Con la pubblicazione del documento «Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa», la Commissione di studio del CNDCEC mette a disposizione di professionisti, imprese e organismi di vigilanza uno strumento di particolare rilevanza per affrontare una delle principali sfide che caratterizzano l’attuale contesto economico e normativo: la gestione del rischio cyber all’interno dei sistemi di organizzazione, gestione e controllo previsti dal D.lgs. 231/2001.
L’importanza del documento risiede anzitutto nell’approccio adottato. La cybersecurity non viene più considerata esclusivamente come una questione tecnica affidata alle funzioni informatiche aziendali, ma viene ricondotta nell’ambito della governance d’impresa, degli assetti organizzativi e del sistema dei controlli interni. Si tratta di una prospettiva particolarmente attuale, in un contesto caratterizzato dall’aumento esponenziale degli attacchi informatici, dall’entrata in vigore della Direttiva NIS2, dall’applicazione del Regolamento DORA nel settore finanziario e dall’impatto crescente dell’intelligenza artificiale sui processi aziendali.
Il documento affronta in maniera organica il rapporto tra i reati informatici previsti dall’art. 24-bis del D.lgs. 231/2001 e i nuovi scenari di rischio derivanti dalla digitalizzazione, evidenziando come la responsabilità dell’ente non possa più essere valutata prescindendo dalla qualità dei presidi di sicurezza informatica adottati. In questa prospettiva, il rischio cyber viene interpretato come una specifica manifestazione della «colpa di organizzazione», concetto che rappresenta il fondamento della responsabilità amministrativa degli enti.
Particolarmente significativa è l’attenzione dedicata al tema degli adeguati assetti organizzativi, amministrativi e contabili introdotti dall’art. 2086 del codice civile. Il documento evidenzia infatti come la gestione del rischio informatico debba essere integrata all’interno degli assetti di governance e dei processi di risk management aziendale, superando definitivamente la tradizionale separazione tra funzione IT e funzione compliance. In tale prospettiva, il Modello 231 viene valorizzato quale strumento privilegiato per realizzare una gestione integrata dei rischi, capace di coniugare prevenzione dei reati, sicurezza informatica, protezione dei dati personali, continuità operativa e resilienza organizzativa.
Rilevante è la presenza, nelle appendici, di strumenti operativi immediatamente utilizzabili da professionisti e imprese, tra cui un questionario di Cyber Risk Assessment e una checklist dedicata alla verifica degli adempimenti derivanti dalla Direttiva NIS2. Tali strumenti confermano la vocazione pratica del documento, che non si limita all’analisi teorica ma si propone come guida operativa per l’implementazione di efficaci sistemi di controllo.