Apri Partita Iva

Impresa

Cybersecurity, anche gli amministratori d’impresa responsabili di attacchi informatici: i rischi e come tutelarsi

Dall'intelligenza artificiale nei processi aziendali alle regole per i backup. Tutto quello che gli amministratori devono sapere per tutelare la sicurezza informatica e per evitare di rispondere - anche penalmente - degli attacchi informatici subiti.

di Roberto Rais

Adv

cybersicurezza attacchi informatici

Ignorare un alert di sicurezza, non stanziare budget per aggiornare i sistemi, ricevere la segnalazione di una vulnerabilità e non darle seguito: in questi casi, le omissioni in materia di cybersecurity smettono di essere un problema solo tecnico e diventano un’esposizione diretta per gli amministratori d’impresa, sul piano civile e, nei casi più gravi, su quello penale.

A mettere in fila i rischi è, tra gli altri, il documento Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance dell’impresa, pubblicato a maggio 2026 dal Consiglio nazionale dei dottori commercialisti ed esperti contabili (Cndcec) in collaborazione con la Fondazione nazionale commercialisti (Fnc). Lo studio analizza le intersezioni tra sicurezza informatica e responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, ed è a tutti gli effetti un riferimento operativo sia per i commercialisti che assistono le imprese sia per gli organi di governance che devono fare i conti con un panorama normativo in rapida evoluzione.

revolut business

Cybersecurity come rischio d’impresa: cosa dice la legge

Il decreto legislativo 231/2001 disciplina la responsabilità amministrativa delle persone giuridiche per reati commessi nel loro interesse o vantaggio da soggetti apicali o dipendenti. Dal 2008, con la legge n. 48, i reati informatici rientrano tra i cosiddetti reati presupposto. Ovvero, se un reato informatico è commesso a vantaggio dell’ente e quest’ultimo non aveva adottato un adeguato Modello di organizzazione, gestione e controllo (Mogc), la società può essere sanzionata con pene pecuniarie fino a 1.549.000 euro e, nei casi più gravi, con misure interdittive che ne paralizzano di fatto l’operatività.

La legge n. 90/2024 sulla cybersicurezza ha inasprito ulteriormente questo quadro ed è stata introdotta la nuova fattispecie di estorsione mediante reati informatici (ransomware), con sanzioni che possono riguardare anche le misure interdittive, per almeno due anni.

Il documento del Cndcec chiarisce inoltre che non ci sono solo le imprese tecnologiche nel mirino. Qualunque uso improprio di un sistema informatico compiuto da dirigenti o dipendenti nell’interesse o a vantaggio dell’ente può integrare profili di responsabilità ex 231 e questo vale per l’accesso abusivo a sistemi di terzi, per la falsificazione di documenti informatici, per la sottrazione o la manomissione di dati.

wallester business

Attacchi cyber: quando l’amministratore risponde penalmente

La questione più delicata riguarda la responsabilità personale degli amministratori. La giurisprudenza della Cassazione è chiara: la posizione formale non basta per fondare una condanna, poiché deve essere dimostrato un contributo causale consapevole, attivo od omissivo, alla realizzazione dell’illecito.

Il punto critico è esattamente quello dell’ignoranza della consapevolezza. Se l’amministratore ha ricevuto segnalazioni formali – dal chief information security officer (Ciso), dal data protection officer (Dpo), dall’organismo di vigilanza – e non ha dato seguito, quell’omissione può trasformare una violazione amministrativa in un’ipotesi di reato. A dirlo, tra le altre, è la sentenza della Cassazione penale n. 35031 del maggio 2025, che ha introdotto il concetto di macroscopica illegalità: quando l’illiceità di una situazione è così evidente da non poter credibilmente sostenere di non essersene accorti, la responsabilità dell’amministratore è difficilmente eludibile.

Cosa può configurare questo livello di evidenza, in materia di protezione dei dati? Il documento Cndcec e la giurisprudenza citata da ICT security magazine indicano diversi casi come database pubblicamente accessibili senza protezione, trattamento di dati sanitari senza cifratura, assenza totale di sistemi di log e monitoraggio, vulnerabilità note non corrette per mesi.

Leggi pure: Crisi da sovraindebitamento, 10 mln di italiani colpiti: “Ecco come liberarsi dei debiti”
wallester business

I rischi reputazionali degli attacchi informatici

Accanto alle sanzioni economiche e ai rischi penali, i documenti dedicano attenzione anche alla dimensione reputazionale degli incidenti informatici, un profilo che le imprese tendono a sottovalutare rispetto ai costi diretti di un attacco.

Marco Aurelio Cutrufo

“Il danno reputazionale non dipende soltanto dalla gravità tecnica dell’incidente, ma soprattutto dal modo in cui viene gestito – spiega a Partitaiva.it Marco Aurelio Cutrufo, esperto di web reputation management –. Questo vale ancora di più in presenza di un data breach, anche quando non appare immediatamente critico. Clienti, fornitori e investitori reagiscono all’evento, ma la loro reazione e la memoria che ne conserveranno nel tempo dipendono dalla trasparenza dell’azienda e dall’impegno concreto nel tutelare gli interessi degli utenti. Tra questi interessi c’è anche quello di essere informati in modo chiaro, onesto e rassicurante”.

Il rapporto Clusit sulla cybersecurity 2026, citato nel documento Cndcec, registra nel 2025 un incremento degli incidenti informatici del 48,7% rispetto all’anno precedente, con 5.265 eventi totali, l’84% dei quali ad alto impatto. Tra i settori più colpiti figurano la pubblica amministrazione, il manifatturiero e i trasporti, ma nessun comparto è immune.

“Negli ultimi due anni ho visto incidenti gestiti con lucidità, con la capacità di limitare i danni che altrimenti sarebbero rimasti aperti nel tempo.osserva lo stesso esperto –. Ho visto anche aziende tentare di ‘insabbiare’ l’imprevisto, scegliendo una strada che nella reputation economy non premia e che, anzi, rischia di condannare nel lungo periodo. La differenza la fa la preparazione: avere mappato i rischi prima che si manifestino, disporre di procedure interne ed esterne, sapere chi deve fare cosa e quando. È questo che può distinguere un danno contenuto da una crisi subita senza controllo”.

blank business

Organi di controllo nelle imprese: cosa verificare per la tutela della sicurezza informatica

Il documento del Cndcec è poi particolarmente esplicito sui compiti degli organi di controllo. Il collegio sindacale e l’organismo di vigilanza non possono infatti limitarsi a verificare l’esistenza formale delle misure di sicurezza, ma devono accertarne l’effettiva implementazione e il funzionamento. Un controllo previsto ma non realmente attuato non solo è inidoneo a prevenire il rischio, ma può aggravare la posizione dell’ente in sede processuale (sul punto, la Cassazione penale n. 30039/2025).

In concreto, gli organi di controllo dovrebbero verificare che:

  • le credenziali di accesso vengano revocate tempestivamente alla cessazione del rapporto di lavoro; 
  • i backup siano sottoposti non solo a verifica di esecuzione, ma a test di ripristino completo; 
  • l’autenticazione a più fattori sia attiva almeno per gli accessi amministrativi e da remoto; 
  • le patch di sicurezza, specie quelle riferite a vulnerabilità critiche, vengano applicate con tempestività; 
  • i flussi informativi verso l’organismo di vigilanza includano gli esiti delle verifiche di sicurezza e la segnalazione di incidenti informatici, anche minori. 

Il documento dedica ampio spazio anche al rischio nella catena di fornitura (supply chain risk): nelle organizzazioni moderne, i sistemi informatici sono profondamente interconnessi con quelli di fornitori, partner e subappaltatori. Il Modello 231 deve quindi estendersi a disciplinare anche i requisiti minimi di sicurezza imposti ai fornitori che accedono ai sistemi o ai dati dell’ente, includendo obblighi di notifica tempestiva degli incidenti e diritti di audit periodico.

blank business

I rischi dell’intelligenza artificiale nei processi aziendali: cosa sapere

Il documento affronta infine anche il tema, ancora in fase di definizione normativa, dei rischi connessi all’uso dell’intelligenza artificiale nei processi aziendali. L’adozione di sistemi di AI introduce tre aree di rischio rilevanti ai fini del decreto 231: la possibile commissione di reati informatici facilitata dall’automazione; l’alterazione dei processi decisionali in aree sensibili (procedure di gara, predisposizione di informazioni finanziarie); il trattamento di dati personali non conforme al Regolamento (UE) 2016/679 (Gdpr).

Il quadro normativo italiano si è arricchito a settembre 2025 con la legge n. 132, primo intervento organico in materia di AI, che impone principi di trasparenza, tracciabilità e supervisione umana. Il documento Cndcec indica che i presidi di governance dell’AI devono essere integrati all’interno del Modello 231, non trattati come adempimento separato.

“Il rischio legato all’intelligenza artificiale non è futuro: è già entrato nella cybersecurity quotidiana delle imprese – conclude l’esperto –. Modelli come Claude Mythos Preview mostrano che la capacità di individuare vulnerabilità, automatizzare analisi e accelerare potenziali attacchi sta crescendo a una velocità che le aziende non possono più trattare come un tema sperimentale. Il punto non è demonizzare l’AI, ma ripensare il modo stesso in cui costruiamo i sistemi: quali dati devono davvero essere raggiungibili dalla rete? Quali informazioni critiche devono restare isolate? Quali processi devono poter funzionare anche in modalità disconnessa o indipendente? In uno scenario in cui strumenti sempre più potenti possono cercare, correlare e sfruttare debolezze su scala, tutto ciò che è esposto online resterà strutturalmente più fragile. La governance dell’AI, quindi, non può limitarsi a policy e informative: deve diventare progettazione tecnica, organizzativa e reputazionale del rischio”.

Autore
Foto dell'autore

Roberto Rais

Giornalista e autore

Giornalista e autore, consulente e coordinatore editoriale, collabora con agenzie di stampe e società editoriali italiane ed estere specializzate in economia e finanza, gestione di impresa e organizzazione aziendale.

Lascia un commento

Continua a leggere

cannabis light legale in ItaliaCannabis light, con il decreto sicurezza a rischio 30 mila lavoratori: cosa cambia e perché le imprese fuggono all’estero ospitalità diffusaComprare case a 1 euro e metterle a reddito: come funziona l’ospitalità diffusa e i fondi disponibili Nuovi incentivi per la sicurezza sul lavoro alle impreseSicurezza sul lavoro, arrivano gli incentivi per le imprese virtuose: quali sono costo del lavoro in italiaCosto del lavoro in aumento, quanto pesa un dipendente alle imprese? Gli aumenti degli stipendi nel 2026 Decreto Omnibus 2026, le novità annunciate dal viceministro LeoDecreto Omnibus 2026: arriva l’iperammortamento senza limiti e cambia la tassazione di rendite e guadagni migliori imprese welfare aziendale Italia 2026Far crescere il fatturato grazie al benessere dei dipendenti: le migliori imprese per welfare aziendale in Italia 2026 imprese agricole fondi 2026Agroalimentare e zootecnia, in Italia export record ma crescono le incertezze: bandi attivi e nuove tendenze come aprire una distilleria in italiaDistillerie in Italia, fatturati milionari e in continua crescita: come aprire un’attività e i segreti di Mazzetti d’Altavilla incentivo coesione 500 euro impreseBonus imprese in crisi, arrivano le linee guida: quali sono, a chi spettano e come ottenere sconti su sanzioni e IVA

Iscriviti alla Newsletter

Il meglio delle notizie di Partitaiva.it, per ricevere sempre le novità e i consigli su fisco, tasse, lavoro, economia, fintech e molto altro.

Abilita JavaScript nel browser per completare questo modulo.