Manager e amministratori revocabili se trascurano la cybersicurezza in azienda. E non solo: sono anche personalmente responsabili per i danni al patrimonio sociale o ai creditori, se non hanno prevenuto o gestito correttamente gli attacchi informatici. È quanto chiarisce Assonime nella Circolare n. 23 del 4/11/2025, che illustra le novità del decreto legislativo 138/2024, recepimento della direttiva UE 2022/2555 (NIS2).
La direttiva impone obblighi stringenti in tema di resilienza digitale, spostando il baricentro della responsabilità sugli organi amministrativi. In base a quanto riportato anche da Italia Oggi, l’Agenzia per la Cybersicurezza Nazionale (Acn) ha già definito con puntualità i compiti dei soggetti coinvolti, indicando obblighi come: iscrizione alla piattaforma Acn, nomina dei soggetti incaricati alla sicurezza, pianificazione delle misure di gestione dei rischi, formazione e monitoraggio costante dell’adeguatezza delle misure.
Cybersicurezza al centro della strategia aziendale
Come evidenziato dalla circolare Assonime, l’amministratore potrà essere revocato per gravi irregolarità nella gestione della cybersicurezza, così come il Cda potrà essere oggetto di azioni di responsabilità se non ha adottato le misure richieste. Viene introdotta anche una responsabilità civile, con possibili richieste di risarcimento da parte del tribunale o su istanza dei soci.
Il decreto 138/2024 prevede inoltre sanzioni interdittive per le persone fisiche in caso di inadempienze, a conferma di come la sicurezza digitale non sia più una questione solo tecnica ma una leva strategica aziendale, sulla quale si gioca la continuità e la reputazione delle imprese.
Una gestione inadeguata può costare cara
La circolare sottolinea infine che anche le omissioni o una gestione inadeguata di attacchi informatici possono essere considerate una grave violazione degli obblighi gestori: una svolta che obbliga il management a mettere la cybersicurezza al centro del governo aziendale.
© Riproduzione riservata
