Oltre 1.000 dipendenti coinvolti in un percorso concreto di consapevolezza digitale, per rafforzare la cultura aziendale, favorire comportamenti digitali più sicuri ed efficienti ed accrescere la capacità di gestire i rischi informatici, nella principale cooperativa Conad del Centro-Sud Italia

PAC 2000A CONAD è la più grande cooperativa del Consorzio Conad per dimensioni e fatturato. Opera in cinque regioni – Umbria, Lazio, Campania, Calabria e Sicilia – e attualmente è il principale operatore della Grande Distribuzione Organizzata nel Centro-Sud Italia. I numeri ne delineano la portata: 5,6 miliardi di euro di giro d’affari, un patrimonio netto di circa 1 miliardo, una quota di mercato del 20,33%, 1.550 punti vendita e 109 concept store, per un fatturato complessivo che supera i 7,6 miliardi di euro alla vendita.

Alla base c’è un modello cooperativo fondato su mutualità, partecipazione, radicamento nei territori e centralità delle persone. «PAC2000A è una delle cinque cooperative che aderiscono al Consorzio Nazionale Conad, – spiega Vanni Chioccoloni, Chief Information Officer del Gruppo PAC2000A CONAD. «Ogni cooperativa cura lo sviluppo della rete di vendita associata, nei territori di competenza e fornisce prodotti e servizi ai punti vendita gestiti da imprenditori indipendenti».

Nel caso di PAC2000A, l’area di riferimento coincide con la parte occidentale del Centro-Sud Italia, con 1.659 punti vendita che sono gestiti da 1.102 soci imprenditori – sottolinea il CIO. Un presidio territoriale che affonda le radici nella storia delle “botteghe” Conad sorte nei piccoli comuni e che si concretizza ancora oggi oltre che, con investimenti per l’apertura di importanti superfici di vendita, anche con il supporto continuo allo sviluppo dei punti vendita di prossimità, con un’attenzione importante alle iniziative di valore sociale. PAC2000A genera un impatto occupazionale molto rilevante nei territori in cui opera con i marchi Conad, occupando oltre 30.000 addetti ed avendo rapporti con circa 1.100 imprese fornitrici italiane.

Una sfida organizzativa prima che tecnologica

È in questo contesto articolato e fortemente complesso, che prende forma il percorso di formazione sulla cybersecurity, avviato nel 2023. «Fin da subito ci siamo resi conto che la sicurezza informatica non è solo un tema tecnologico», racconta Chioccoloni.

Il progetto ha interessato una popolazione ampia ed eterogenea: manager, dipendenti degli uffici e dei siti logistici, distribuiti in tutte le cinque regioni. «Abbiamo coinvolto tutte le aziende del Gruppo – precisa Chioccoloni «Ad oggi circa 1.050 risorse interne sono state ingaggiate nel percorso formativo. Un numero significativo, che ha richiesto attenzione alle differenze di ruolo, di contesto operativo e di familiarità con il digitale, ma che ci ha anche restituito una fotografia molto chiara della maturità dell’organizzazione».

La scelta di investire sulla formazione è nata dalla consapevolezza che molti incidenti informatici hanno origine interna. «Oggi sappiamo che circa il 64% degli incidenti è causato, spesso involontariamente, dal fattore umano» – dichiara Chioccoloni. «Se non possiamo prevedere le manovre degli hacker, dobbiamo coinvolgere e sensibilizzare i nostri collaboratori».

Vanno cambiati i comportamenti

Un lavoro di squadra che ha visto il coinvolgimento diretto di Erica Zanobetti, Responsabile Formazione – Sviluppo Competenze di PAC2000A CONAD. «Il progetto è stato costruito in modo davvero condiviso – spiega «Il nostro CIO aveva colto l’esigenza di mettere in campo una strategia valida, prima ancora dell’entrata in vigore della direttiva NIS2 che ha imposto alla GDO obblighi stringenti in tema di cybersecurity. Quando i tempi sono diventati maturi, la collaborazione già avviata tra Sistemi Informativi e Sviluppo Competenze, ci ha permesso di essere veloci ed efficaci nel far partire il progetto».

In PAC2000A lo Sviluppo Competenze risponde alla Direzione Generale. «Questo ci ha consentito di coinvolgere subito Direzione Generale e HR” – prosegue Zanobetti. «Un incontro con tutto il management aziendale è stato decisivo per spiegare gli effetti disastrosi di eventuali attacchi criminali informatici e l’opportunità di un percorso formativo concreto, semplice e accessibile pensato, non come adempimento, ma come investimento per aumentare la consapevolezza delle persone in azienda, per difendersi in modo proattivo».

Dopo una fase di valutazione, la scelta è caduta su Cyber Guru, che mette a disposizione un prodotto molto coinvolgente. La piattaforma offre un training completo basato su tre programmi metodologici: cognitivo (Awareness), induttivo (Channel), esperienziale (Phishing).

«La comunicazione iniziale non era bastata ad ingaggiare le persone- spiega Zanobetti. «A metà percorso, con una fruizione intorno al 60-65%, siamo intervenuti con report dettagliati e un coinvolgimento diretto dei manager. Il risultato, alla fine del primo anno didattico, è stato il superamento dell’80% di fruizione, accompagnato da una sensibile riduzione dei click nelle simulazioni di phishing. A confermare il valore del percorso è stata importante anche la survey finale proposta a tutti i partecipanti» – continua Zanobetti: «Molti hanno percepito questa formazione come utile non solo per l’azienda, ma anche per la propria vita personale».

«Nel secondo anno il progetto si è ampliato con un percorso dedicato ai board delle aziende del Gruppo, focalizzato sulla Direttiva NIS2 e sulle responsabilità della “governance” aziendale. Cultura, attenzione e comportamento sono ciò che davvero può fare la differenza nella prevenzione di qualsiasi tipo di incidente informatico. Ed è questo il risultato più importante che ci aspettiamo», conclude Chioccoloni.