Archivio annuale 2021

DiDEEP BUSINESS

La segnalazione dei sospetti

Il quadro secondo il punto 8.9 della normativa e la tematica del “whistleblowing”

Per favorire l’eventuale segnalazione di sospetti, devono essere attuate procedure che consentano di segnalare, “in buona fede e sulla base di una ragionevole convinzione”:

  • atti di corruzione, compiuti, tentati o presunti;
  • violazioni o carenze del sistema di gestione per la prevenzione della corruzione.

La norma prevede la possibilità di effettuare segnalazioni in forma anonima e, qualora il segnalante si identifichi, le segnalazioni devono essere trattate in modo confidenziale, al fine di proteggere l’identità del segnalante e di coloro che risultano coinvolti nella segnalazione, con il limite dettato dalle necessità di indagine o dalle richieste di Pubbliche Autorità.

A tal proposito l’organizzazione dovrà applicare quanto previsto dalla legislazione vigente del Paese in cui lo standard è applicato e laddove non siano consentite segnalazioni in forma anonima e in via confidenziale, dovrà documentare (ad es. nella procedura delle segnalazioni) l’impossibilità di conformarsi al requisito, specificando i riferimenti di legge che vengono applicati.

Il personale deve essere edotto sulle procedure di segnalazione e deve essere consapevole dei propri diritti e delle tutele riservate a coloro che effettuano segnalazioni nonché delle conseguenze previste in caso di segnalazioni false o non veritiere.

In questo ambito rientra l’espressa previsione (ad esempio nella politica, nei contratti, nelle procedure) da parte dell’organizzazione del divieto di ritorsioni, e del corrispondente diritto a non subirne, per coloro che effettuano segnalazioni, nei termini previsti da questo requisito e da quanto previsto dal punto 7.2.2.2 della norma.

In questo scenario si inserisce anche la tematica del “whistleblowing” ovvero delle cosiddette “soffiate”: qualora vi siano disposizioni di legge per la disciplina delle segnalazioni (In Italia, la legge 179 del 30/11/2017) occorre verificare che l’organizzazione abbia identificato i relativi obblighi e li abbia integrati nelle proprie procedure.

Tali obblighi potrebbero riguardare, ad esempio, le modalità di trasmissione della segnalazione in via cartacea (es: cassetta presente presso il luoghi di lavoro) o elettronica (casella e-mail dedicata, sito web ecc…) ovvero della garanzia dell’anonimato della segnalazione in funzione dell’eventuale utilizzo nell’ambito di procedimenti disciplinari, indagini di polizia giudiziaria, etc.

DiDEEP BUSINESS

La “Due Diligence”

L’approfondimento della natura e dell’estensione dei rischi anticorruzione

Il processo di due diligence, incluso tra i “controlli” del Punto 8 della norma, è volto ad approfondire natura ed estensione dei rischi di corruzione e rappresenta anche un controllo “aggiuntivo e mirato” per mitigare i rischi.

La due diligence può riguardare categorie di transazioni, progetti, attività, soci in affari e membri del personale dell’organizzazione per le quali la valutazione dei rischi abbia rilevato un livello di rischio di corruzione superiore al basso.

Il percorso metodologico indicato dalla norma è il seguente:

  • nell’ambito della valutazione dei rischi l’organizzazione identifica le categorie di transazioni, progetti, attività e soci in affari con rischi di corruzione superiori al livello basso;
  • per queste categorie si prevede l’effettuazione di una due diligence diretta a ottenere informazioni più approfondite per valutare il rischio di corruzione;
  • la due diligence deve essere ripetuta a intervalli pianificati in modo da assicurare l’aggiornamento delle informazioni;

La norma non stabilisce le modalità di esecuzione della due diligence che l’organizzazione deve definire in funzione della propria capacità di ottenere sufficienti informazioni, dei costi per reperire queste informazioni e dell’entità dei rischi derivanti, ad esempio, dalla relazione con i soci in affari.

Con riferimento a questi ultimi l’Allegato A) riporta, a titolo di esempio, alcuni elementi che potrebbe essere utile approfondire ai fini della valutazione dei rischi:

  • esercizio legittimo dell’attività da parte del socio in affari in base alle normative vigenti (anche fiscali);
  • competenze, esperienza e professionalità del socio in affari, comprese le risorse necessarie, per l’esecuzione dell’incarico che si intende affidare;
  • notizie di pubblico dominio che riguardino il coinvolgimento del socio in affari in atti di corruzione, condotte fraudolente o illeciti analoghi;
  • esistenza di procedimenti a carico del socio in affari per fatti di corruzione o illeciti analoghi;
  • adozione da parte del socio in affari di un sistema per la prevenzione dei rischi di corruzione;
  • notizie e informazioni relative ad azionisti e Alta Direzione dei soci in affari;
  • struttura e forma del contratto o degli incarichi e delle modalità di pagamento.

DiDEEP BUSINESS

Obiettivi anticorruzione e relativa pianificazione

L’analisi del punto 6.2 della norma

La definizione di obiettivi chiari, raggiungibili e misurabili è uno degli elementi fondamentali per monitorare e migliorare l’efficacia del sistema di gestione.

Gli obiettivi devono prevedere azioni ed interventi “cosa sarà fatto” idonei a conseguire i “risultati” attesi nell’ambito del sistema di gestione per la prevenzione della corruzione e ai fini del miglioramento dei livelli di rischio.

Affinché questi obiettivi non restino mere dichiarazioni di intenti occorre che siano stabiliti, in modo documentato, tempi, risorse, responsabilità per il loro conseguimento e le conseguenze derivanti dalla mancata attuazione.

Condizione necessaria è, ovviamente, che gli obiettivi siano comunicati a tutto il personale coinvolto nel loro raggiungimento e rivisti periodicamente.

Seguono alcuni esempi, i quali sono da considerarsi meramente indicativi poiché ciascuna Organizzazione che voglia implementare un Sistema di Gestione Anticorruzione secondo lo standard ISO 37001, deve condurre tale analisi in funzione delle proprie caratteristiche, della valutazione dei rischi, e della propria politica per la prevenzione della corruzione:

  • Adozione di un software gestionale per migliorare il monitoraggio aziendale del ciclo attivo e del ciclo passivo;
  • Integrazione della procedura relativa agli approvvigionamenti prevedendo la richiesta di più preventivi;
  • Riduzione degli importi al di sopra dei quali è necessario un doppio livello di autorizzazione per le richieste di finanziamenti;
  • Incremento della quota prevista per la rotazione del personale ricoprente ruoli critici e più esposti a dinamiche corruttive;
  • Adozione di un sistema telematico per la gestione del whistleblowing;

Una volta stabiliti gli obiettivi sarà necessario monitorare quali siano i risultati derivanti dall’attuazione dell’obiettivo in termini di contenimento e miglioramento dei livelli di rischio di corruzione.

DiDEEP BUSINESS

Le deleghe nel processo decisionale nella UNI ISO 37001:2016

Il punto 5.3.3 della norma

La specifica considerazione del punto in esame rappresenta una novità rispetto alle altre norme ISO in quanto vengono stabiliti, ai fini della conformità alla norma UNI ISO 37001, i requisiti del processo di delega per il contenimento dei rischi di corruzione.

Il focus della norma riguarda infatti attività/processi che presentano rischi di corruzione superiori al livello basso, rispetto ai quali l’Alta Direzione abbia deciso di delegare a soggetti terzi l’autorità di prendere (in tutto o in parte) decisioni che spetterebbero ad essa.
Con il trasferimento dell’autorità di prendere decisioni si determinano anche le conseguenti responsabilità in capo al delegato, che si aggiungono a
quelle dell’Alta Direzione (o dell’Organo Direttivo, se presente).

La norma non entra nel merito dell’efficacia liberatoria e dell’opponibilità ai terzi della delega le quali dipendono dai requisiti di legge applicabili caso per caso.

Due sono invece le condizioni dettate dalla norma UNI ISO 37001.

  • La prima di natura generale, riguarda l’attribuzione al delegato di poteri (e risorse) adeguati per decidere e attuare le proprie decisioni “con autorità” rispetto a quanto oggetto di delega. Diversamente, il trasferimento ad altri soggetti del potere di prendere decisioni in seno all’organizzazione risulterebbe meramente fittizio;
  • In secondo luogo, tra i requisiti di “idoneità” che il delegato deve possedere e mantenere nel tempo vi è quello dell’assenza di conflitti di interesse (attuali o potenziali) rispetto alle decisioni che viene chiamato a prendere all’interno dell’organizzazione;

Pertanto, se l’Alta Direzione abbia deciso di delegare l’autorità di assumere decisioni in relazione a cui sussista un rischio di corruzione superiore al livello basso, devono esserci una procedura o dei controlli a presidio di queste condizioni.

Come detto, in caso di delega l’Alta Direzione non può disinteressarsi delle proprie responsabilità per l’osservanza e l’attuazione del sistema per la prevenzione della corruzione; pertanto la norma UNI ISO 37001 richiede all’Alta Direzione di sottoporre a verifica periodica i processi di delega.

DiDEEP BUSINESS

La valutazione del rischio corruzione

Il punto 4.5 della UNI ISO 37001:2016

Per la norma UNI ISO 37001, come per le altre norme ISO sui sistemi di gestione, l’analisi e la valutazione dei rischi rappresenta l’elemento alla base della progettazione, dell’attuazione e del mantenimento del sistema di gestione per la prevenzione della corruzione.

La corruzione rappresenta uno dei fattori che può influire sull’attuazione delle strategie dell’organizzazione e sul raggiungimento dei suoi obiettivi, in primis in termini di compliance e di gestione etica del business.

Il requisito della norma UNI ISO 37001 non prevede una specifica metodologia per la valutazione e il trattamento dei rischi di corruzione, ma definisce i passaggi fondamentali che l’organizzazione deve mettere in atto per pianificare e attuare il sistema di prevenzione (cd “risk based approach”).

La valutazione del rischio corruzione parte dall’analisi degli elementi esterni ed interni del contesto dell’organizzazione, compresi i requisiti degli stakeholder, rilevanti ai fini del raggiungimento degli obiettivi fissati dal sistema di gestione per la prevenzione della corruzione.
Sulla base delle informazioni relative al proprio contesto, secondo la norma UNI ISO 37001, l’organizzazione deve:

  • identificare i rischi di corruzione che “possa ragionevolmente” prevedere;
  • analizzare e ponderare i rischi di corruzione identificati in modo da assegnare loro una scala di priorità;
  • valutare idoneità ed efficacia del sistema dei controlli esistenti a contenere i rischi stimati.

La norma richiede che l’analisi dei rischi sia documentata e comprensiva delle informazioni relative alla correlazione tra gli esiti della valutazione dei rischi e la programmazione delle misure di controllo.


Coerentemente con quanto previsto dalle norme ISO, il risk assessment è un processo dinamico e non statico.
Pertanto la norma pone particolare enfasi nella valutazione periodica del rischio corruzione presente nell’organizzazione e indica la necessità di un periodico riesame, sotteso a rilevare nuove informazioni e/o cambiamenti significativi dell’organizzazione, con l’obbligo di conservazione della documentazione atta a comprovare l’avvenuta valutazione del rischio.

DiDEEP BUSINESS

Il Social Engineering

Che cos’è, come si manifesta ed alcuni consigli pratici per difendersi

Il Social Engineering è quell’attività volta a manipolare le persone per fare in modo che rivelino informazioni riservate. I truffatori possono impersonare qualcun altro o rubare l’identità di altre persone per creare un falso senso di fiducia nelle loro vittime.

Esso rappresenta spesso il metodo principale di infiltrazione nell’ambito di un più ampio disegno criminale. Ingannare le persone, infatti, è di solito più facile che trovare una vulnerabilità nelle misure di sicurezza dell’Azienda target. Il Social Engineering aiuta ad acquisire password di livello amministrativo o altri dati altamente classificati, a installare software dannosi nei server aziendali e altro ancora.

Si manifesta attraverso forme diverse a seconda che sia eseguito di persona o attraverso attività online.

Sfrutta sempre l’interazione umana come punto debole ma ci sono alcune differenze tra i principali esempi di Social Engineering:

Baiting

Il baiting si basa sull’indurre la vittima a cadere in trappola da sola a causa della sua curiosità o dell’avidità. Ad esempio, il truffatore può condurre il bersaglio dell’attacco a un sito Web dannoso installando malware sul proprio computer. Un esempio comune di baiting riguarda gli annunci che portano a siti dannosi, scaricare link che sono malware mascherati, ecc.

In parole povere, l’esca è come lanciare un amo in mare aperto e sperare che qualcuno abbocchi.

Phishing

Le truffe di phishing sono la forma più popolare di Social Engineering e utilizzano campagne di posta elettronica o messaggi dall’aspetto genuino che invocano un senso di urgenza o paura nelle vittime. Ciò induce gli utenti a fare clic su link dannosi, inviare denaro ai truffatori o aprire allegati con script malevoli.

Un tipico esempio potrebbe essere ad esempio una mail dalla banca che chiede di accedere alla nuova versione del loro sito e che richiede una modifica immediata della password. Una volta digitate le credenziali di accesso, i dati finiscono nelle mani degli aggressori e possono essere utilizzati per cancellare il conto bancario reale o ottenere ulteriori informazioni dall’assistenza clienti.

Email hacking e spam

Il principio alla base di questo tipo di attacco è duplice. Prima di tutto, l’utente malintenzionato acquisisce un indirizzo mail e le sue credenziali di accesso. Ciò accade spesso a causa di massicce violazioni dei dati. Il truffatore accede ed invia quindi delle mail ai contatti presenti fingendo di essere in difficoltà e richiedendo di aprire un file o inviare del denaro. I destinatari, vedendo che un amico sta avendo dei problemi, potrebbero cadere nella trappola.

Vishing

Il Vishing è una forma di Phishing che utilizza sistemi interattivi di risposta vocale per ricreare una copia perfettamente legittima di un sistema di riconoscimento vocale di alcune istituzioni. Alla vittima viene solitamente richiesto di chiamarlo e verificare alcune informazioni.

Spear phishing

Lo spear phishing è un attacco di Social Engineering fortemente mirato che prende di mira particolari individui o aziende. Questo tipo di attacco camuffa un messaggio di posta elettronica per apparire il più vicino possibile a quello reale utilizzando informazioni come l’esatta posizione lavorativa della vittima, le funzioni lavorative, la routine quotidiana, ecc. Pianificare questo tipo di attacco potrebbe richiedere settimane o mesi per essere eseguito con successo ma, se fatto in maniera adeguata, può causare gravi danni. Un messaggio di spear phishing potrebbe essere formulato esattamente come molte altre richieste e persino inviato attraverso canali comuni, ingannando così la vittima sulla sua autenticità.

Tailgating

Il Tailgating sfrutta delle situazioni reali sul posto di lavoro in modo tale da permettere ai truffatori di ottenere l’accesso ad aree non autorizzate, semplicemente seguendo qualcuno che ha accesso regolarmente. Ad esempio, per gentilezza, la maggior parte delle persone terrà la porta aperta o addirittura la aprirà, credendo alle parole di un aggressore il quale afferma di aver perso il proprio documento d’identità o la carta di accesso. Ci sono molte realtà sui luoghi di lavoro che un esperto di Social Engineering potrebbe utilizzare a proprio vantaggio.

Alcuni consigli pratici per difendersi

Pensare prima di agire. Gli aggressori creano un senso di urgenza perché vogliono che le loro vittime prendano decisioni avventate. E’ necessario sempre fermarsi e verificare. Se un amico sta improvvisamente chiedendo denaro, è bene chiamarlo al telefono, verificando se ha davvero inviato il messaggio.

Verificare la legittimità del messaggio. Se è stata ricevuta una mail e qualcosa al riguardo sembra strano, verificare i nomi di dominio che potrebbero terminare in .co o .con anziché in .com. Errori di battitura e/o altri errori di ortografia sono altri chiari sintomi che si tratta di tentativi di truffa.

Non fidarsi dei mittenti che non si conoscono. Se non si aspetta nulla, non aprire i file ricevuti, soprattutto se sono contrassegnati da flag urgenti.

Se non si è sicuri che un sito Web sia autentico o si sospetta che sia un tentativo di phishing, verificare i certificati CA, soprattutto se ci si sta connettendo a siti bancari.

DiDEEP BUSINESS

Il Phishing

Che cos’è ed alcuni consigli pratici per riconoscerlo e difendersi

Il Phishing è una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti.

Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli.

Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il  messaggio invita, riferendo problemi di registrazione o di altra natura,  a fornire i propri riservati dati di accesso al servizio.

Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è  stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.

Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione “.exe”, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato “.doc” “.pdf” . Nel caso si tratti di un  c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari.

Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”,  c.d. “keylogging”, in questo caso i criminali entrano in possesso delle chiavi di accesso agli account di posta elettronica o di e-commerce.

Seguono alcuni consigli pratici per evitare di incorrere in frodi:

• Gli Istituti di Credito o le Società che emettono Carte di Credito  non chiedono mai la conferma di dati personali tramite e-mail ma contattano i propri clienti direttamente per tutte le operazioni riservate. Diffidare delle e-mail che, tramite un link in esse contenute, rimandano ad un sito web ove confermare i propri dati;

• Nel caso si riceva una e-mail, presumibilmente da parte della banca, che faccia richiesta dei riservati dati personali, è necessario recarsi personalmente presso l’istituto di credito;

• Se si reputa che l’e-mail di richiesta informazione sia autentica, diffidare comunque del link presente in questa, collegarsi al sito della banca che l’ha inviata digitando l’indirizzo internet noto direttamente nel browser;

• Verificare sempre che nei siti web dove bisogna immettere dati (account, password, numero di carta di credito, altri dati personali), la trasmissione degli stessi avvenga con protocollo cifrato;

• Controllare, durante la navigazione in Internet, che l’indirizzo URL sia quello del sito che si vuole visitare, e non un sito “copia”, creato per carpire dati;

• Installare sul personal computer un filtro anti-spam;

• Controllare che, posizionando il puntatore del mouse sul link presente nell’e-mail, in basso a sinistra del monitor del computer, appaia l´ indirizzo Internet del sito indicato, e non uno diverso.

Fonte: Polizia di Stato

DiDEEP BUSINESS

Che cos’è un ransomware e perché può essere molto pericoloso

Qualche consiglio utile per difendersi in caso di attacco

Il ransomware è una forma complessa di malware che blocca l’accesso di una vittima ai propri dati, in cambio di un riscatto di denaro.

Esistono due tipi comuni di ransomware:

Un tipo è progettato per bloccare l’accesso ai file ed utilizza sofisticati algoritmi di crittografia per bloccare l’accesso a questi dati importanti, richiedendo il pagamento di una chiave che decrittografa gli stessi.

L’altro tipo è un “ransomware di armadietti” che funziona bloccando completamente una vittima fuori dal suo sistema operativo. In questo caso, è impossibile accedere al desktop, alle applicazioni o a qualsiasi file. Sebbene i file sul computer non siano crittografati, è comunque richiesto un riscatto per sbloccare il sistema infetto.

Sebbene siano esistite molte altre forme di malware e strumenti di crittografia, il ransomware ha alcuni componenti unici che lo rendono diverso da altri malware.

  • Il ransomware utilizza una crittografia infrangibile, che rende impossibile o quasi impossibile la decrittografia dei file interessati;
  • Può crittografare praticamente qualsiasi tipo di file, che si tratti di audio, video, documenti o immagini;
  • Il ransomware ha la capacità di codificare i nomi dei file, rendendo difficile se non impossibile sapere esattamente cosa è stato colpito;
  • E’ in grado di modificare le estensioni dei nomi dei file, facendoli funzionare in modi imprevedibili o non funzionando affatto;
  • I riscatti allegati al ransomware in genere hanno limiti di tempo. Il superamento della scadenza spesso significa che l’importo del riscatto aumenterà o addirittura che i dati verranno distrutti del tutto.

Sebbene il ransomware sia una forma potente ed efficace di crimine informatico, ci sono misure altrettanto pratiche ed efficaci che possono essere adottate per proteggersi da un potenziale attacco.

Seguono alcuni suggerimenti rapidi per essere protetti dai ransomware:

  • Non farsi prendere dal panico in caso di attacco;
  • Avere due backup dei dati importanti: uno su un disco rigido esterno e un altro su un archivio basato su cloud (es. Google Drive, Dropbox, ecc.);
  • Non avere applicazioni di archiviazione basate su cloud sul computer attivate come impostazione predefinita. Attivarle solo una volta al giorno per sincronizzare i dati, quindi disattivarle al termine della sincronizzazione;
  • Mantenere il sistema operativo e i software utilizzati regolarmente aggiornati e con gli aggiornamenti di sicurezza più recenti installati;
  • Utilizzare un account ospite con privilegi limitati per l’uso regolare e quotidiano del computer – utilizzare un account amministratore solo quando necessario;
  • Disabilitare le macro nella suite Microsoft Office (Word, Excel, PowerPoint, ecc.);
  • Rimuovere i plug-in Adobe Flash, Adobe Reader, Java e Silverlight dal browser web. Se sono assolutamente essenziali, impostare il browser per verificare quando devono essere attivati secondo necessità;
  • Regolare le impostazioni di privacy e sicurezza del browser sulla massima protezione;
  • Rimuovere componenti aggiuntivi e plug-in obsoleti dal browser web, conservare solo quelli utilizzati regolarmente e tenerli aggiornati;
  • Utilizzare un blocco degli annunci per combattere quelli potenzialmente maligni;
  • Non aprire mai spam o e-mail da mittenti sconosciuti/sospetti;
  • Eliminare immediatamente tutti gli allegati scaricati da spam o e-mail altrimenti sospette;
  • Astenersi dal fare clic su collegamenti in spam o e-mail sospette;
  • Utilizzare un affidabile programma antivirus con funzionalità di aggiornamento automatico e scansione in tempo reale;
  • Utilizzare i filtri del traffico per la protezione anti-ransomware.
DiDEEP BUSINESS

L’andamento della ISO 50001:2018 e la legislazione europea

L’energia sostenibile con riferimento alle politiche per lo sviluppo sostenibile promosse dall’ Unione Europea in campo energetico

Tutte le organizzazioni, pubbliche o private, possono contribuire alle politiche per l’energia sostenibile adottando un Sistema di Gestione dell’Energia (SGE), strumento gestionale di tipo volontario che consente all’organizzazione di conseguire il miglioramento continuo delle proprie prestazioni energetiche.

La strategia energetica europea si prefigge i seguenti obiettivi:

  • riduzione dei consumi energetici;
  • riduzione delle emissioni di gas climalteranti;
  • incremento nel ricorso alle energie da fonte rinnovabile.

Al fine di sostenere concretamente la realizzazione degli obiettivi sopra riportati, l’Unione Europea ha previsto strumenti di mercato e finanziari (imposte, sovvenzioni, sistema di scambio di quote di emissione di CO2), nonché strumenti normativi, legiferando nello specifico  per i settori ad elevato consumo di energia, quali il settore dell’edilizia, delle industrie manifatturiere, della conversione dell’ energia e dei trasporti.

Complessivamente, dall’avvio del meccanismo (2006) al 31 ottobre 2018, sono stati riconosciuti 50.744.213 Titoli di Efficienza Energetica, di cui 16.316.458 TEE si riferiscono ai riconoscimenti trimestrali per le RVC standardizzate.

La ISO 50001 anche per tale motivo sta  avendo in Italia un’accoglienza notevole da parte delle organizzazioni , anche spinta da esigenze normative e di GPP (green public procurement) particolarmente implementate in Italia.

  • ad ottobre 2012 le certificazioni ISO 50001 erano più o meno 30
  • a luglio 2013 in circa 100
  • al novembre 2018 1134 certificati emessi

Fonte: Accredia

DiDEEP BUSINESS

Cos’è l’Audit energetico o audit di SGE

Un Audit Energetico, o audit di un SGE, Sistema di Gestione dell’Energia va fatto seguendo la ISO 50001.

Il flusso procedurale da seguire è quindi già ben tracciato e va per l’appunto seguito con dovizia e cura tecnica. Dapprima è necessario attuare un’approfondita analisi in cui si progetta e pianifica la gestione della tematica.

Dopodiché si passa al piano più pratico e si coinvolgono le varie risorse per la gestione dell’eventuale problematica. L’impianto sottoposto a audit va naturalmente monitorato costantemente in modo tale da aggiustare eventuali modifiche realizzando così una corretta revisione dell’intero sistema.

Analisi preliminari all’Audit Energetico

Naturalmente, prima di iniziare un audit energetico, è fondamentale individuare attraverso un’attenta analisi le necessità del Sistema su cui si sta operando. Conoscere a fondo le caratteristiche del Sistema permetterà al tecnico incaricato di individuare con maggiore facilità le debolezze dello stesso e di conseguenze agire per un miglioramento delle performance energetiche.

Un EnMS, ovvero Energy Management System, deve sempre essere guidato e monitorato dall’Alta Direzione, la quale avrà il compito di approvare e dare il proprio consenso alle varie azioni effettuate dall’impresa in fase di audit energetico.

Passaggio cruciale è l’individuazione dei vari ruoli all’interno dell’EnMS, in primis il Rappresentante della Direzione, individuabile nell’Energy Manager, il cui compito è complesso e variegato. Sicuramente questa figura deve avere determinate caratteristiche e competenze tra cui essere in grado di conoscere in maniera complessiva lo stato di fatto dell’impresa, implementare in maniera corretta gli interventi dell’EnMS, fare da trait d’union tra l’Alta Direzione e tutti i soggetti coinvolti.

Naturalmente l’Energy Manager ed il suo eventuale team dovranno svolgere il loro lavoro seguendo delle politiche energetiche ben delineate e comprese da tutti. Una sorta di documento ufficiale in cui si delineano le varie responsabilità e ruoli delle figure coinvolte, gli obiettivi dell’intervento, che verteranno necessariamente alla riduzione dei consumi energetici, la condotta generale del programma per definire gli sforzi fatti e renderli perciò misurabili nel tempo.

Questa dichiarazione formale deve essere ben illustrata a tutte le persone coinvolte nell’intero processo, in modo tale da garantire continuità di lavoro e risultati ottimali.

La politica dell’EnMS deve avere carattere generale, ma comunque definire specifiche attività e fare un chiaro riferimento all’obiettivo dell’intervento, così come descrivere in maniera approfondita le caratteristiche dell’azienda su cui si andrà ad intervenire.

Altresì importante è che tale politica promuovi l’approvvigionamento di servizi che siano efficienti sin dall’inizio, in modo tale da non vanificare gli sforzi compiuti.

A valle dell’Audit Energetico si valuta solitamente di procedere con una Diagnosi Energetica.