Studio Dott.ssa Marisa Cecoli

Il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC), insieme alla Fondazione Nazionale dei Commercialisti (FNC), ha recentemente pubblicato un importante documento di ricerca intitolato “Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa”.



Il documento, nato dal lavoro della Commissione di studio “Compliance e modelli organizzativi d.lgs. 231”, si propone di analizzare come la trasformazione digitale stia modificando radicalmente i sistemi di controllo interno delle aziende. 

Oggi il rischio informatico non può più essere relegato a una mera questione tecnica gestita esclusivamente dai reparti IT. Al contrario, l'evoluzione delle minacce cibernetiche e il progressivo inasprimento del quadro normativo impongono di considerare la sicurezza digitale come una variabile strategica fondamentale della governance societaria, intrinsecamente connessa alla responsabilità amministrativa degli enti ai sensi del d.lgs. 231/2001. 

Lo scenario delle minacce e l'evoluzione dei reati presupposto

La pervasività della digitalizzazione ha facilitato la nascita di nuove e sofisticate forme di criminalità informatica. 

I dati statistici evidenziano l'urgenza del fenomeno: il "Rapporto Clusit sulla Cybersecurity 2026" ha registrato nel 2025 un incremento degli incidenti informatici pari al 48,7% rispetto all'anno precedente, raggiungendo la cifra record di 5.265 eventi complessivi, di cui ben l'84% classificato ad alto impatto. 

Gli attacchi si riversano in modo trasversale su tutti i settori produttivi, colpendo con particolare veemenza la Pubblica Amministrazione, il comparto manifatturiero e i trasporti. Tecniche come il DDoS (Distributed Denial-of-Service), finalizzato a saturare i siti web per impedirne l'accesso, e la diffusione di malware volti a sottrarre dati o bloccare sistemi sono ormai all'ordine del giorno. 

Il documento CNDCEC ricorda casi internazionali emblematici che dimostrano la gravità degli impatti operativi ed economici: dal blocco della catena logistica subito da Saint-Gobain a causa del malware NotPetya nel 2017, fino agli attacchi ransomware che hanno causato massicce esfiltrazioni di dati sensibili a danno di Bird Construction nel 2019 e di Bouygues Construction nel 2020. 

Dal punto di vista giuridico, l'introduzione dell'art. 24-bis nel d.lgs. 231/2001 ha formalmente inserito i reati informatici (o "computer crimes") nel novero dei reati presupposto della responsabilità degli enti. Tali illeciti mirano a tutelare tre macro-aree specifiche: 

• la riservatezza dei dati e delle comunicazioni (punendo ad esempio l'accesso abusivo ex art. 615-ter c.p.);
• l'integrità dei sistemi e dei programmi (artt. 635-bis e successivi c.p.);
• e la fede pubblica (come la falsità nel documento informatico o le frodi informatiche). 

La recente approvazione della legge n. 90/2024 ("Legge sulla Cybersecurity") ha introdotto un forte inasprimento sanzionatorio per questi reati. Per quanto riguarda l'impatto sul Modello 231, la riforma ha notevolmente innalzato le sanzioni pecuniarie previste dal primo comma dell'art. 24-bis, portando la cornice edittale da una quota precedente di 100-200 quote a un intervallo attuale compreso tra 500 e 700 quote. Inoltre, è stato introdotto il nuovo comma 1-bis che sanziona la fattispecie di estorsione mediante reati informatici (art. 629, comma 3, c.p.) con pene pecuniarie da 300 a 800 quote e l'applicazione di sanzioni interdittive della durata non inferiore a due anni.
Questo ampliamento dimostra che anche le aziende non appartenenti al settore tecnologico sono oggi fortemente esposte, poiché qualunque uso illecito di sistemi informatici commesso da dipendenti o dirigenti nell'interesse o a vantaggio dell'ente può far scattare la responsabilità della società. 

La "colpa di organizzazione" e i rischi dell'Intelligenza Artificiale

Il fulcro del sistema 231 risiede nel principio della «prevenzione mediante organizzazione»: la responsabilità dell'ente sorge se l'illecito è collegabile a un deficit organizzativo, ovvero alla mancata adozione o all'inefficace attuazione di idonei presidi preventivi. 

La giurisprudenza di legittimità ha chiarito che l'adeguatezza del Modello non deve essere una mera formalità cartacea, ma va misurata sulla sua reale capacità di orientare i comportamenti aziendali. 

L'integrazione nei processi aziendali dei sistemi di Intelligenza Artificiale (AI) estende ulteriormente il concetto di "colpa di organizzazione".

 Il quadro di riferimento europeo è oggi delineato dal Regolamento UE 2024/1689 (AI Act), incentrato su un approccio basato sul rischio che impone stringenti obblighi di governance per i sistemi classificati ad alto rischio. In Italia, questo quadro è integrato dalla legge 23 settembre 2025, n. 132, che introduce disposizioni organiche in materia di AI valorizzando i principi di trasparenza, supervisione umana e cybersicurezza. 

I profili di rischio 231 legati all'utilizzo dell'AI si sviluppano su tre direttrici essenziali:

• rischi diretti di commissione di reati informatici: l'automazione e l'apprendimento algoritmico possono essere sfruttati per ottimizzare accessi abusivi o danneggiamenti di dati, amplificando la scalabilità dell'azione illecita;
• rischi nei rapporti con la PA e reati societari: l'adozione di sistemi decisionali automatizzati (es. selezione fornitori, gare, redazione di dati finanziari) può essere inficiata da bias algoritmici o manipolazioni di input, intaccando la veridicità delle comunicazioni sociali o alterando la trasparenza verso la Pubblica Amministrazione;
• rischi di trattamento illecito dei dati: l'utilizzo di grandi volumi di dati può violare i principi di minimizzazione e liceità sanciti dal GDPR. L'opacità dei sistemi algoritmici (la cosiddetta black box) rischia di compromettere la tracciabilità ex-post delle decisioni, rendendo difficile per l'azienda dimostrare l'efficace funzionamento del proprio Modello 231. 

Integrazione metodologica: adeguati assetti, mappatura dei rischi e supply chain

Sotto il profilo operativo, la gestione del rischio cyber deve innestarsi nel quadro degli "adeguati assetti organizzativi, amministrativi e contabili" richiesti dagli articoli 2086, 2381 e 2403 del codice civile. 

Il Modello 231 costituisce uno degli elementi cardine per qualificare l'adeguatezza di tali assetti. 

L'integrazione richiede l'uso del Risk Appetite Framework (RAF) per stabilire quali vulnerabilità informatiche siano tollerabili e quali necessitino di mitigazione immediata o trasferimento del rischio (es. tramite polizze cyber o contratti di outsourcing). 

Data la rapidità evolutiva del cybercrime, la valutazione non può basarsi solo su analisi storiche, ma deve assumere una dimensione predittiva (forward-looking) e implementare un processo di continuous risk assessment (CRA) con revisione almeno annuale. 

La mappatura delle aree sensibili deve partire da un inventario rigoroso non solo degli asset hardware e software, ma anche dei dati e degli intangibles strategici (know-how, reputazione, affidabilità ESG). 

I processi aziendali considerati maggiormente a rischio includono la gestione delle identità digitali e dei privilegi di accesso, le comunicazioni elettroniche (esposte a phishing e Business E-mail Compromise), il lavoro da remoto e i sistemi di conservazione e backup dei dati (che devono prevedere architetture immutabili contro i ransomware). 

Un'attenzione specifica va dedicata al rischio della catena di fornitura (supply chain risk).

Poiché i sistemi aziendali sono strettamente interconnessi con partner e subappaltatori, i terzi possono trasformarsi in vettori di attacco (come dimostrato dall'episodio che ha coinvolto un fornitore di e-commerce della nota catena Harrods).
Il Modello 231 deve quindi imporre requisiti contrattuali minimi di sicurezza ai fornitori e condurre audit periodici. 

Questo approccio si raccorda direttamente con la Direttiva NIS2, il cui decreto di recepimento ha esplicitamente modificato l'art. 24-bis del d.lgs. 231/2001, introducendo nel catalogo dei reati presupposto l'omessa o falsa comunicazione di dati all'Agenzia per la Cybersicurezza Nazionale (ACN). 

Strumenti di controllo: codice etico, protocolli operativi e Whistleblowing

Il "fattore umano" rappresenta la principale superficie d'attacco per la sicurezza informatica aziendale. Comportamenti imprudenti, come la condivisione di credenziali o l'apertura di allegati malevoli, sono all'origine di gran parte delle violazioni. 

Per questa ragione, il Codice Etico deve sancire espressamente i principi CIA (Confidentiality, Integrity, Availability) come valori cardine dell'organizzazione. 

Al contempo, il Modello 231 deve declinare le regole sanzionabili e i divieti procedurali attraverso specifici protocolli operativi della Parte Speciale. 

I protocolli essenziali individuati dalle best practice includono:

• Identity and Access Management (IAM): regola l'assegnazione e la revoca dei privilegi di accesso informatico basandosi sul principio del minimo privilegio e sulla segregazione dei compiti;
• gestione degli incidenti di sicurezza: definisce le procedure di escalation interna, la conservazione delle prove digitali (digital forensics) e il rispetto dei tempi di notifica alle autorità (entro 72 ore al Garante Privacy e entro 24 ore al CSIRT nazionale per i soggetti NIS2);
• policy per dispositivi e lavoro da remoto: disciplina l'uso dei dispositivi personali (BYOD) e l'obbligo di connessioni protette via VPN;
• integrazione del Whistleblowing: in conformità al d.lgs. 24/2023 e alle Linee Guida ANAC n. 1/2025, i canali di segnalazione protetti devono consentire ai dipendenti di far emergere condotte od omissioni gravi in materia di sicurezza informatica, come l'elusione sistematica dei controlli di accesso o l'occultamento di falle critiche. 

Piani di formazione e sensibilizzazione del personale

L'efficacia esimente del Modello 231 non può prescindere da un'attività formativa concreta, differenziata in base al ruolo e al livello di responsabilità dei destinatari. 

Il piano formativo deve strutturarsi su tre livelli principali:

1. Livello Base (tutto il personale): incentrato sull'igiene digitale, la gestione sicura delle password, l'autenticazione a più fattori (MFA) e il riconoscimento delle tecniche di ingegneria sociale (phishing, smishing, vishing, BEC);
2. Livello intermedio (funzioni tecniche e di controllo): dedicato a responsabili IT, amministratori di sistema e compliance specialist, focalizzato su hardening dei sistemi, patch management, log management e procedure operative di incident response;
3. Livello apicale (CdA, Dirigenti e OdV): volto a fornire consapevolezza sulle responsabilità personali (tra cui l'obbligo formativo diretto stabilito dall'art. 20 della Direttiva NIS2), l'approvazione dei piani di rischio informatico e l'impatto dei nuovi sistemi di intelligenza artificiale. 

La metodologia di erogazione deve combinare moduli interattivi in e-learning con simulazioni pratiche di phishing eseguite con cadenza almeno trimestrale (anche mediante l'uso di tecniche avanzate come i deepfake). 

Annualmente devono essere previste esercitazioni di simulazione di scenari di crisi (tabletop exercise) coinvolgendo i vertici, le funzioni legali, i CISO e l'OdV. Il rispetto degli obblighi formativi deve essere strettamente monitorato tramite precisi KPI (es. tasso di completamento al 100%, click-rate nei test di phishing inferiore al 5%). 

La mancata partecipazione ingiustificata o l'omessa segnalazione di anomalie deve essere sanzionata attraverso il sistema disciplinare del Modello 231. 

Tutta la documentazione del programma formativo va conservata in formato digitale protetto per un periodo non inferiore a dieci anni. 

Il ruolo del monitoraggio continuo e dell'Organismo di Vigilanza "aumentato"

Le buone prassi internazionali, a partire dalla famiglia di standard ISO/IEC 27000, indicano che la tenuta del perimetro informatico richiede un monitoraggio dinamico fondato sulla sorveglianza continuativa e su verifiche periodiche. 

A livello tecnico, l'adozione di piattaforme SIEM (Security Information and Event Management) correlate all'attività di un SOC (Security Operations Center) consente di individuare in tempo reale anomalie nei log di sistema. A questo si affiancano soluzioni EDR/XDR per gli endpoint, scansioni ricorrenti di vulnerability assessment e campagne annuali di penetration testing. 

Sotto il profilo procedurale, assume un valore preminente il log management: in conformità al Provvedimento del Garante Privacy del 27 novembre 2008, gli access log degli amministratori di sistema devono essere registrati rispettando criteri di inalterabilità e conservati per almeno sei mesi. 

In questo complesso contesto digitale, l'attività dell'Organismo di Vigilanza subisce una metamorfosi, evolvendo verso una dimensione di «osservazione aumentata» grazie all'ausilio dell'Intelligenza Artificiale e di sistemi avanzati di Machine Learning e Natural Language Processing (NLP). 

L'AI consente all'OdV di processare immensi volumi di dati non strutturati (verbali, e-mail, flussi informativi ad evento, report di audit), rendendoli ricercabili semanticamente su archivi pluriennali e identificando pattern ricorrenti o anomalie operative (es. frazionamento sistematico di ordini, accessi IT fuori orario). 

L'apporto dell'AI a supporto dell'OdV si articola su tre linee d'azione:

• prioritizzazione: generazione di un risk scoring dinamico delle non conformità per allocare le risorse di vigilanza sui dossier più critici;
• monitoraggio automatizzato: tracciamento delle azioni correttive e di remediation come "ticket" all'interno di sistemi GRC, riducendo il backlog operativo; 
• valutazione dell'efficacia: analisi predittiva sull'efficacia delle misure adottate nel tempo, per precostituire idonei mezzi di prova spendibili in sede giudiziaria. 

Tuttavia, l'utilizzo dell'AI deve restare uno strumento di supporto: l'OdV non può mai deresponsabilizzarsi o "nascondersi dietro l'algoritmo", poiché la valutazione finale sulla gravità dei rischi e sull'adeguatezza del Modello rimane di sua esclusiva competenza. 

Le risultanze dei controlli cyber dell'OdV devono inoltre alimentare flussi informativi costanti verso il Collegio Sindacale (ex art. 2403 c.c.), poiché una grave vulnerabilità informatica costituisce un chiaro sintomo di inadeguatezza degli assetti societari complessivi ex art. 2086 c.c.. 

Conclusioni e proposte per una compliance integrata

Il documento di ricerca del CNDCEC si conclude formulando tre raccomandazioni essenziali per superare la storica (e rischiosa) separazione operativa tra le funzioni puramente informatiche e l'area compliance: 

1. riconoscere il rischio cyber a livello di Governance: il vertice aziendale deve comprendere che un blocco dei sistemi dovuto a un attacco cyber (es. ransomware) intacca direttamente la continuità aziendale e l'adempimento degli obblighi fiscali e civili. Gli investimenti in sicurezza digitale devono essere documentati e considerati un indice di effettiva attuazione del Modello 231;
2. adottare un processo unitario di Risk Assessment: le risultanze delle analisi tecniche (vulnerability assessment, penetration test) non devono rimanere isolate, ma devono confluire stabilmente nell'aggiornamento della mappa dei rischi 231 e dei relativi protocolli della Parte Speciale;
3. presidiare la Supply Chain tecnologica: diventa imprescindibile implementare rigorosi criteri di selezione, controllo e clausole contrattuali di salvaguardia verso i fornitori IT e cloud critici, in piena sinergia con lo spirito della Direttiva NIS2. 

Il 2026 rappresenta un anno di straordinaria densità normativa per le imprese, guidato dalla piena operatività di discipline quali NIS2, DORA (per il settore finanziario) e l'AI Act. Solo la costruzione di un sistema di compliance integrato e modulare permetteranno alle organizzazioni moderne di convertire gli obblighi giuridici in reali capacità organizzative, garantendo la resilienza del business e la tutela da pesanti responsabilità sanzionatorie.