LA RESPONSABILITA’ DEGLI AMMINISTRATORI
IL PRINCIPIO DI ACCOUNTABILITY
È ormai trasversale il principio di accountability, che impone all’imprenditore di essere in grado di dimostrare di essersi reso conforme alla normativa vigente. Si pensi, per esempio, agli obblighi in materia di salute e sicurezza sul lavoro, alla normativa Privacy, ai reati ex D. Lgs. 231/01, alle direttive NIS (1 e 2) o, addirittura, alla tutela del know-how aziendale riconosciuta dal D. Lgs. 63/2018.
LA RESPONSABILITÀ ORGANIZZATIVA DELL’IMPRENDITORE
In via generale, l’art. 2086, comma 2, codice civile, chiude la questione: ora l’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, non solo per evitare le crisi, ma anche già per evitare la perdita della continuità aziendale.
E deve essere in grado di dimostrarlo.
I RISCHI PER L’IMPRESA E PER GLI STESSI AMMINISTRATORI
Se questo è il quadro in cui si muove l’imprenditore, è fondamentale comprendere il peso specifico dei rischi collegati alla cybersecurity e le conseguenze che corrono sia l’azienda sia gli amministratori in caso di superficialità.
Intanto, come abbiamo visto, va preservata la continuità aziendale: non adottare un sistema di monitoraggio costante delle vulnerabilità della propria infrastruttura IT e della sua tenuta e resilienza, espone l’azienda ad un enorme rischio di subire un attacco hacker in grado di bloccare tutta l’operatività.
Vi sono poi dei casi in cui il blocco della continuità aziendale, oltre a provocare i danni evidenti collegati all’arresto dell’attività economica in sé e per sé può comportare conseguenze ancora peggiori: è il caso dei Soggetti NIS, ovvero quei soggetti identificati dalla direttiva NIS (ora NIS 2) come critici sotto lo specifico profilo della cybersecurity. Se vengono colpiti i Soggetti NIS si bloccano automaticamente altri pezzi dell’economia nazionale e UE (si pensi ad un attacco ad un servizio di comunicazioni, o di logistica o ad un’attività chimica, per esempio). Per questo motivo la direttiva prevede delle sanzioni particolarmente forti (nel peggiore dei casi, fino a 10 Milioni di Euro o al 2% di fatturato annuo), non limitate a misure di natura pecuniaria, ma estese addirittura alla possibilità di sospendere temporaneamente l’autorizzazione a svolgere determinati servizi e addirittura lo svolgimento di funzioni dirigenziali dell’amministratore delegato.
Ancora, nel caso in cui vi siano segreti industriali, o anche solo commerciali (si pensi alle proprie condizioni contrattuali, il portafoglio clienti, il CRM), la nuova normativa sul know-how aziendale offre tutela soltanto a condizione che l’azienda sia in grado di dimostrare di avere messo a punto un insieme di misure organizzative e tecniche tali per cui non sia agevole, per un malintenzionato, introdursi nel perimetro IT e portar via o manipolare le informazioni critiche. Se l’amministratore non si preoccupa di adottare un sistema adeguato per proteggere il know-how aziendale, non soltanto ci saranno danni economici e di reputazione per l’impresa, ma anche per lo stesso amministratore, che di fronte agli stakeholders sarà indifendibile.
Non mi soffermo più di tanto sulla normativa Privacy, ormai ben conosciuta, se non per ricordare come i danni agli interessati, e le conseguenti pesanti sanzioni ai titolari, possono essere causati da una sottovalutazione delle misure di cybersecurity.
Sopra, ho riportato soltanto gli esempi più eclatanti del tema legato all’accountability.
In generale, va considerato come non sia soltanto l’impresa ad essere esposta ai danni e le sanzioni collegati alla sicurezza informatica, ma lo stesso amministratore dell’azienda, che può essere ritenuto responsabile nei confronti degli stakeholder per la sottovalutazione dei rischi attinenti alla cybersecurity.
COME PROTEGGERSI?
Non ci si può più improvvisare, tamponando giorno per giorno i problemi, man mano che si presentano nella nostra realtà aziendale: occorre adottare un modello organizzativo efficace, anche sotto il profilo documentale.
Si può imparare dagli standard disponibili con i sistemi di gestione (per es., ISO 27001) che sono sempre articolati allo stesso modo:
Si parte dal perimetro di attività che si vuol mettere sotto controllo (quali informazioni vuoi proteggere? Quale attività vuoi evitare che siano bloccate?)
Si prendono in considerazione il contesto esterno e quello interno (quali sono le aspettative di clienti, azionisti, autorità, dipendenti, fornitori, ecc.?)
Vengono mappati i rischi (a quali rischi potrei essere esposto se non assicuro un’infrastruttura IT decente alla mia azienda? Quali le conseguenze?)
Sono individuate misure di prevenzione o gestione dei rischi attuabili dall’azienda (quali sono le misure organizzative e tecniche da porre in essere, al meglio delle mie possibilità, per prevenire e gestire ciascuno dei rischi che ho mappato?)
Sono definiti i KPI per monitorare, nel tempo, se il modello è efficace o no, in tutto o in parte (quali valori misurabili e confrontabili nel tempo possono aiutarmi a verificare se le singole misure organizzative e tecniche adottate funzionano o hanno bisogno di essere corrette?)
Grazie ad un modello del genere, con l’appropriata documentazione, l’imprenditore può riuscire ad essere in grado di dimostrare di essere consapevole dei rischi operativi e legali della propria azienda e di trattarli adeguatamente.
Per raggiungere un simile obiettivo, è fondamentale costruire e poi mantenere il modello organizzativo (meglio ancora se un sistema di gestione certificato) con un team multidisciplinare che unisca le tre competenze chiave: IT, legale, organizzativo.
Articolo di: Ivana Genestrone
Avv. Ivana Genestrone, DPO, Auditor ISO 27001, compliance aziendale