Gestire la sicurezza di una multiutility complessa come il Gruppo Hera

Intervista a Claudio Coltelli - Responsabile Servizio Salute, Sicurezza Emergenze del Gruppo Hera

Il Gruppo Hera è una delle maggiori multiutility italiane e opera nei settori ambiente, energia e idrico, con oltre 10.000 dipendenti, impegnati ogni giorno nel rispondere ai molteplici bisogni di circa 5 milioni di cittadini localizzati prevalentemente in Emilia-Romagna, Veneto, Friuli-Venezia Giulia, Marche, Toscana e Abruzzo. Quotata dal 2003, è tra le prime 40 società italiane per capitalizzazione (fa parte dell’indice Ftse Mib) e dal 2020 è entrata nel Dow Jones Sustainability Index, World e Europe. Come gestire la sicurezza di una realtà così complessa e articolata? L’abbiamo chiesto a Claudio Coltelli, Responsabile Servizio Salute, Sicurezza Emergenze del Gruppo Hera.

È responsabile del coordinamento del servizio di prevenzione e protezione di un’importantissima utility come il Gruppo Hera: qual è il lavoro del security manager di un’infrastruttura critica di questa portata?

Coordino un gruppo di venti persone che si occupano di salute, sicurezza - intesa come safety ed emergenze - e security. La parte health coordina in maniera centrale la sorveglianza sanitaria e la medicina del lavoro per costruire un protocollo sanitario del Gruppo Hera assieme ai medici competenti. Il mio ruolo più “storico” è però quello di RSPP di Hera e di alcune società controllate. Si tratta di un’attività ben normata che nel nostro caso vive però una peculiarità: annoveriamo infatti un numero di processi e persone e di datori di lavoro molto elevato (solo in Hera abbiamo cinque datori di lavoro). La funzione si occupa poi di gestione delle emergenze: per tutti i siti a prevalenza civile e per i principali siti impiantistici presidiati (70) ci occupiamo di definire i piani operativi di emergenza e di supportare la direzione del personale nell’individuazione degli addetti alle emergenze (antincendio, disabili, primo soccorso ecc), oltre ad occuparci di mettere a terra le simulazioni di emergenza. Tale attività non si esaurisce solo con le prove di evacuazione, ma anche con un’attività di formazione e di addestramento periodica di simulazione degli scenari emergenziali tesa al miglioramento continuo. 

E la security?

E’ la funzione organizzativa che ho assunto più di recente. Sono security manager del Gruppo Hera e l’approccio è accentrato per tutte le società, incluse quelle del Triveneto e delle Marche, oltre all’Emilia-Romagna. Sono state centralizzate le funzioni di governance e controllo delle policy, la definizione di procedure e linee guida e soprattutto l’analisi dei rischi con l’obiettivo di dare omogeneità agli interventi. 

La nostra multiutility nasce infatti dalla fusione e incorporazione nel tempo di diverse realtà ed ex municipalizzate con storie impiantistiche e tecnologiche anche molto diverse tra loro. Abbiamo quindi deciso di creare un modello di Gruppo per l’analisi dei rischi, suddividendo i vari asset per cluster di impianti: da questa analisi è scaturito un security plan di interventi per la mitigazione dei rischi con un piano pluriennale.
Il security plan viene messo a terra da una società del Gruppo che si avvale di imprese specializzate per la realizzazione impiantistica delle tecnologie (installazione, conduzione e manutenzione di sistemi speciali e di sicurezza). 

Come è possibile accentrare competenze tanto diverse?

L’accentramento richiede competenze diverse, ma tutte le funzioni sono collegate dal fil rouge della sicurezza a 360°, che di fatto segue lo stesso approccio metodologico di risk assessment e risk management. La strategia di accentramento ha peraltro mostrato subito vantaggi sul piano qualitativo: in un gruppo così articolato sarebbe del resto impensabile disporre di approcci differenziati per le emergenze e la pianificazione e le prove. Prima dell’accentramento, ogni responsabile di asset doveva definire i piani di emergenza, reperire le risorse, stabilire i piani di prova con un approccio metodologico non univoco. La nostra funzione è invece composta da specialisti che hanno una visione trasversale sui vari processi, garantendo un miglioramento organizzativo. Quindi standardizzazione sì, ma specializzazione del team.

Questa concezione olistica della sicurezza è diventata sempre più cruciale ed è stata soggetta ad uno stress test soprattutto durante il Covid: in quel frangente i processi hanno riaffermato la propria centralità. Qual è stata l’esperienza di Hera in quella fase così critica?

Nei primi mesi del 2020 il Covid è stato dirompente: i nostri piani di emergenza non contemplavano uno scenario di pandemia globale, ma ci siamo dimostrati molto reattivi sin dai primissimi giorni, predisponendo una procedura che è poi diventata il protocollo centrale di prevenzione del contagio valido per tutto il Gruppo. Una strategia di accentramento vincente, perché ha permesso di mettere a fattor comune tutte le competenze in campo. Certamente nelle prime settimane abbiamo scontato l’assenza generalizzata di mascherine, ma abbiamo immediatamente riorganizzato il lavoro in smart working (già peraltro predisposto e testato da qualche anno) per il mondo impiegatizio. Il mondo operativo, invece, non si è mai fermato: in tempi brevissimi ci siamo riorganizzati con sanificazione, turni e distanziamento per garantire i servizi e la sicurezza degli operatori. Un esempio per tutti: il nostro call center di ricezione allarmi, operativo h24/365 giorni l’anno, ha richiesto una rapidissima rimodulazione organizzativa e costanti operazioni di sanificazione, aerazione e distanziamento. È stata una sfida ma l’abbiamo vinta. 

Non abbiamo ancora parlato di sicurezza cyber - tema essenziale per le infrastrutture critiche, che tra l’altro saranno le prime a “testare” la NIS2…

La sicurezza cyber è un tema strategico per il Gruppo Hera, profondamente connesso alla continuità e sicurezza dei servizi essenziali per i territori dove operiamo. Una leva potente che abbiamo a disposizione per la protezione delle infrastrutture critiche è quella di agire in modo coordinato su entrambi gli “strati della sicurezza”, cyber e fisica, poiché sono strettamente interconnessi e possono essere oggetti di reciproca vulnerabilità. 

Che suggerimento / osservazione / richiesta farebbe all’industria della sicurezza tecnologica (TVCC, antintrusione, controllo accessi etc)?

Lato tecnologia, abbiamo trovato qualche difficoltà nell’integrazione profonda dei sistemi. Molte tecnologie sono chiuse e, in un gruppo complesso ed articolato come il Gruppo Hera, far dialogare sistemi diversi è il tema primario. Anche in presenza di uno PSIM, integrare tecnologie diverse o nativamente chiuse non è comunque banale, quindi chiederei ai produttori di sviluppare sistemi nativamente aperti. Comprendo che questo possa alimentare il rischio sul versante della protezione dei sistemi, ma l’apertura è ciò che serve ad un’utenza come la nostra. Sta all’industria del comparto riuscire a contemperare apertura e protezione.

E cosa direbbe alla filiera dei servizi di sicurezza (vigilanza privata, fiduciari, investigazioni, analisti OSINT etc)?

Nella gestione della sicurezza è sempre il fattore umano a fare la differenza, quindi è essenziale lavorare sulle competenze e sulle professionalità e comprendere, a tutti i livelli della filiera, che fare security è un mestiere delicatissimo: è un processo ad alto valore aggiunto e deve essere gestito da professionisti preparati e motivati. 

La sua laurea in ingegneria l’aiuta nella gestione quotidiana del suo ruolo? 

Sebbene la mia formazione sia prettamente ingegneristica ho sempre avuto modo di coniugare gli aspetti tecnici con quelli organizzativi, sin dalla nascita dei primi sistemi di gestione. Di certo l’impostazione della facoltà mi ha aiutato nel percorso di standardizzazione del mondo dei rischi e nella visione di processo dello stesso. Sono altresì convinto che, per una gestione davvero efficace dei sistemi di gestione della sicurezza, le competenze relazionali siano altrettanto importanti delle competenze tecniche. Capacità di ascolto, di relazione con i clienti interni ed esterni ed empatia sono requisiti fondamentali per gestire la sicurezza in modo efficace.