Amministratori revocabili se non blindano la cybersicurezza delle imprese. E sono anche personalmente responsabili per i danni al patrimonio sociale e ai creditori conseguenti a un attacco informatico non fronteggiato a dovere. È quanto illustrato da Assonime, l’associazione delle imprese, con la circolare n. 23 del 4/11/2025, dedicata alla illustrazione del d.lgs. 138/2024, che ha recepito la direttiva UE 2022/2555 (nota come NIS2). Direttiva e d.lgs. impongono, oltre che a molte pubbliche amministrazioni, anche a un gran numero di imprese di mettersi in sicurezza per contrastare gli attacchi informatici.
Nell’attuare la normativa l’ACN (Agenzia per la cybersicurezza nazionale) ha puntualizzato gli adempimenti per le imprese soggette alla direttiva NIS2, che consistono in obblighi di: iscrizione in una piattaforma ACN; individuazione dei soggetti interni deputati a gestire la cybersicurezza; pianificazione delle misure di gestione dei rischi; formazione dei vertici aziendali, manager e dipendenti; monitoraggio continuo dell’adeguatezza delle misure adottate; segnalazione degli incidenti alle autorità preposte alla cybersicurezza.
Le parti più significative della circolare Assonime mettono in evidenza che il d.lgs. 138/2024 chiama in causa direttamente gli organi amministrativi.
Gli amministratori delle società possono, infatti, rispondere personalmente se non adeguano l’azienda agli standard di sicurezza informatica (come segnalato da ItaliaOggi7 del 19/5/2025).
Agli organi amministrativi sono affidati, in particolare, gli obblighi di pianificazione, monitoraggio e programma della formazione. La circolare specifica che se c’è un amministratore unico, a quest’ultimo spettano tutte le incombenze. Se, invece, c’è un CDA (consiglio di amministrazione) senza deleghe di gestione, a essere investiti degli obblighi sono tutti i suoi componenti. Peraltro, possono essere assegnate deleghe gestorie, per aree di rischio, a uno o più amministratori, rimanendo al CDA poteri di verifica e di intervento in caso di eventi rischiosi non adeguatamente governati.
L’attribuzione dei compiti implica l’attribuzione della responsabilità per l’inadempimento delle prescrizioni del d.lgs. 138/2024 e l’applicazione della sanzione dell’incapacità a svolgere le funzioni dirigenziali in caso di mancata esecuzione di diffide dell’ACN: al riguardo la circolare precisa che la sanzione colpisce gli amministratori delegati agli adempimenti della cybersicurezza. Gli amministratori non esecutivi, peraltro, subiranno conseguenze se non hanno impedito la commissione di illeciti di cui erano a conoscenza.
Passando al piano civilistico, la circolare affronta il tema della responsabilità degli organi amministrativi per mancata o inadeguata prevenzione e gestione dei rischi cyber e inidonea risposta ad eventuali incidenti. Anche tali mancanze, scrive Assonime, possono essere considerate una grave forma di irregolarità gestoria, che può portare alla revoca dell’organo amministrativo da parte del tribunale su richiesta dei soci o del collegio sindacale. Gli amministratori possono, inoltre, essere chiamati a rispondere personalmente e solidalmente dei danni arrecati al patrimonio sociale, ai soci e ai creditori.
A tale proposito, Assonime approfondisce il tema della inadeguatezza di misure pur pianificate. Sul punto, la circolare sottolinea che gli amministratori hanno un limitato margine di discrezionalità: il d.lgs. 138/2024 esige un livello elevato di cybersicurezza. Il messaggio è chiaro: non lesinare sui fondi per la cybersicurezza e ciò non solo per evitare guai alle aziende, ma anche per minimizzare le responsabilità personali.
I principi desumibili dalla circolare in esame possono essere estesi anche alle misure che le aziende devono adottare per adeguarsi alle norme sulla privacy (regolamento UE 2016/679), le quali, in base alla direttiva 2022/2555, devono applicarsi contestualmente alle misure sugli assetti cyber: anche per la privacy, dunque, gli organi amministrativi devono stanziare fondi congrui a conformarsi al Gdpr.
