Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il Decreto legislativo 138/2024, recepisce la Direttiva NIS2 e trasferisce la responsabilità della sicurezza informatica all'interno dai reparti tecnici e ai consigli di amministrazione. Gli amministratori devono approvare in modo formale, le strategie di gestione del rischio informatico, partecipare ad attività di formazione obbligatoria e garantire dei flussi informativi continui. L’inadempienza, comporta delle sanzioni pecuniarie, oltre al possibile sospensione dall’incarico, trasformando la cybersicurezza in un rischio personale per le figure apicali aziendali. La compliance digitale, diventa così un prerequisito legale e uno strumento di difesa contro le responsabilità civili e penali.
Il recepimento della Direttiva europea NIS2 attraverso il Decreto legislativo 138/2024 impone una trasformazione radicale nella gestione delle imprese italiane portando la sicurezza informatica fuori dai perimetri tecnici dei data center per collocarla stabilmente nel cuore delle decisioni societarie. Fino a ieri la cybersicurezza veniva considerata una funzione delegata ai responsabili tecnici o ai chief information security officer in una logica di compartimentazione delle responsabilità che escludeva di fatto gli organi di vertice da qualsiasi coinvolgimento operativo. Il nuovo quadro normativo scardina definitivamente questo approccio introducendo un obbligo di supervisione attiva che trasforma la solidità operativa digitale in un dovere fiduciario dell’amministratore.
L’articolo 23 del Decreto stabilisce chiaramente che i Consigli di Amministrazione non possono più limitarsi a ratificare decisioni altrui ma devono approvare formalmente le misure di gestione dei rischi informatici analizzandone criticamente l’impatto e la proporzionalità rispetto alla natura dell’attività aziendale. Questa evoluzione giuridica rende di fatto impraticabile la cosiddetta delega cieca obbligando gli amministratori delegati e i consiglieri a dotarsi di una consapevolezza minima per poter validare le strategie difensive.
Il silenzio informativo su vulnerabilità critiche o su carenze infrastrutturali diventa ora un illecito gestorio che si salda direttamente con il dovere di agire con la diligenza richiesta dalla natura dell’incarico come previsto dall’articolo 2392 del Codice civile. Ogni componente dell’organo amministrativo è chiamato ad assicurare che i flussi informativi tra le strutture tecniche e il vertice aziendale siano strutturati continui e trasparenti al fine di consentire una valutazione costante della postura di sicurezza dell’ente.
L’innovazione più dirompente contenuta nel Decreto riguarda l’introduzione di un obbligo formativo specifico per i membri degli organi di amministrazione e direttivi. La norma non intende trasformare gli amministratori in esperti informatici ma mira a colmare il divario di competenze necessario per esercitare correttamente il potere di indirizzo e di controllo.
La mancata frequenza di percorsi di formazione documentati non rappresenta solo un’irregolarità formale ma costituisce un elemento probatorio fondamentale in caso di contenzioso o di indagine da parte dell’Agenzia per la Cybersicurezza Nazionale. Dal punto di vista della responsabilità per colpa l’assenza di un bagaglio conoscitivo adeguato rende l’amministratore indifendibile quando un incidente critico deriva da scelte strategiche errate o dall’omessa adozione di contromisure necessarie. La formazione funge dunque da scudo necessario per l’esercizio della business judgment rule poiché consente al decisore di dimostrare di aver valutato i rischi con la dovuta istruttoria e consapevolezza tecnica.
Se in sede giudiziale o amministrativa viene accertata l’omissione di investimenti prioritari nonostante la disponibilità di evidenze sul rischio la responsabilità ricade direttamente sulla persona fisica del manager che non ha saputo interpretare la gravità della minaccia. La competenza digitale diventa così un prerequisito soggettivo per l’idoneità alla carica che non può essere più eluso né delegato a figure esterne prive di poteri decisionali autonomi. Il manager che ignora l’impatto dei cyber rischi sulla continuità operativa non sta solo esponendo l’azienda a sanzioni ma sta violando il proprio dovere di corretta amministrazione con conseguenze dirette anche sotto il profilo del risarcimento danni verso la società e i creditori sociali.
L’apparato punitivo delineato dal capo V del Decreto rappresenta un punto di rottura rispetto al passato per la sua capacità di incidere non solo sulle casse dell’ente ma anche sullo status professionale dei vertici. Le sanzioni pecuniarie previste dall’articolo 38 sono elevate e riflettono la gravità della negligenza ma la reale spada di damocle per gli amministratori risiede nella facoltà dell’Agenzia per la Cybersicurezza Nazionale di disporre la sospensione temporanea dall’esercizio di funzioni dirigenziali. Questa misura interdittiva scatta laddove il soggetto non ottemperi alle diffide per la risoluzione di gravi carenze nei sistemi di sicurezza e colpisce direttamente il rappresentante legale o l’amministratore delegato.
Tale previsione trasforma la cybersicurezza nel principale rischio di carriera per il management apicale poiché un provvedimento di sospensione comporta un danno reputazionale irreversibile e l’immediata inibizione dall’esercizio dei poteri gestori. È evidente che il legislatore ha inteso utilizzare la leva dell’interdizione personale come deterrente ultimo per vincere l’inerzia decisionale che spesso caratterizza le organizzazioni di fronte agli investimenti necessari per la protezione digitale.
L’amministratore che riceve una segnalazione di criticità da parte dell’Agenzia non ha più margini di manovra discrezionale sulla priorità dell’intervento ma è tenuto ad attivarsi prontamente sotto pena di perdere il diritto di esercitare la propria carica. Questo regime di responsabilità effettiva pone l’attenzione sulla gestione del budget per la cybersecurity che non deve più essere considerato una variabile residuale soggetta a tagli arbitrari ma una risorsa vincolata agli assetti organizzativi imposti dalla legge. La mancata allocazione di risorse finanziarie per il backup la formazione o il monitoraggio dei sistemi espone il vertice a una responsabilità diretta per omessa vigilanza che prescinde dalla natura accidentale o dolosa dell’attacco subito.
Il collegamento sistematico tra la Direttiva NIS2, il Decreto 138/2024 e il Decreto legislativo 231/2001 ridefinisce i confini della responsabilità degli enti in materia di reati informatici. L’adozione delle misure di gestione del rischio stabilite dal legislatore diventa lo standard di riferimento per valutare l’idoneità dei modelli di organizzazione e gestione necessari per prevenire reati come l’accesso abusivo a sistemi informatici o il danneggiamento di dati.
Un’azienda che non implementa protocolli basilari come l’autenticazione a più fattori o la segmentazione di rete non può in alcun modo sostenere di aver adottato modelli organizzativi efficaci in sede di processo penale. Allo stesso tempo l’obbligo di istituire assetti organizzativi adeguati ai sensi dell’articolo 2086 del Codice civile impone agli amministratori di integrare la sicurezza informatica come colonna portante della struttura operativa aziendale.
L’inadeguatezza delle misure di protezione digitale viene oggi equiparata alla carenza di controlli amministrativi o contabili rendendo il CdA responsabile per i danni derivanti da una governance inefficiente che ha lasciato l’impresa vulnerabile a minacce prevedibili. La sfida per i professionisti del settore e per i legali consiste nel costruire un modello organizzativo 2.0 capace di coniugare le prescrizioni tecniche delle determinazioni dell’Agenzia con le garanzie richieste dal sistema di responsabilità 231.
In tale contesto ogni documento strategico approvato dal Consiglio di Amministrazione non è una mera pratica burocratica ma costituisce un elemento difensivo fondamentale per escludere la colpa dell’amministratore. La protezione dei sistemi informativi diventa dunque parte integrante di un dovere più ampio di tutela del patrimonio sociale e di garanzia della continuità operativa in un mercato digitale dove la vulnerabilità cibernetica si traduce immediatamente in fragilità competitiva e potenziale responsabilità civile e penale per i vertici.
