Il tema della digitalizzazione nell’attività di impresa e nell’attività professionale è sempre più all’ordine del giorno, anche con riferimento ai rischi connessi all’utilizzo di strumenti informatici sempre più pervasivi.

A tale proposito il CNDCEC ha pubblicato ieri il documento “Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa”, redatto da una Commissione di studio dedicata, mossa dall’esigenza di offrire ai commercialisti uno strumento di analisi e approfondimento. L’obiettivo – come sostiene il documento stesso – è quello di favorire una maggiore consapevolezza dell’interazione tra cybersecurity, governance e modelli organizzativi adottati ai sensi del DLgs. 231/2001.

In proposito, infatti, viene evidenziato come il “rischio informatico” non possa più essere considerato un profilo esclusivamente tecnico, ma debba essere inserito all’interno dei sistemi di organizzazione, gestione e controllo dell’ente.
Viene così proposta una lettura integrata dei principali profili normativi, organizzativi e operativi connessi alla gestione del rischio cyber, soffermandosi sui reati informatici rilevanti ai fini della responsabilità amministrativa degli enti, sull’analisi dei rischi e delle aree sensibili, sull’aggiornamento dei modelli 231 e dei protocolli interni, nonché sul ruolo delle best practices e degli standard internazionali nella costruzione di adeguati presidi di sicurezza.

Può essere utile qui precisare che nell’ambito del DLgs. 231/2001 i reati informatici sono principalmente contenuti nell’art. 24-bis, ma ulteriori reati, che potremmo definire “informatici in senso lato”, si trovano anche in altre disposizioni del decreto: basti pensare alla frode informatica a danno dello Stato o di altro ente pubblico (art. 24), ai reati collegati agli strumenti di pagamento telematici (art. 25-octies.1), alle violazioni del diritto d’autore (art. 25-bis, a maggior ragione dopo l’intervento della L. 132/2025 sul reato di plagio commesso tramite l’utilizzo di sistemi di intelligenza artificiale), agli abusi di mercato (art. 25-sexies; anche questi oggi aggravati dall’uso dell’intelligenza artificiale); ai reati di riciclaggio commessi attraverso sistemi di criptovalute, e così via.

Oltre ad un focus sugli illeciti penali, il documento in esame dedica un lungo capitolo alla intersezione tra modello 231 e cybersecurity, soffermandosi sul c.d. “risk approach strutturato” che fa riferimento sia agli adeguati assetti organizzativi sia al “risk appetite framework”. Si passa, poi, a descrivere la necessità di una adeguata analisi dei rischi con la mappatura delle aree sensibili all’interno dell’azienda; la necessità di un aggiornamento del Codice etico e dei vari protocolli specifici contenuti nelle Parti speciali del modello organizzativo; e infine la centralità della previsione di adeguati piani di formazione e di sensibilizzazione per il personale non solo sotto il profilo tecnico, ma anche in relazione ai profili giuridici e organizzativi connessi all’utilizzo degli strumenti informatici.

Proprio in ambito formativo – finalizzato alla efficace attuazione del modello così come richiesto dalla normativa – si distingue tra l’intero personale aziendale, inclusi collaboratori esterni, lavoratori somministrati e, ove opportuno, soggetti terzi che abbiano accesso ai sistemi informativi dell’ente (formazione di primo livello); soggetti che svolgono funzioni tecniche o di controllo in materia di sistemi informatici, sicurezza e compliance (formazione di secondo livello); organi di vertice e Organismo di vigilanza (formazione di terzo livello).

Proprio all’Organismo di vigilanza è dedicato un paragrafo del documento ove si evidenzia la duplice sfida che tale organismo è chiamato ad affrontare: da un lato, valutare e presidiare i nuovi rischi che derivano dall’utilizzo di sistemi di IA all’interno dell’organizzazione; dall’altro, trarre vantaggio dagli stessi strumenti per elevare la qualità, la tempestività e l’efficacia della propria vigilanza.

Nella stessa prospettiva, vengono valorizzate le “best practices” di monitoraggio e audit, pur precisando che il modello 231 non è diretto a proteggere l’ente dagli attacchi informatici in quanto tali, ma a prevenire la commissione dei reati informatici (in senso stretto e in senso lato, come sopra precisato).

Il documento si conclude con alcune proposte tese a rafforzare la sinergia tra gli aspetti di cybersecurity e la gestione dei rischi in ottica 231 e con alcune “appendici” volte a fornire strumenti pratici come questionari e check list, connessi anche agli adempimenti portati dalla NIS 2 che, pur non rientrando direttamente nelle aree di rischio previste dal DLgs. 231/2001, rappresenta un importante presidio di compliance.