Giuliano Nicolini, Management & Organizzazione

Notre-Dame aveva 160 sensori. Non è bastato.   

È sempre una amara sorpresa scoprire che il punto più fragile della nostra azienda è proprio là dove abbiamo investito anni di lavoro, utilizzando le tecnologie più avanzate, i migliori esperti e le procedure più sofisticate.  

E scoprire che siamo incapaci di reagire agli imprevisti proprio grazie alla nostra ossessione per la sicurezza e la sua ottimizzazione.

E se il problema non fosse né la tecnologia né la competenza delle persone, ma il modo in cui le mettiamo insieme?  

Il 15 aprile 2019, a Parigi, alle 18:18 il sistema antincendio della cattedrale di Notre-Dame rileva tracce di fumo nella capriata. La cattedrale è protetta da centosessanta rilevatori ad alta sensibilità. Ci sono voluti sei anni per la loro progettazione ed installazione, con le tecnologie più avanzate sul mercato.            

Alle 18:18 sul monitor dell’addetto alla sicurezza arriva il messaggio col codice ZDA-110-3-15-1, con scritto “combles nef sacristie – sottotetto navata sacrestia”. Il messaggio è tecnicamente corretto ma incomprensibile per l’addetto di turno – tre giorni di esperienza e da solo in ufficio – che fatica non poco a capire di cosa si tratta. I pompieri vengono chiamati mezz’ora dopo.    

Quella mezz’ora di ritardo è stata una mezz’ora sufficiente a generare una delle maggiori catastrofi del patrimonio artistico e storico mondiale. Notre-Dame ha bruciato per dieci ore, pur avendo al suo interno il sistema di sicurezza più avanzato della storia umana. Nella sua vita millenaria, la cattedrale aveva resistito a guerre, rivoluzioni, secoli di intemperie. Il danno più grave lo ha subìto quando era più protetta che mai.         

Il caso di Notre-Dame è assimilabile a quello di qualunque altra organizzazione ad alta densità tecnologica, basata su un sistema che prevede condizioni ideali di funzionamento, analizzate e progettate in tutta la loro complessità e che, proprio per questo, finisce per diventare fragilissimo. 

È paradossale rendersi conto che le organizzazioni ad elevata densità tecnologica sono strutturalmente predisposte a subire incidenti, proprio perché vi sono troppi componenti in relazione fra loro, troppe dipendenze rigide, troppa fiducia che le simulazioni coincideranno con la realtà effettiva.        

A Notre-Dame tutti gli elementi che contribuivano a garantire la sicurezza erano “logici e razionali”. Il sistema ad elevata sensibilità era perfetto per garantire una copertura ottimale dei rischi.       

Il messaggio ZDA-110-3-15-1 era tecnicamente corretto, così come il testo “combles nef sacristie – sottotetto navata sacrestia”. Ma il contesto in cui si inserivano questi messaggi non era neutro, era umano.

Ed umani sono i pompieri di Parigi, e gli addetti alla sorveglianza. Il sistema di allarme era così sensibile da innescare continuamente falsi allarmi, al punto che i pompieri di Parigi non lo consideravano più credibile. E l’addetto alla sorveglianza non era in grado di comprendere immediatamente un messaggio pensato per un ingegnere ed un esperto di navate di cattedrali gotiche. Erano tutte situazioni “umane” non previste dal sistema.    

Vi sono condizioni in cui le procedure, progettate per garantire la sicurezza, impediscono di gestire proprio le situazioni che quelle procedure non avevano previsto. In altri termini, la conformità ai regolamenti diventa disfunzionale alla soluzione del problema.      

È da qui che nasce la fragilità di sistemi progettati per funzionare in condizioni ottimali, sistemi che si spezzano quando la realtà si discosta dal piano. E la realtà si discosta sempre.

Spesso la risposta a questo problema viene ricercata in un surplus di tecnologia. In realtà sarebbe meglio smettere di progettare sistemi perfetti e cominciare a progettare sistemi che prevedono i propri fallimenti.

Nassim Taleb li definisce “sistemi antifragili”, ovvero sistemi che non si limitano a resistere agli shock, ma migliorano grazie ad essi. Le organizzazioni antifragili non eliminano l’errore: lo incorporano come dato strutturale, lo rendono visibile, lo usano per rafforzarsi. Non costruiscono procedure a prova di errore umano, ma ambienti in cui l’errore umano possa essere rilevato prima di diventare catastrofe         

A livello pratico le strade da seguire sono essenzialmente di tre tipi: a) creare ridondanza organizzativa come presidio di resilienza, come gli aerei di linea che hanno sempre due piloti, anche quando uno sarebbe sufficiente; b) realizzare interfacce leggibili da esseri umani reali, non da tecnici ideali: il codice ZDA-110-3-15-1 era perfetto per un ingegnere, inutile per un addetto alla sorveglianza; c) progettare sistemi con umiltà sistemica, ovvero con la consapevolezza che neanche gli esperti sanno prevedere tutto quello che potrebbe andare storto, specialmente in sistemi complessi e fortemente interdipendenti.   

Chi si occupa di sicurezza dovrebbe sempre cercare una soluzione intermedia, fatta di tecnologie fallibili che lasciano margini di manovra a esseri umani fallibili.          

Concludendo: Notre-Dame ha subito il danno più grave quando era più protetta che mai.           

Non occorre ricercare la perfezione dei sistemi, ma sistemi consapevoli della propria imperfezione.     

Riferimenti:   

  • Robert K. Merton, Social Theory and Social Structure, Free Press, 1949 
  • Charles Perrow, Normal Accidents, Basic Books, 1984      
  • Nassim Nicholas Taleb, Antifragile, Il Saggiatore, 2013
  • Raffaele Alberto Ventura, Radical Choc, Einaudi, 2023    
Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.