchiudono un’intera filosofia operativa: Observe, Orient, Decide, Act (OODA). Osservare, orientarsi, decidere, agire.

Ma l’OODA Loop non è un processo lineare, che si compie una volta sola. È invece un ciclo continuo, un movimento che si ripete incessantemente per adattarsi a un contesto che cambia di momento in momento.

È proprio questa ciclicità a renderlo un’applicazione pratica del pensiero analitico:

• si parte raccogliendo dati dal campo;
• si analizzano e si inseriscono in un quadro di riferimento più ampio;
• si sceglie la linea d’azione più adatta;
• e infine si passa all’azione concreta.

Subito dopo, si riprende da capo. Il comandante che si ferma, che smette di osservare o di adattare le proprie decisioni, diventa prevedibile e vulnerabile.
Questa stessa logica è perfettamente applicabile oggi al governo della sicurezza informatica.

L’OODA Loop nella cyber

Nell’ambito cyber security, infatti il metodo di comando efficace si può fondare sul medesimo ciclo:

• Observe significa monitorare in modo continuo reti, sistemi, log, alert. Non basta installare un sistema di controllo occorre anche una sorveglianza attiva e costante, capace di cogliere anche i segnali più deboli.
• Orient equivale ad analizzare in profondità le informazioni raccolte, integrandole con dati di threat intelligence e conoscenze aggiornate su contesti normativi e scenari di rischio.
• Decide vuol dire scegliere le azioni più opportune: adottare misure correttive, implementare nuovi controlli, aggiornare policy. Ogni decisione deve essere presa con metodo, valutando rischi, impatti, priorità.
• Act è l’esecuzione rapida e concreta: incident response, applicazione di patch, revisione di procedure operative. E subito dopo si torna a osservare, perché la sicurezza non è mai statica.

Questo approccio è indispensabile per mantenere il controllo su un ambiente in continuo movimento, esattamente come avviene in uno scenario di guerra.

Così, il pensiero analitico applicato attraverso l’OODA Loop diventa il cuore del metodo di comando tanto in ambito militare quanto nella gestione della cybersecurity.

Senza un ciclo di osservazione, orientamento, decisione e azione continuo e consapevole, ogni organizzazione rischia di trovarsi sempre un passo indietro rispetto alle minacce, esattamente come un comandante che si affida più al caso che al metodo.

Il DPO e il CISO come uno Stato maggiore militare: dalla normativa alla strategia

Nel contesto attuale, dove cyber security e protezione dei dati rappresentano fondamentali attività a presidio di asset strategici per ogni organizzazione, figure come il Data Protection Officer e il Chief Information Security Officer non possono essere ridotte a ruoli accessori o meramente tecnici.

Sono veri e propri “comandanti civili”, chiamati a esercitare funzioni di guida, controllo e supervisione con lo stesso rigore operativo che, in ambito militare, caratterizza lo Stato Maggiore di una grande unità.

Il GDPR, agli articoli 37, 38 e 39, definisce chiaramente il ruolo del DPO come garante indipendente della conformità aziendale.

Il DPO non è un semplice esecutore di direttive: è un professionista che, esattamente come lo Stato Maggiore in ambito militare:

• coordina l’analisi;
• valuta le opzioni strategiche;
• consiglia il vertice aziendale sulle decisioni più opportune;
• e soprattutto esercita un monitoraggio costante sul funzionamento generale della macchina organizzativa.

Le responsabilità del DPO

Le sue responsabilità includono:

• la valutazione di trattamenti complessi, con la capacità di scomporre ogni attività nei suoi elementi fondamentali, individuando criticità e opportunità;
• la formulazione di raccomandazioni precise e operative, calibrate sul contesto concreto, senza mai cadere nella genericità;
• il monitoraggio continuo della conformità, svolgendo un controllo trasversale su tutti i livelli dell’organizzazione, come farebbe un ufficiale di stato maggiore con la disciplina e il coordinamento interno di un corpo d’armata.

Stesso principio per il CISO

Lo stesso principio vale per il Chief Information Security Officer (CISO) nel contesto NIS 2.

Per garantire la conformità alla Direttiva (UE) 2022/2555, recepita dal D.lgs. 138/2024, il CISO è responsabile dell’attuazione delle misure di sicurezza informatica, con compiti che richiedono:

• l’analisi strutturata degli asset critici, identificando quali sistemi, dati e infrastrutture meritino attenzione prioritaria, proprio come si individuano gli obiettivi strategici e le risorse chiave in una campagna militare;
• la valutazione sistematica di scenari di rischio ibrido, integrando minacce fisiche e digitali, in perfetta logica di Security Convergence;
• la scelta di misure tecniche e organizzative proporzionate e coerenti con i requisiti normativi e operativi, evitando sia l’eccesso di rigidità sia l’approssimazione.

DPO e CISO: due ruoli pienamente assimilabili

Il punto essenziale è che sia il DPO che il CISO non agiscono come singoli operatori o come semplici specialisti IT o legali. Il loro ruolo è pienamente assimilabile, sul piano organizzativo e strategico, a quello di uno Stato maggiore di una grande unità militare.

Essi infatti guidano, pianificano, controllano e consigliano con metodo analitico, strutturando ogni azione all’interno di un quadro complesso fatto di persone, processi, tecnologie e responsabilità.

Senza questa impostazione – cioè senza il pensiero analitico vissuto come metodo di comando e non solo come competenza individuale – nessun sistema di cyber security o protezione dati può dirsi realmente efficace o conforme agli standard richiesti da GDPR, NIS 2 e AI Act.

La leadership del DPO e del CISO è, di fatto, leadership di Stato Maggiore: non una possibile scelta, ma una condizione essenziale per garantire sicurezza, compliance e resilienza.

AI Act: comando e controllo dell’IA tra rischio, responsabilità e decisione operativa

Nel panorama della regolamentazione europea, il Regolamento (UE) 2024/1689 sull’intelligenza artificiale – conosciuto come AI Act – rappresenta una vera e propria nuova frontiera.

Se il GDPR e la NIS 2 hanno imposto alle organizzazioni l’obbligo di proteggere dati e infrastrutture critiche, l’AI Act chiede qualcosa in più: sviluppare una capacità decisionale strutturata, consapevole e responsabile, capace di classificare, valutare e agire in modo proporzionato rispetto ai rischi connessi all’uso dei sistemi di intelligenza artificiale.

Il cuore operativo dell’AI Act è l’approccio basato sul rischio.

Non esiste, infatti, una classificazione rigida e universale. Spetta all’organizzazione stessa condurre un’analisi multidimensionale per determinare se un determinato sistema di AI rientri tra quelli a rischio minimo, limitato, alto o inaccettabile.

Questa valutazione non è un esercizio formale, ma un passaggio strategico fondamentale che richiede competenze trasversali, metodo analitico e leadership.

Le tre dimensioni operative

Classificare un sistema AI come “ad alto rischio” significa entrare nel merito di tre dimensioni operative:

• gli impatti sui diritti fondamentali: si deve valutare in che modo il sistema di AI può influire sulla dignità, sulla libertà, sulla sicurezza delle persone coinvolte. Questo implica una conoscenza approfondita non solo della tecnologia, ma anche delle regole che tutelano i diritti umani e la privacy, così come definite dal GDPR e dalle normative internazionali;
• sicurezza informatica: ogni sistema AI, in particolare se impiegato in settori critici (sanità, infrastrutture, servizi pubblici), può introdurre nuove vulnerabilità. Il deployment di un modello di intelligenza artificiale non è mai neutro: comporta sempre un aumento della superficie d’attacco, che deve essere analizzato e mitigato con misure tecniche specifiche;
• la compliance tecnica e organizzativa: ogni sistema di AI deve essere conforme a una serie di requisiti formali e sostanziali, dalla documentazione tecnica alla governance interna, passando per il monitoring continuo e il rispetto dei diritti degli interessati.

Il processo di comando

Questa operazione di classificazione, valutazione e decisione configura un vero e proprio processo di comando.

Non è sufficiente affidarsi a checklist precompilate o a moduli standardizzati: occorre prendere decisioni strategiche.

Sapere quando autorizzare l’uso di un sistema, quando imporre misure supplementari, quando sospendere o fermare un progetto perché il rischio risulta non accettabile.
In questo senso, l’AI Act richiede alle organizzazioni di sviluppare internamente una leadership consapevole e strutturata, capace di esercitare il pensiero analitico a tutti i livelli.

Si passa dalla logica del controllo ex post alla logica del comando ex ante: decidere con metodo, con responsabilità, con attenzione concreta agli impatti reali, prima ancora che si verifichino criticità o violazioni.

Chi guida un’organizzazione oggi non può più limitarsi a delegare queste valutazioni ai soli specialisti IT o legal. Deve essere in grado di comprendere, orientare e approvare con cognizione di causa ogni scelta legata all’intelligenza artificiale, integrando il pensiero analitico come metodo di governo operativo.

Così, proprio come avviene in ambito militare, si tratta di stabilire quando avanzare, quando rafforzare le difese, e quando è il momento di fermarsi per non esporre le proprie risorse e le persone a rischi inaccettabili.

La cultura del pensiero analitico: la differenza fra chi subisce e chi guida

In un mondo dominato dalla complessità, dove normative come GDPR, NIS 2 e AI Act si intrecciano con minacce digitali sempre più sofisticate, il modo in cui un’organizzazione decide di affrontare i problemi segna la differenza tra chi resiste e chi rischia di sparire dal mercato.

È una questione di cultura operativa, di metodo, di visione. E il pensiero analitico rappresenta oggi il meccanismo per trasformare un’organizzazione da passiva a protagonista.

Le organizzazioni reattive, cioè quelle che si limitano a intervenire solo quando l’emergenza è già in corso, pagano sempre un prezzo.

Senza un’impostazione analitica, ogni decisione diventa improvvisata e ogni risposta rischia di essere tardiva o insufficiente.

I risultati sono sotto gli occhi di tutti:

• sanzioni pecuniarie pesanti per violazioni normative che si ricevono perché ci si accorge dei problemi solo quando è troppo tardi;
• danni reputazionali che intaccano la fiducia di clienti, partner e investitori;
• perdita progressiva di efficienza interna, con processi caotici, decisioni contraddittorie e risorse sprecate.

Pensiero analitico come meccanismo dell’operatività aziendale

Al contrario, le organizzazioni che adottano il pensiero analitico come meccanismo della propria operatività riescono a rispettare le regole e contestualmente a trasformare ogni obbligo in un vantaggio competitivo reale. Questo, perché chi ragiona in modo analitico:

• sa anticipare i rischi, intercettando vulnerabilità e criticità prima che si trasformino in problemi concreti;
• ottimizza risorse e investimenti, perché ogni azione è calibrata su dati e analisi e non su intuizioni o automatismi;
• diventa un punto di riferimento per il proprio settore, riconosciuto per serietà, affidabilità e capacità di governo.

Quindi, la vera differenza, oggi, non è tra chi ha più strumenti tecnologici o chi investe più risorse.

La differenza reale è tra chi ha il coraggio e la disciplina di costruire una cultura del pensiero analitico a tutti i livelli e chi continua a navigare a vista, affidandosi al caso.

Il pensiero analitico per leggere gli scenari complessi

In conclusione è necessario ribadire con chiarezza un punto che troppo spesso viene sottovalutato o dato per scontato: figure come il DPO, il CISO, il Risk Manager o l’AI Compliance Officer non sono meri tecnici né burocrati intenti a compilare moduli o a spuntare caselle su una checklist.

Sono, a tutti gli effetti, comandanti civili all’interno dell’organizzazione.

E come ogni bravo comandante, il loro primo e vero strumento operativo non è un regolamento, non è un software, non è un documento precompilato. È qualcosa di infinitamente più concreto, ma allo stesso tempo più umano: è la capacità di pensare analiticamente.

Il pensiero analitico è ciò che permette di leggere gli scenari complessi, di scomporre i problemi in elementi chiari e affrontabili, di prendere decisioni solide, informate, responsabili.

È la competenza che rende vivo ogni sistema di gestione, ogni procedura, ogni controllo. Senza questa particolare competenza il rischio è quello di trasformare la compliance a GDPR, NIS 2, AI Act in una pratica vuota, scollegata dalla realtà e quindi inefficace.

Finora abbiamo visto da dove nasce il pensiero analitico e perché è indispensabile.

L’ultimo capitolo di questa “trilogia” si focalizzerà su costruire strutture organizzative e processi aziendali che integrino l’Analytical Thinking non come un principio astratto, ma come un metodo operativo quotidiano.