La cybersecurity assume un ruolo sempre più centrale nella governance d’impresa e nei Modelli 231. Il rischio informatico non riguarda solo la sicurezza tecnica, ma incide sugli assetti organizzativi, sulla continuità aziendale e sulla responsabilità dell’ente, richiedendo presidi integrati, aggiornati e coerenti con NIS2, DORA, GDPR e AI Act.
Nel mese di maggio 2026 la Fondazione Nazionale dei Commercialisti, unitamente al Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili hanno emanato il documento “Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa”.
Oggi risulta chiaro come l’inarrestabile digitalizzazione dei processi aziendali ha portato a una radicale modifica dell’organizzazione interna delle imprese e, di riflesso, del sistema dei controlli, nonché della governance societaria.
La sicurezza informatica impatta sulla dimensione organizzativa, gestionale, nonché della compliance.
L’evoluzione della normativa nazionale ed europea, l’ampliamento dei reati informatici ex D.Lgs. n. 231/2001 e la centralità della resilienza digitale, impongono ai professionisti componenti degli Organismi di Vigilanza di adottare una visione integrata del “rischio cyber”.
L’architettura giuridica della cyber sicurezza ha vissuto una profonda accelerazione.
La Direttiva (UE) 2022/2555 (NIS2) e il regolamento DORA hanno ridisegnato, a livello europeo, i requisiti di sicurezza per i servizi essenziali e il settore finanziari, mentre in Italia, il D.Lgs. n. 138/2024 (che ha recepito la NIS2) e la Legge n. 90/2024 (“Legge sulla Cybersecurity”) hanno introdotto stringenti obblighi di gestione del rischio e di notifica tempestiva degli incidenti all’Agenzia per la Cybersicurezza Nazionale (ACN), istituendo, altresì, la figura obbligatoria del Referente per la cybersicurezza.
L’impianto normativo appena delineato si interseca direttamente con la responsabilità amministrativa degli enti.
Il Decreto di recepimento NIS2 (art. 39) ha esplicitamente integrato l’art. 24-bis, D.Lgs. n. 231/2001, inserendo nel catalogo dei reati presupposto l’omessa comunicazione o la comunicazione di dati falsi o incompleti all’ACN.
Tale novità si affianca alle fattispecie già normate, che vanno dall’accesso abusivo a sistema informatico alla frode informatica oltre che alla recente estorsione informatica, configurando un perimetro di rischio in cui qualunque uso improprio dei sistemi aziendali, commesso nell’interesse o a vantaggio dell’ente, può attivare pesanti sanzioni pecuniarie e interdittive.
La gestione del rischio informatico rappresenta un pilastro degli «adeguati assetti organizzativi, amministrativi e contabili» richiesti dall’art. 2086, comma 2, c.c.. Una vulnerabilità dell’infrastruttura IT non è solo una falla tecnica, ma si traduce in una potenziale carenza degli assetti societari.
Un attacco ransomware in grado di paralizzare i sistemi ERP, la fatturazione o i flussi finanziari mina direttamente la continuità aziendale.
Se la sicurezza difensiva tutela la continuità dell’impresa, il Modello 231 mira a prevenire la «colpa di organizzazione», ossia la commissione di reati informatici «tramite» o «a causa» delle risorse aziendali.
L’adeguatezza degli assetti si misura, quindi, nella loro capacità prognostica, ovvero nel saper intercettare segnali anticipatori ed evolutivi e non solo nel basarsi su analisi storiche dei rischi.
L’analisi dei rischi non può limitarsi a un’elencazione astratta di fattispecie di reato.
L’approccio metodologico richiede una ricognizione puntuale (analisi as is) dei processi aziendali e degli asset informativi. Un’area diventa sensibile sotto il profilo cyber ogniqualvolta si riscontri la gestione di credenziali, dati critici, pagamenti elettronici o interconnessioni con l’esterno.
Un elemento di marcata complessità è rappresentato dal rischio nella filiera (supply chain risk).
Le moderne architetture aziendali vedono i sistemi informatici integrati con quelli di partner e subappaltatori. Gli attacchi più insidiosi avvengono spesso colpendo un fornitore di terze parti per accedere alla vittima principale.
Il Modello 231 deve pertanto estendere i propri protocolli alla catena di fornitura, imponendo requisiti contrattuali minimi di sicurezza informatica, questionari di autovalutazione, audit e richieste di certificazioni (es. ISO/IEC 27001).
La mappatura cyber è un concetto dinamico che esige un aggiornamento attivo e continuo.
La traduzione operativa del «risk assessment» richiede l’adeguamento dei protocolli della Parte Speciale del Modello 231 e del Codice Etico.
Il Codice Etico deve sancire i doveri comportamentali digitali dell’utente, mentre i protocolli specifici devono presidiare aspetti chiave quali:
- gestione delle identità, dei diritti di accesso e rigorose password policy;
- procedure di log management conformi alle prescrizioni del Garante Privacy (integrità e inalterabilità per almeno sei mesi degli accessi degli amministratori di sistema);
- politiche di backup e, soprattutto, test periodici di ripristino completo dei dati (disaster recovery);
- regole per l’adozione tempestiva delle patch di sicurezza critiche e uso dell’autenticazione a più fattori (MFA).
Accanto alle misure tecniche, il fattore umano rimane l’anello debole.
I piani di formazione e sensibilizzazione devono essere strutturati e obbligatori, prevedendo sessioni per il personale operativo (es. simulazioni di phishing) e moduli specifici per l’organo amministrativo, chiamato a supervisionare le strategie di gestione del rischio.
I flussi informativi verso l’Organismo di Vigilanza rappresentano il sistema nervoso della compliance 231.
L’OdV deve ricevere report periodici sulla postura di sicurezza dell’ente e notifiche immediate (flussi a evento) in caso di incidenti informatici, data breach o esiti critici dei test vulnerabilità.
L’avvento dell’Intelligenza Artificiale genera un doppio impatto sull’attività dell’OdV:
- l’ente deve vigilare sui rischi derivanti dall’utilizzo dell’AI in azienda, verificando il rispetto dell’AI Act (Regolamento UE 2024/1689), la classificazione dei sistemi ad alto rischio, la qualità dei dati e la supervisione umana;
- l’AI si configura come uno straordinario strumento a supporto dell’OdV medesimo, consentendo il passaggio da un approccio ispettivo tradizionale a una modalità di «osservazione aumentata». Attraverso algoritmi di knowledge base, classificazione documentale automatizzata e anomaly detection sui flussi di dati aziendali, l’OdV può efficientare le attività di monitoraggio e prioritizzazione dei controlli.
Nelle realtà aziendali, la separazione tra la funzione IT (percepita come tecnologica) e l’area legale/compliance (percepita come burocratica) costituisce un grave fattore di debolezza dei controlli.
I due piani sono invece indivisibili: la vulnerabilità tecnica genera il rischio da reato.
L’obiettivo è quello di costruire un sistema di compliance modulare, integrato e coerente, capace di far dialogare le regole del Modello 231 con i dettami del GDPR, della NIS2 e dell’AI Act, traducendo il dettato normativo in una concreta e resiliente capacità organizzativa.
