La majoria d’incidents digitals greus no comencen amb una gran fallada tècnica ni amb errors estructurals previs. Sovint comencen amb una decisió presa amb presses. Un correu que s’obre sense verificar-ne l’origen. Una incidència que es minimitza per no generar alarma. Una informació que no es trasllada a temps a direcció. Una negociació que s’accepta perquè el temps juga en contra. No són errors puntuals, sinó decisions condicionades per la pressió del moment.

Quan una empresa pateix un ciberincident, el rellotge s’accelera de manera immediata. Hi ha dades compromeses, sistemes aturats, clients que esperen resposta i equips interns que miren cap amunt buscant directrius clares. En aquest context, cal decidir amb informació incompleta, pressió externa i conseqüències que no sempre són visibles a curt termini. El problema no és no saber què fer. El problema és haver de decidir massa ràpid.
El risc real no és l’atac en si, sinó com aquest condiciona el marc mental de qui decideix. Sota pressió, les organitzacions tendeixen a simplificar la realitat: es busquen solucions immediates, es redueixen escenaris possibles i s’accepten riscos que, en fred, no s’assumirien mai. L’entorn digital amplifica aquest efecte perquè combina incertesa tècnica amb impacte reputacional, legal i econòmic, tot alhora.
Encara avui, moltes empreses continuen abordant el ciberrisc com una qüestió principalment operativa: sistemes, protocols, proveïdors, còpies de seguretat. Tot això és necessari. Però quan arriba l’incident, la pregunta ja no és tècnica. És de governança. Qui decideix? Amb quina informació real? Amb quins límits definits prèviament? I amb quina responsabilitat assumida abans que passi res?
Decidir sota pressió posa a prova la maduresa real d’una organització. No la que figura als informes ni la que es declara a les polítiques internes, sinó la que es manifesta quan no hi ha temps per consultar manuals ni demanar segones opinions. És en aquests moments quan es fa evident si el risc digital s’ha integrat com una variable estratègica o si s’ha confiat que “ja es resoldrà si passa”.
Hi ha, a més, una dimensió sovint infravalorada: l’impacte intern de les decisions preses en emergència. Quan la direcció opera de manera reactiva, el missatge implícit és clar: la urgència mana més que el criteri. Això erosiona la confiança, tensiona els equips i consolida una cultura de supervivència permanent que, amb el temps, pot ser més perjudicial que qualsevol atac extern.
El debat sobre el risc digital acostuma a girar al voltant de dades, sancions o continuïtat del negoci. Tot això és rellevant. Però potser la pregunta més incòmoda és una altra: està l’empresa preparada per decidir bé quan no té marge? Perquè el veritable risc no és equivocar-se. És no haver pensat abans com es vol decidir quan arribi el moment.
L’entorn digital no admet improvisacions, però tampoc decisions preses des de la por. Entre la tècnica i l’emergència hi ha un espai que sovint queda buit: el del criteri. I és aquí on moltes empreses descobreixen, massa tard, que el seu risc més gran no era tecnològic, sinó estructural.
Quan la pressió arriba, ja no és moment de dissenyar marcs, sinó de posar-los a prova. I no totes les organitzacions estan preparades per fer aquest exercici amb serenitat.