Aspetti Societari, Modelli 231 - MOG, News, Tutela del Patrimonio
    By

    CYBERSICUREZZA – LA DIFESA PARTE DAL CDA: AMMINISTRATORI E SINDACI RISPONDONO DEI DANNI

    In caso di attacco informatico, l’omessa valutazione dei rischi cyber e la mancata previsione di misure adeguate possono esporre amministratori e sindaci al rischio di rispondere personalmente. Se tali carenze favoriscono illeciti di terzi (frodi informatiche, danneggiamento dati), gli amministratori possono rispondere dei danni causati all’azienda, ai soci o ai creditori, nei casi gravi anche in sede penale. Per i sindaci, la mancata segnalazione di carenze critiche può configurare responsabilità civile per culpa in vigilando.

     

    Da rischio tecnico a obbligo di governance. Le norme europee e italiane — dalla direttiva NIS2 alla legge sulla cybersicurezza — hanno trasformato il rischio cyber in un dovere di governance. Gli amministratori devono valutare i rischi informatici, approvare politiche di sicurezza, finanziare i controlli, verificare l’esistenza di procedure efficaci e la capacità di reazione agli incidenti. Non è più materia delegabile al solo responsabile IT.

     

    Il collegamento con il D.lgs. 231. Nel sistema del decreto 231 la responsabilità dell’ente sorge quando un reato è commesso nell’interesse o a vantaggio dell’azienda in assenza di un modello organizzativo idoneo a prevenirlo. I reati informatici rientrano oggi pienamente in tale perimetro.

     

    Il nuovo ruolo del collegio sindacale. I sindaci non possono più limitarsi al controllo contabile o alla verifica formale delle procedure: devono vigilare sull’adeguatezza degli assetti organizzativi anche sotto il profilo cyber, verificando sistemi di sicurezza, flussi informativi, procedure di gestione degli incidenti, monitoraggio dei fornitori tecnologici e piani di continuità operativa. Devono cioè chiedersi se l’impresa sia davvero in grado di reggere un attacco.

     

    Anche l’Organismo di Vigilanza 231 è coinvolto: deve monitorare con continuità i rischi cyber, aggiornare la mappa delle vulnerabilità e verificare l’effettiva applicazione delle misure di prevenzione.

     

    Tutela patrimoniale e reputazionale. Il vero patrimonio aziendale non sono solo macchinari e magazzino, ma dati, know-how, reputazione e relazioni con clienti e fornitori — asset immateriali che un attacco può distruggere in poche ore, magari senza tracce in bilancio ma con effetti devastanti sul valore dell’impresa. La cybersecurity non è dunque solo un costo, ma una forma di tutela patrimoniale e reputazionale.

     

    La conclusione. Trattare la cybersicurezza come mero adempimento burocratico significa leggere il problema con dieci anni di ritardo. Gli attacchi continueranno, perché nessun sistema è invulnerabile; per amministratori, sindaci e organismi di controllo la vera linea di confine sarà poter dimostrare di aver fatto tutto il possibile, in modo organizzato, documentato e proporzionato ai rischi dell’impresa.

     

    Antonella Rodella – Co-Founder 

    VOIM – Valore Opportunità Identità Metodo

     

     

    ..”metti in moto il cambiamento”….inizia con un passo..

    Per VO-IM | Vocazione Impresa Experiential Key

    Antonella Rodella – Consulente Aziendale Commercialista Revisore

     

    0