RISK MANAGEMENT
Autore: Luca Lambertini
ASSINEWS 378 – Ottobre 2025
Premessa
La matrice di rischio è uno strumento consolidato del risk management ed è presente in molte normative ISO, utilizzata da decenni per stimare la pericolosità dei rischi in base a due variabili: probabilità di accadimento e gravità delle conseguenze. È un modello intuitivo, di facile comunicazione, che ha trovato ampio spazio anche in ambito assicurativo.
Eppure, dopo oltre 35 anni di esperienza nell’IRM1, ritengo che questa matrice sia oggi non solo inadeguata per il risk management, ma persino fuorviante per chi si occupa di IRM e di protezione assicurativa in generale.
La matrice di rischio
La logica della matrice (fig. 1) è semplice: mette in relazione la probabilità o frequenza di
accadimento di un evento dannoso con la sua gravità, ossia impatto economico che può avere il danno; dall’incrocio di queste due variabili i rischi vengono classificati ed evidenziati con le seguenti colorazioni:
• rischio basso / trascurabile = colore verde o azzurro
• rischio medio = giallo
• rischio grave / molto grave = rosso
Vi sono matrici con più sfumature di colore, ma il risultato è, comunque, una sorta di cubo di Rubik che chiunque si occupi di rischi ha incontrato ed utilizza spesso.
La matrice di rischio ha limiti applicativi quali una marcata soggettività nella valutazione e un’eccessiva semplificazione nell’analisi, ma offre comunque una visione semplice e intuitiva, di facile condivisione e rimane, in diversi ambiti tra cui quello assicurativo, un punto di riferimento per le decisioni attinenti alla gestione dei rischi.
Le origini
La matrice nasce negli anni ’40- ’50: il Dipartimento della Difesa USA e la NASA introducono metodi per valutare i rischi nel settore militare e aerospaziale. Negli anni ’70 la matrice viene formalizzata nell’ambito della Failure Models and Effects Analysis (FMEA) per l’industria aerospaziale e poi adottata nell’industria manifatturiera.
Negli anni ’80-’90 si diffonde nell’ambito della sicurezza sul lavoro e diventa uno standard per le valutazioni dei rischi anche nel settore civile.
A partire dal 1999 la norma ISO 17776 (gestione pericoli di incidenti nell’industria petrolifera offshore) propone l’uso sistematico della matrice come strumento visivo di valutazione del rischio.
Dagli anni 2000 in poi la matrice entra in modo stabile nella normativa europea e italiana, la troviamo frequentemente all’interno delle norme UNI EN ISO2 e viene applicata regolarmente nel risk management e nell’IRM.
Critica alla valutazione dei rischi ad opera della matrice di rischio
Secondo questa matrice tradizionale, un rischio che può portare conseguenze gravi o molto gravi, se è improbabile o molto improbabile viene classificato come rischio medio o medio basso (ultime due caselle in basso a destra della fig. 1, colore giallo e verde). Ma quali possono essere questi rischi ad alta gravità e bassa probabilità che la matrice di rischio tradizionale classifica rischio medio o medio basso?
• rischi di danni ai beni: fenomeni atmosferico di straordinaria e inaspettata intensità (tutti abbiamo visto immagini di chicchi di grandine delle dimensioni di palline da tennis); grave incendio o scoppio;
• rischi di responsabilità: grave e inaspettato danno a terzi o subìto da propri dipendenti, oppure conseguenze della difettosità di un prodotto fino ad allora considerato sicuro;
• rischi che riguardano le persone: morte o grave invalidità di una persona chiave per l’azienda o per la famiglia, oppure necessità di un urgente intervento chirurgico. Senza proseguire l’elenco possiamo notare che questi rischi, pur essendo improbabili, possono avere conseguenze economiche estremamente gravi per una PMI fino a portarla al default. Le due domande che rivolgo ai risk manager e soprattutto agli intermediari e insurance risk manager sono:
• È ancora corretto classificare questi rischi come rischi medi (giallo) o bassi (verde), come avviene ora con questa matrice di rischio tradizionale?
• È una classificazione adeguata e applicabile anche dall’insurance risk management?
Il mercato attuale
L’attuale economia, rispetto a quella di soli 30 o 40 anni fa è profondamente cambiata. Vi sono strette connessioni nelle catene di fornitura; l’azienda non produce più un prodotto finito, ma solo una parte oppure si occupa esclusivamente della progettazione e dell’assemblaggio, demandando alla catena di fornitura sottostante la produzione delle parti che compongono il prodotto finito; una produzione frammentata, risultato di un insieme di componenti e di servizi forniti da attori diversi e filiere che possono estendersi su più continenti.
Questo aumenta l’efficienza economica, ma espone le aziende a rischi geopolitici, logistici, ambientali e il guasto o il default di un solo fornitore può avere gravi ripercussioni sull’intero processo produttivo con severe conseguenze economiche sulle PMI3 .
Il cambiamento climatico
In questo contesto di forte interconnessione e di fragilità si innestano anche gli effetti del cambiamento climatico in atto, ampiamente dimostrato da statistiche pluridecennali; effetti che, senza voler entrare nel merito delle loro cause o durata, si ripercuotono sulle organizzazioni e sulle supply chain4 aumentando la loro vulnerabilità.
Il risultato è che:
• la definizione altamente improbabile con cui classifichiamo determinati rischi (p. es. calamità naturali, trombe d’aria, gravi incendi, grandinate eccezionali) si basa su dati storici e su previsioni future che, tuttavia, hanno margini di approssimazione e rischiano di indirizzare verso pericolose scelte di inazione;
• un rischio altamente improbabile per l’azienda di cui stiamo esaminando i rischi, potrebbe però provocarle severe conseguenze economiche qualora capitasse ad un altro soggetto facente parte della stessa catena di approvvigionamento.
Fallibilità della matrice tradizionale per il risk management
Queste ragioni dimostrano che, nello stimare gli effetti di un rischio, il fattore gravità deve 
avere un peso decisamente superiore rispetto a quello attribuito al fattore probabilità; un rischio molto improbabile che può arrecare gravissime conseguenze economiche a una PMI, non può essere classificato medio o basso (fig. 1); classificarlo in questo modo significa indurre a sottovalutarlo, a non trasferirlo all’assicurazione.
La matrice di rischio tradizionale ha avuto un ruolo importante nel risk management, ma oggi questa classificazione non è più attuale e deve essere rivista dando maggior peso alla gravità del danno modificando, di conseguenza, la classificazione delle tre caselle evidenziate dalle frecce sul grafico (fig. 2).
Inadeguatezza della matrice tradizionale per l’insurance risk management (irm)
Altrettanto – e a maggior ragione – questa classificazione è completamente inadeguata per la delicata funzione dell’IRM.
Chi si occupa di rischi ed assicurazioni sa molto bene che lo strumento assicurativo non può né vuole sostituirsi o sopperire a carenze nella prevenzione o protezione.
La sua funzione di mutualizzazione dei rischi è di coprire quelli molto improbabili, ma che possono portare gravissime conseguenze economiche. Se classifichiamo i rischi nell’ottica dell’IRM, diversa da quella del risk management, questa matrice di rischio è inadeguata a supportare l’IRM e la PMI nelle decisioni in tema di assicurazioni.
Una matrice di rischio specifica per l’irm
L’IRM necessita di una propria specifica e autonoma matrice, una matrice dei rischi assicurabili per IRM (fig.3) che classifichi come molto gravi i rischi che,
indipendentemente dalla probabilità di accadimento, possono avere severe o irreparabili conseguenze economiche per l’azienda o per la famiglia.
Il fattore probabilità non deve influenzare in alcun modo la decisione sui rischi da assicurare (tranne che non sia pari o tendente a zero), i quali devono essere valutati e – nel caso – trasferiti all’assicurazione, secondo una stima della loro potenziale gravità.
Il grafico in fig. 3 è l’espressione dei concetti sopra esposti:
• Colore verde, rischio a bassa gravità: rischi che l’azienda può ritenere o autoassicurare;
• Colore giallo, rischi a media gravità: rischi che è preferibile assicurare in quanto difficili da affrontare senza supporto assicurativo;
• Colore rosso, rischi ad alta gravità: rischi che è indispensabile assicurare in quanto in grado di mettere in grave difficoltà o di portare al default l’azienda;
• Colore nero: rischi a media o alta gravità e alta probabilità: rischi che sarebbe antieconomico assicurare oppure inassicurabili, da trattare con prevenzione, protezione, elusione5.
Necessità di applicare in ambito irm la matrice dei rischi assicurabili per irm
Fino a quando gli intermediari o i loro clienti utilizzeranno la matrice di rischio tradizionale per le loro scelte o consigli in ambito assicurativo, rischieremo di trovarci ancora nelle gravi situazioni che, da emiliano ho vissuto in prima persona numerose volte negli ultimi anni:
• maggio 2012: terremoto in Emilia; 27 vittime, 15.000 evacuati, stima dei danni: 13 mld euro;
• maggio 2023: alluvione in Romagna; evento senza precedenti, con 17 vittime, 50.000 evacuati, 65.000 frane e danni per 8-9 mld);
• settembre – ottobre 2024: alluvioni in Emilia Romagna hanno coinvolto almeno 4 città.
Agli scettici suggerisco di andare a informarsi su quale è stata la percentuale dei danni provocati da questi eventi e coperti da assicurazione: non oltre il 10%, con gravissime ripercussioni economiche per il territorio.
Mi spiace doverlo ammettere, ma temo che qualche errore l’abbiamo fatto anche noi intermediari; e se queste situazioni di scopertura e vulnerabilità non saranno ben comprese dagli intermediari e dai clienti e non si tradurranno in scelte assicurative conformi alla gravità dei rischi, si riproporranno ancora.
La matrice dei rischi assicurabili per IRM offre una lettura più attenta e il corretto approccio ai rischi assicurabili; consiglio anche di utilizzarla in trattativa mostrandola al cliente: aiuta a spiegare in modo efficace quali rischi assicurare e perché e l’imprenditore, per sua natura pragmatico e intuitivo, saprà coglierne il valore ed apprezzare la consulenza. Un’azienda ben assicurata è più solida e un’azienda più solida ha più valore.
Buona intermediazione.
1 IRM, Insurance Risk Management: fa parte del risk management ed è il processo mediante il quale un’organizzazione, generalmente assistita da un intermediario assicurativo, identifica, dimensiona e trasferisce al mercato assicurativo i propri rischi gravi assicurabili con l’obiettivo di garantire la propria continuità, di proteggere le persone chiave e il patrimonio aziendale. Tale processo non riguarda solamente il segmento aziende ma, in forma semplificata, anche quello retail.
2 La definizione di “rischio” presente in numerose norme UNI EN ISO è: “Combinazione della probabilità che si verifichi un danno e della gravità di tale danno” oppure
“Effetti dell’incertezza sugli obiettivi”.
3 Ecco alcuni esempi di interruzione della supply chain: la carenza globale di microchip dopo la pandemia ha fermato la produzione di automobili in tutto il mondo. Le alluvioni in Thailandia (2011) hanno bloccato impianti e fornitori locali per mesi creando notevoli problemi a molti produttori giapponesi (Toyota, Honda, Nissan); Uragano Maria (2017) a Porto Rico; gli impianti farmaceutici statunitensi di Porto Rico (Pfizer, Amgen) hanno bloccato la produzione per mesi, con carenza globale di alcuni medicinali salvavita e dispositivi sanitari.
4 Supply chain: catena di approvvigionamento, ossia insieme delle attività, dei processi e delle organizzazioni coinvolte nel portare un prodotto o un servizio dal fornitore al cliente finale; rete che collega tutte le fasi, dall’acquisizione delle materie prime alla consegna del prodotto finito al consumatore.
5 Un rischio molto probabile che può portare gravi conseguenze economiche è solitamente rifiutato dal mercato assicurativo; se pur adottando adeguate misure di prevenzione e protezione risultasse impossibile ridurre almeno uno dei due fattori (probabilità o gravità), in ultima analisi è preferibile eludere il rischio ossia eliminare ciò che lo può causare o anche smettere di eseguire quel tipo di lavorazione, attività o prodotto che genera rischi molto probabili e molto gravi.
© Riproduzione riservata