A quattro anni dalla pubblicazione in Gazzetta Ufficiale della Direttiva (UE) 2022/2555 per un livello comune elevato di cibersicurezza nell’Unione (c.d. Direttiva NIS2), attuata in Italia con il D.lgs. 138/2024 (c.d. Decreto NIS), nonché del Regolamento (UE) 2022/2554 (c.d. Regolamento DORA) in materia di resilienza operativa digitale per il settore finanziario, è ormai evidente come, per un numero sempre maggiore di imprese, la cybersecurity rappresenti oggi un presidio di governance e organizzazione aziendale che coinvolge direttamente gli organi amministrativi, i processi interni e l’intera catena di approvvigionamento.
Il nuovo quadro normativo europeo impone infatti ai soggetti vigilati – tra cui numerose imprese attive nei settori manifatturiero, tecnologico e finanziario – l’adozione di misure tecniche, organizzative e procedurali adeguate e proporzionate alla gestione dei rischi informatici. Parallelamente, particolare attenzione viene richiesta anche ai rapporti con fornitori e partner strategici, che devono essere coinvolti, anche mediante specifici strumenti contrattuali, nell’adozione di standard elevati di sicurezza e prevenzione del rischio cyber.
In questo contesto, assume ulteriore centralità anche il D.lgs. 231/2001, i cui modelli organizzativi richiedono oggi una revisione alla luce dell’evoluzione normativa in materia di sicurezza informatica e protezione dei dati.
L’art. 24-bis del D.lgs. 231/2001, rubricato “Delitti informatici e trattamento illecito di dati”, include infatti tra i reati presupposto numerose fattispecie connesse all’utilizzo illecito delle tecnologie informatiche, quali, a titolo esemplificativo:
- l’accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.);
- la detenzione, diffusione o installazione abusiva di codici, credenziali o strumenti idonei all’accesso a sistemi informatici (art. 615-quater c.p.);
- il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.).
Secondo il consolidato orientamento giurisprudenziale, la responsabilità dell’ente non deriva esclusivamente dalla commissione del reato da parte di soggetti apicali o dipendenti, ma può fondarsi anche su un deficit organizzativo, ossia sulla cosiddetta “colpa di organizzazione” (Cass. pen. n. 23401/2022). Per andare esente da responsabilità, l’ente è pertanto chiamato a dimostrare di aver adottato ed efficacemente attuato un Modello di Organizzazione, Gestione e Controllo (MOG) concretamente idoneo a prevenire la commissione degli illeciti.
Alla luce di tale evoluzione normativa e giurisprudenziale, appare sempre più necessario adottare un approccio di compliance integrata, capace di coordinare gli obblighi di cybersecurity introdotti dalla normativa europea con i presidi di controllo interno previsti dal D.lgs. 231/2001.
Il rischio IT non può più essere considerato un tema confinato alla funzione informatica aziendale, ma deve essere riconosciuto come un elemento strutturale della governance d’impresa, rilevante ai fini della continuità operativa, della gestione del rischio e della responsabilità degli organi societari.