L’evoluzione normativa in materia di cybersicurezza e l’ampliamento dei reati informatici rilevanti ai fini del D.lgs. 231/2001 stanno modificando in modo significativo anche l’attività dell’Organismo di vigilanza. La sicurezza informatica, infatti, entra a pieno titolo nel sistema dei controlli interni e nei processi di compliance dell’impresa.
Il documento «Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa», recentemente pubblicato dal CNDCEC, evidenzia come l’OdV sia oggi chiamato a verificare non soltanto l’esistenza di protocolli e procedure, ma anche la loro effettiva applicazione nella gestione dei rischi informatici.
In concreto, l’attività di vigilanza dovrebbe concentrarsi su alcuni aspetti essenziali. Innanzitutto, la verifica dell’aggiornamento periodico della mappatura dei rischi cyber e della sua integrazione nel Modello 231. Particolare attenzione deve poi essere riservata ai flussi informativi provenienti dalle funzioni aziendali competenti, affinché incidenti informatici, tentativi di attacco, anomalie di sistema o violazioni delle policy di sicurezza siano tempestivamente portati all’attenzione dell’Organismo.
Un altro ambito di verifica riguarda l’effettività dei controlli adottati dall’impresa. L’OdV può esaminare audit informatici, vulnerability assessment, test sui backup e report sulle misure di sicurezza, verificando non gli aspetti tecnici, ma che tali controlli siano realmente eseguiti e che le eventuali criticità siano adeguatamente gestite. Particolare rilievo assume anche il coordinamento con il Collegio sindacale, il Revisore e le altre funzioni di controllo. Una carenza nei presìdi di sicurezza informatica può infatti rappresentare non solo un rischio di commissione di reati informatici, ma anche un indice di possibile inadeguatezza degli assetti organizzativi dell’impresa.
Tra le novità più significative vi è inoltre l’impatto dell’intelligenza artificiale. L’OdV è chiamato a vigilare sull’utilizzo dei sistemi di AI nei processi aziendali, verificando che siano disciplinati da regole interne, che vi siano adeguati livelli di supervisione umana e che i relativi rischi siano stati correttamente valutati. Al tempo stesso, gli strumenti di AI possono diventare un supporto alla stessa attività di vigilanza, attraverso tecniche di classificazione documentale, monitoraggio automatizzato e individuazione di anomalie.
Nell’ambito delle funzioni di vigilanza sul Modello delineate dal D.lgs. 231/2001, l’OdV è dunque chiamato ad ampliare il proprio perimetro di osservazione. In tal senso, la cybersecurity diventa uno dei principali ambiti attraverso cui valutare la solidità dei presìdi organizzativi e l’effettiva capacità dell’impresa di prevenire e gestire i rischi informatici.