Modello 231 e Cybersecurity: commercialisti su gestione rischi informatici in azienda

Il Consiglio nazionale dei dottori commercialisti e degli esperti contabili e la Fondazione nazionale commercialisti hanno pubblicato il documento “Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa”.

Il lavoro, elaborato dalla Commissione di studio “Compliance e modelli organizzativi d.lgs. 231”, offre ai commercialisti uno strumento di analisi sui rapporti tra sicurezza informatica, governance aziendale e responsabilità amministrativa degli enti ai sensi del Dlgs n. 231/2001.

La pubblicazione muove da un’esigenza sempre più attuale: inserire il rischio cyber nei sistemi di organizzazione, gestione e controllo dell’impresa, superando una visione della cybersecurity come materia esclusivamente tecnica.

Perché oggi si parla di cybersecurity nelle aziende

La crescente digitalizzazione dei processi aziendali ha reso l’utilizzo di strumenti informatici una componente ordinaria dell’attività d’impresa. Sistemi gestionali, piattaforme cloud, banche dati, pagamenti elettronici, strumenti di intelligenza artificiale e servizi digitali esternalizzati espongono le organizzazioni a rischi nuovi o più complessi.

In ambito aziendale, però, la sicurezza informatica non rileva solo per la continuità operativa o per la protezione dei dati. Assume anche un valore giuridico e organizzativo, perché una gestione inadeguata dei presidi cyber può incidere sugli assetti aziendali, sui controlli interni, sulla responsabilità degli amministratori e sull’efficacia del Modello 231.

Rischi informatici e responsabilità 231

Uno dei punti centrali del documento riguarda il rapporto tra rischi informatici e responsabilità amministrativa degli enti. La gestione della cybersecurity assume rilievo anche ai fini del Dlgs n. 231/2001, nella misura in cui l’utilizzo dei sistemi digitali può diventare occasione o strumento per la commissione di reati nell’interesse o a vantaggio dell’impresa.

Nel sistema 231 i delitti informatici trovano una disciplina specifica soprattutto nell’articolo 24-bis, che comprende, tra le altre fattispecie, l’accesso abusivo a sistemi informatici, il danneggiamento di dati, programmi o sistemi e la detenzione o diffusione illecita di credenziali e codici di accesso.

Il perimetro dei rischi digitali, tuttavia, è più ampio. Possono assumere rilievo anche altri reati presupposto, quando la condotta illecita viene realizzata attraverso strumenti informatici o è agevolata dall’uso delle tecnologie. È il caso, ad esempio, delle frodi informatiche a danno dello Stato o di enti pubblici, degli illeciti collegati agli strumenti di pagamento diversi dal contante, delle violazioni del diritto d’autore, degli abusi di mercato, delle operazioni di riciclaggio mediante cripto-attività e delle condotte connesse all’utilizzo di sistemi di intelligenza artificiale.

Per le aziende questo comporta la necessità di adottare una lettura più ampia del rischio cyber. Non basta verificare la tenuta tecnica dei sistemi informatici: occorre individuare i processi aziendali nei quali l’uso di dati, piattaforme, applicativi, credenziali, strumenti di pagamento o sistemi automatizzati può esporre l’ente a responsabilità 231.

L’integrazione dei rischi informatici nel Modello 231 diventa quindi un passaggio essenziale per rafforzare i presidi di prevenzione, aggiornare le procedure interne, definire responsabilità chiare e assicurare controlli coerenti con l’evoluzione digitale dell’attività d’impresa.

Risk assessment e mappatura delle aree sensibili

L’integrazione dei rischi informatici nel Modello 231 richiede, in primo luogo, un aggiornamento del risk assessment. L’impresa deve cioè verificare in quali processi aziendali l’utilizzo di sistemi digitali, dati, piattaforme, credenziali di accesso o strumenti automatizzati possa generare rischi rilevanti ai fini della responsabilità dell’ente.

La mappatura non riguarda soltanto l’area IT. Il documento Cndcec-Fnc richiama la necessità di considerare tutte le funzioni aziendali che utilizzano strumenti informatici o trattano informazioni sensibili: amministrazione, finanza, acquisti, vendite, risorse umane, gestione dei rapporti con la Pubblica amministrazione, sistemi di pagamento, archivi digitali e rapporti con fornitori tecnologici.

L’obiettivo è individuare le aree sensibili, valutare le vulnerabilità esistenti e verificare se i presidi già adottati siano adeguati a prevenire condotte illecite, come accessi abusivi, alterazione o cancellazione di dati, uso improprio di credenziali, frodi informatiche o violazioni di software e contenuti protetti.

Questa attività consente di collegare il rischio cyber ai processi decisionali e organizzativi dell’impresa. Il Modello 231, infatti, è efficace solo se costruito sulla base dei rischi concreti dell’ente e se aggiornato rispetto all’evoluzione tecnologica, ai nuovi strumenti utilizzati e alle modalità operative effettivamente adottate in azienda.

Modello 231 da aggiornare: protocolli, controlli e formazione

Una volta individuate le aree sensibili, il rischio informatico deve essere tradotto in misure organizzative concrete. L’integrazione della cybersecurity nel Modello 231 non può limitarsi a una valutazione astratta, ma deve incidere sui protocolli interni, sulle procedure operative e sui sistemi di controllo.

L’aggiornamento del Modello può riguardare, in particolare, le regole per la gestione degli accessi ai sistemi informatici, l’assegnazione e la revoca delle credenziali, la tracciabilità delle operazioni, la conservazione dei log, l’utilizzo degli strumenti aziendali, la gestione degli incidenti informatici e il controllo sui fornitori di servizi digitali.

Particolare attenzione va riservata anche ai flussi informativi. Le anomalie rilevanti, le violazioni delle procedure, gli accessi non autorizzati, gli incidenti di sicurezza e gli esiti degli audit devono essere comunicati ai soggetti competenti, compreso l’Organismo di vigilanza, secondo modalità definite e documentabili.

Accanto ai protocolli, assume rilievo la formazione. Il personale deve essere messo nelle condizioni di comprendere non solo i rischi tecnici connessi all’uso degli strumenti digitali, ma anche le possibili conseguenze giuridiche e organizzative di comportamenti non conformi. Una formazione efficace, calibrata sui diversi ruoli aziendali, diventa quindi parte essenziale dell’attuazione del Modello 231.

Amministratori, organi di controllo e Odv: il ruolo nella vigilanza

L’inserimento del rischio cyber nella governance aziendale incide direttamente anche sul ruolo degli amministratori, degli organi di controllo e dell’Organismo di vigilanza. La sicurezza informatica rientra tra i profili da considerare nella predisposizione di assetti organizzativi adeguati alla natura e alle dimensioni dell’impresa.

Gli amministratori sono chiamati a valutare se l’organizzazione disponga di presidi idonei a prevenire e gestire i rischi informatici, anche in termini di procedure, responsabilità interne, risorse dedicate e capacità di reazione agli incidenti. Eventuali omissioni nella gestione della cybersecurity possono assumere rilievo sul piano della responsabilità, soprattutto quando incidano sulla continuità aziendale, sulla protezione del patrimonio informativo o sulla prevenzione dei reati presupposto.

Anche gli organi di controllo devono verificare che i sistemi adottati siano effettivamente adeguati e che esistano flussi informativi chiari e tempestivi sulle criticità rilevanti. La vigilanza non si esaurisce quindi nella verifica formale dell’esistenza di procedure, ma richiede attenzione alla loro concreta applicazione e al loro aggiornamento.

Per l’Odv, il documento evidenzia una funzione particolarmente delicata: controllare che il Modello 231 tenga conto dei rischi cyber, che i protocolli siano rispettati e che le informazioni su anomalie, incidenti, violazioni e audit arrivino in modo completo e documentato. In questa prospettiva, la cybersecurity diventa parte integrante dell’attività di vigilanza sul funzionamento e sull’efficace attuazione del Modello.

Commercialisti al centro della compliance cyber

Il documento Cndcec-Fnc conferma il ruolo sempre più rilevante dei commercialisti nella gestione integrata dei rischi aziendali. La cybersecurity non è solo un tema tecnologico, ma incide sugli assetti organizzativi, sui controlli interni, sui Modelli 231 e sulle responsabilità degli organi sociali.

La sfida indicata dal documento è costruire un raccordo effettivo tra sicurezza informatica, governance e Modello 231. Solo un approccio integrato consente all’impresa di prevenire i rischi connessi alla trasformazione digitale e di dimostrare una gestione consapevole e strutturata della compliance cyber.