Scriveva Italo Calvino in Le città invisibili: «L'inferno dei viventi non è qualcosa che sarà; se ce n'è uno, è quello che è già qui, l'inferno che abitiamo tutti i giorni, che formiamo stando insieme.» La metafora calviniana coglie con sorprendente precisione il cuore della questione cibernetica: la minaccia informatica non è un rischio futuro e astratto, è una realtà che le organizzazioni attraversano quotidianamente, costruita dal groviglio di connessioni, sistemi interdipendenti e vulnerabilità umane che caratterizzano ogni struttura aziendale moderna. Di fronte a questa realtà, il diritto ha risposto con uno strumento europeo di portata storica: la Direttiva UE 2022/2555, nota come NIS 2, recepita nell'ordinamento italiano con il Decreto Legislativo 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre dello stesso anno.
La novità più dirompente introdotta da questo impianto normativo non riguarda la tecnica, ma la governance. Per la prima volta in modo così netto e cogente, la sicurezza informatica viene sottratta alla sua tradizionale collocazione come problema tecnico-operativo e assurge a elemento strutturale della direzione aziendale, con obblighi precisi, non delegabili, posti direttamente in capo al Consiglio di Amministrazione e agli organi direttivi. Come ha chiarito la stessa Agenzia per la Cybersicurezza Nazionale nelle FAQ pubblicate a corredo della Determinazione n. 283727 del 2025, la responsabilità di approvare le misure di sicurezza, di sovrintendere alla loro attuazione e di seguire un'adeguata formazione in materia non può essere trasferita su figure delegate: rimane in capo al vertice. Il CISO, il responsabile IT, il DPO: tutti soggetti la cui attività può costituire supporto operativo, ma non esonero dalla responsabilità di chi governa.
Questo cambio di prospettiva apre un tema di straordinaria rilevanza per la compliance aziendale italiana, poiché si sovrappone e interseca in modo tutt'altro che pacifico con l'altro grande sistema normativo che regola la responsabilità degli enti nel nostro ordinamento: il Decreto Legislativo 8 giugno 2001, n. 231. Il raccordo tra le due discipline non è esplicito nel testo del D.Lgs. 138/2024, che si concentra sui danni subiti dall'azienda a causa di attacchi informatici esterni, e non sulla commissione di reati informatici nell'interesse o a vantaggio dell'ente. Tuttavia, come ha osservato la dottrina più attenta, le misure minime di sicurezza previste dal decreto di recepimento NIS 2 costituiscono oggi un fondamentale parametro di riferimento anche ai fini della redazione e dell'aggiornamento dei Modelli Organizzativi ex D.Lgs. 231/2001, in particolare per la parte speciale dedicata ai delitti informatici di cui all'art. 24-bis.
Il doppio binario normativo: NIS 2 e D.Lgs. 231 a confronto
L'art. 24-bis del D.Lgs. 231/2001, introdotto con la Legge 18 marzo 2008, n. 48 di ratifica della Convenzione di Budapest sul cybercrime e successivamente modificato dalla Legge 28 giugno 2024, n. 90, contempla un catalogo articolato di reati informatici che possono determinare la responsabilità amministrativa dell'ente: dall'accesso abusivo a sistemi informatici o telematici ai sensi dell'art. 615-ter c.p., al danneggiamento di dati e sistemi, dall'intercettazione illecita di comunicazioni informatiche alla frode informatica aggravata, fino all'estorsione informatica riconducibile agli attacchi ransomware. La Legge n. 90 del 2024 ha ulteriormente ampliato e sistematizzato questo catalogo, inserendo fattispecie precedentemente assenti e adeguando le descrizioni delle condotte alla realtà degli attacchi cibernetici contemporanei.
La convergenza con NIS 2 avviene su un piano che potremmo definire di doppia esposizione al rischio. Da un lato, un'azienda che non adotta le misure minime imposte dal D.Lgs. 138/2024 si espone alle sanzioni amministrative previste dallo stesso decreto: per i soggetti essenziali, fino a 10 milioni di euro o al 2% del fatturato globale annuo; per i soggetti importanti, fino a 7 milioni di euro o all'1,4% del fatturato. Dall'altro lato, la medesima azienda che non ha aggiornato il proprio Modello Organizzativo con i protocolli specifici per la prevenzione dei reati informatici rimane esposta alla responsabilità ex D.Lgs. 231/2001 qualora un reato informatico venga commesso nel suo interesse o a suo vantaggio da soggetti apicali o sottoposti. Le due esposizioni non si escludono: si sommano, creando un rischio complessivo che solo una governance integrata e consapevole può governare con efficacia.
Vale qui richiamare il monito della tradizione romanistica, espresso nel brocardo «Vigilantibus, non dormientibus, iura subveniunt»: il diritto soccorre chi è vigile, non chi dorme. Il principio trova piena applicazione nell'attuale scenario normativo: l'inerzia degli organi apicali, la mancata formazione del board in materia di cybersicurezza, l'assenza di una mappatura aggiornata dei rischi informatici non sono più posture tollerabili alla luce della disciplina vigente.
Un profilo di criticità operativa che merita attenzione specifica riguarda la non delegabilità della responsabilità di governance. Il D.Lgs. 138/2024, all'art. 23, stabilisce con chiarezza che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti ad approvare le modalità di implementazione delle misure di gestione dei rischi, a sovrintendere alla loro attuazione, a seguire una formazione adeguata e a promuovere analoghi percorsi formativi per il personale. L'ACN ha chiarito, nelle proprie FAQ, che questa responsabilità non è delegabile nella sua sostanza: si possono delegare le attività operative di attuazione, ma non la responsabilità finale. Il componente del CdA che non si forma, che non partecipa alle delibere in materia di sicurezza informatica, che non approva formalmente le politiche di cybersecurity, risponde di questa omissione con una misura interdittiva dalla funzione, oltre alle responsabilità patrimoniali che possono derivare dal combinato disposto delle norme richiamate.
La giurisprudenza più recente: orientamenti operativi per le imprese
Il raccordo tra sicurezza informatica e responsabilità degli enti è al centro di tre importanti pronunce della Corte di Cassazione degli ultimi mesi, che delineano con crescente precisione i confini della responsabilità e le condizioni di efficacia esimente del Modello Organizzativo.
La Corte di Cassazione, Sezione VI Penale, con la sentenza n. 14343 del 26 febbraio 2025 ha affrontato il tema della responsabilità amministrativa degli enti nei gruppi di imprese e nelle aggregazioni societarie, affermando un principio fondamentale: la mera appartenenza a un raggruppamento temporaneo di imprese non è sufficiente a fondare la responsabilità dell'ente ex D.Lgs. 231/2001. È necessario accertare in concreto la sussistenza di un interesse o di un vantaggio direttamente riferibile alla persona giuridica chiamata a rispondere, distinguendolo da quello di tutte le altre società partecipanti all'aggregazione. La pronuncia ha rilevanza diretta per le aziende che operano in filiere produttive complesse o in raggruppamenti di imprese nell'ambito di commesse pubbliche o private: il fatto che un partner della filiera commetta un reato informatico nell'interesse del gruppo non implica automaticamente la responsabilità di tutti i soggetti associati, ma impone comunque una verifica rigorosa dei flussi di vantaggio e delle posizioni soggettive rilevanti ai sensi dell'art. 5 del Decreto 231. Questa pronuncia sollecita un aggiornamento dei Modelli Organizzativi che sappia considerare i rischi derivanti dall'operare in strutture aggregative, spesso non adeguatamente presidiati dalle parti speciali tradizionali.
La Corte di Cassazione, con la sentenza n. 22017 depositata l'11 giugno 2025, è intervenuta nuovamente sui confini del reato di accesso abusivo a sistema informatico disciplinato dall'art. 615-ter c.p., reato cardine del catalogo dell'art. 24-bis D.Lgs. 231/2001. La vicenda riguardava l'accesso ai sistemi informatici della Procura di Terni da parte di un pubblico ufficiale che aveva operato al di fuori delle finalità per le quali era stato abilitato. La Corte ha confermato che la rilevanza penale della condotta non dipende solo dall'assenza di credenziali di accesso, ma anche dal compimento di operazioni ontologicamente diverse da quelle per le quali l'accesso era stato autorizzato. Questo principio ha immediate ricadute pratiche per la redazione dei Modelli Organizzativi: le aziende devono strutturare protocolli di gestione degli accessi ai sistemi informatici che non si limitino a prevedere l'autenticazione, ma che definiscano con precisione i perimetri operativi di ciascun utente, registrino le attività svolte e prevedano meccanismi di alert in caso di azioni anomale. Una policy di Identity and Access Management documentata e integrata nel Modello 231 diventa, alla luce di questa pronuncia, uno strumento di prevenzione del reato e, al contempo, prova dell'efficacia del sistema di controllo interno.
La Corte di Cassazione, Sezione II Penale, con la sentenza n. 14835 del 15 aprile 2025, ha confermato la validità della sanzione irrogata a un ente che aveva beneficiato di una condotta truffaldina posta in essere nel suo interesse, ribadendo che l'adozione di un Modello Organizzativo idoneo costituisce causa di esclusione della responsabilità dell'ente solo quando il modello sia effettivamente attuato, aggiornato e presidiato da un Organismo di Vigilanza dotato di reali poteri di iniziativa e controllo. La Corte ha ribadito che la mera adozione formale del documento non produce effetti esimenti: ciò che conta è la concreta capacità del sistema di prevenire i reati. Applicato al dominio della cybersicurezza, questo orientamento impone che la parte speciale sui reati informatici del Modello 231 non sia un testo generico, ma un sistema articolato di protocolli operativi concreti, verificati periodicamente dall'OdV, aggiornati in base all'evoluzione del rischio cyber e raccordati con le misure tecniche e organizzative imposte dal D.Lgs. 138/2024.
Sul piano pratico, il D.Lgs. 138/2024 introduce obblighi di notifica degli incidenti significativi al CSIRT Italia che entrano a pieno regime dal gennaio del corrente anno: la notifica preliminare deve avvenire entro 24 ore dal momento in cui il soggetto essenziale o importante viene a conoscenza dell'incidente; la notifica completa deve seguire entro 72 ore. Questo regime non solo impone un sistema di incident response strutturato e documentato, ma produce effetti significativi anche sul piano della responsabilità ex D.Lgs. 231/2001: la mancata o tardiva notifica può configurare una violazione degli obblighi di sicurezza nazionale cibernetica, reato già incluso nel catalogo dell'art. 24-bis D.Lgs. 231/2001. L'Organismo di Vigilanza deve quindi essere coinvolto nella definizione delle procedure di gestione degli incidenti e nei flussi informativi che li riguardano, ricevendo report tempestivi sugli eventi occorsi e sulle misure adottate.
Un ulteriore profilo critico riguarda la sicurezza della supply chain. L'art. 24 del D.Lgs. 138/2024 impone ai soggetti obbligati di considerare i rischi derivanti dai propri fornitori e prestatori di servizi: un attacco che penetra nell'organizzazione attraverso un provider terzo non esonera il soggetto essenziale o importante dai propri obblighi di sicurezza. Questa previsione richiede un aggiornamento profondo dei Modelli Organizzativi, che devono estendere la mappatura del rischio informatico all'intera catena di fornitura, prevedere clausole contrattuali specifiche con i fornitori strategici e istituire meccanismi di monitoraggio e audit periodici. L'approccio puramente perimetrale alla sicurezza, già inadeguato sul piano tecnico, diventa illegittimo sul piano normativo: il confine dell'obbligo di sicurezza aziendale si estende ben oltre i muri fisici e digitali dell'azienda stessa.
La formazione degli organi apicali, espressamente richiesta dall'art. 23 del D.Lgs. 138/2024, pone una sfida culturale prima ancora che giuridica. I componenti del Consiglio di Amministrazione e dei vertici direttivi non devono trasformarsi in esperti di cybersecurity, ma devono acquisire la capacità di comprendere i rischi che vengono loro sottoposti, di valutare l'adeguatezza delle misure proposte e di approvare in modo consapevole le politiche di sicurezza. L'ACN può richiedere evidenza documentale di riunioni consiliari dedicate alla cybersecurity, delibere formali di approvazione del budget per la sicurezza informatica, attestazioni di partecipazione a percorsi formativi specifici. L'assenza di questa documentazione espone il singolo amministratore a responsabilità personali e l'azienda alle sanzioni interdittive previste dal D.Lgs. 138/2024, con la possibilità che le stesse conducano a una misura interdittiva dalla funzione per i soggetti inadempienti.
Il raccordo tra i due sistemi normativi produce anche un effetto virtuoso che le imprese più avvedute stanno già sfruttando: le aziende che hanno strutturato un Modello Organizzativo ex D.Lgs. 231/2001 con attenzione alle parti speciali sui reati informatici dispongono di una base solida su cui costruire la compliance NIS 2. I risk assessment già condotti, i flussi informativi verso l'OdV, le procedure documentate di gestione degli accessi e degli incidenti costituiscono elementi che, opportunamente aggiornati e arricchiti, possono soddisfare in larga misura gli obblighi imposti dal D.Lgs. 138/2024. L'integrazione non è automatica né priva di complessità, ma è certamente più efficiente della costruzione da zero di un sistema parallelo. La sfida operativa consiste nel far dialogare i due framework in modo organico, evitando duplicazioni e identificando le sinergie.
L'anno in corso segna la transizione da una fase di accompagnamento a una fase di piena operatività: a partire dall'ottobre corrente, l'ACN potrà avviare le attività ispettive sui soggetti NIS 2, verificando non solo la documentazione formale ma l'effettiva implementazione delle misure di sicurezza. Le aziende che non hanno ancora avviato un processo strutturato di adeguamento si trovano in una situazione di esposizione immediata. Non vi è più tempo per attendere ulteriori chiarimenti normativi: il quadro è sufficientemente definito per agire, e l'inerzia ha un costo giuridico ed economico che cresce con il passare dei mesi.
Redazione - Staff Studio Legale MP
