Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La Direttiva NIS2 introduce nuove norme sulla cyber security e responsabilizza i consiglieri, che devono garantire la gestione dei rischi informatici e possono incorrere in sanzioni se non adempiono ai loro doveri
Solo da poco tempo i giuristi hanno iniziato ad occuparsi delle responsabilità giuridiche in qualche modo riconducibili alla cyber security. I motivi di questo ritardo sono sostanzialmente due. Il primo è che la sicurezza informatica è stata per lungo tempo considerata un argomento tecnico e non giuridico. Il secondo, forse centrale, è che non vi erano norme specifiche e dettagliate sulla cyber security e, quindi, sulle responsabilità giuridiche in capo a determinati soggetti.
Come ho avuto modo di evidenziare in altri precedenti articoli, le cose cambiano drasticamente con il recepimento della Direttiva NIS2 attraverso il Decreto Legislativo 138 del 2024. In particolare l’art.23 stabilisce che i membri del Consiglio di Amministrazione non possono più limitarsi a una funzione di sorveglianza passiva, dovendo approvare formalmente le misure di gestione dei rischi informatici e sovrintendere alla loro attuazione. I consiglieri sono ora esposti a rischi personali in quanto i loro obblighi non sono delegabili.
Se da un lato la classificazione dei soggetti in essenziali e importanti determina il rigore della vigilanza da parte dell’Agenzia per la Cybersicurezza Nazionale, dall’altro il board deve garantire un costante presidio sulla società. Ecco che i membri del board diventano possibili destinatari di sanzioni interdittive accessorie in quanto l’ACN ha il potere di sospendere temporaneamente l’amministratore dall’esercizio delle sue funzioni qualora le carenze non vengano rimosse entro i termini delle diffide.
In tal modo il legislatore ha inteso responsabilizzare il decisore prevedendone la sostituzione o il blocco della operatività quando si dimostri negligente nella gestione. Proprio questa maggiore attenzione verso il vertice fa si che il board debba oggi produrre verbali consiliari idonei a documentare tanto la spesa che la razionalità delle scelte adottate per mitigare le minacce sistemiche.
A differenza che nel passato non ci si può più nascondere dietro il fatto che il Presidente o l’Amministratore Delegato abbiano fornito al CdA informazioni in modo parziale o non chiaro. Anche in tal caso, in virtù del combinato disposto degli articoli 2381 e 2392 del c.c., i consiglieri, infatti, non possono invocare a loro discolpa l’opacità informativa.
Ciascun amministratore, proprio per l’’obbligo di agire in modo informato, ha il potere e il dovere di chiedere agli organi delegati chiarimenti sulla gestione senza attendere passivamente che il punto venga iscritto all’ordine del giorno. I membri del board devono quindi attivarsi se il il Presidente omette di fornire dati sulla registrazione dell’ente nella piattaforma ACN o sullo stato del censimento degli asset, in quanto questa inerzia deve essere intesa da loro come un allarme.
Di fronte ad un sistema , quale è quello creato dalla NIS2, caratterizzato da scadenze che sono pubbliche e requisiti tecnici ben definiti da allegati precisi, è sempre più improbabile che un consigliere possa essere scusato per la sua invocata ignoranza. Per evitare che il silenzio del singolo possa essere interpretato come una sorta di acquiescenza allora è bene lasciare traccia scritta da utilizzare eventualmente in sede di giudizio civile di responsabilità o in occasione di ispezioni amministrative da parte dell’autorità di controllo.
Alla responsabilizzazione dei consiglieri seguono degli strumenti che consentono loro di tutelarsi a fronte di una condotta ostativa o negligente del Presidente. In primo luogo, ai sensi dell’ articolo 2392 c.c., può essere verbalizzato il propri dissenso per staccarsi dalla chiamata di un eventuale responsabilità solidale.
Della verbalizzazione del dissenso deve essere data comunicazione scritta al Presidente del Collegio Sindacale, in particolare quando si riferisce a proposte di differire investimenti critici o di non notificare un incidente significativo. Di fronte ad un perdurare della negligenza, i singoli amministratori possono stimolare l’esercizio dei poteri di vigilanza dei sindaci, i quali possono convocare l’assemblea o il consiglio sostituendosi al vertice inerte.
Nell’ipotesi di mancata predisposizione degli adeguati assetti di cui all’articolo 2086 c.c. , il CdA ha il dovere di procedere alla revoca delle deleghe operative, in quanto ciò integra pienamente la giusta causa di revoca, poiché la resilienza cyber post NIS2 è ormai parte integrante della diligenza professionale richiesta per la gestione dell’impresa.
Attraverso la revoca, ovviamente motivata da carenze documentate di cyber sicurezza, il board si tutela dal punto di vista giuridico – prevenendo azioni di responsabilità promosse dagli azionisti a seguito di danni reputazionali o perdite operative derivanti da attacchi informatici- e garantisce la continuità aziendale.
Nel momento in cui , soprattutto dalla NIS2 in poi, la cyber security diviene essenziale all’interno delle società interessate a tale normativa, aumentano i rischi di coinvolgimento dei membri del CdA sia sotto il profilo dell’art. 40 c.p., che rispetto a quanto previsto dal Decreto Legislativo 231 del 2001.
Quanto alla prima ipotesi, si ricorda che sulla base di quanto statuito dall’art.40 c.p. non impedire un evento che si ha l’obbligo giuridico di impedire equivale a cagionarlo. Questo significa che ogni volta si individui in capo anche al consigliere tale obbligo lo stesso possa incorrere anche in responsabilità penali. Rispetto alla 231, posto che l’ente o l’azienda risponde di un reato commesso dal vertice o dal dipendente – sempre che ciò sia compiuto nel suoi interesse o la stessa ne abbia tratto vantaggio-, è agevole immaginare che i consiglieri possano essere a diverso titolo coinvolti, considerato che quasi tutti i reati previsti nel Decreto hanno necessità di un presidio di sicurezza informatica.
In quest’ottica diviene assai utile che la società si doti di modelli organizzativi, che per il Decreto sono solo facoltativi, in modo da dimostrare non solo sulla carta ma effettivamente che sono stati adottati tutti i protocolli, generali e specifici, idonei ad impedire il compimento dello specifico reato considerato .
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]