In particolare, la recente modifica dell’art. 2086 c.c. impone al Datore di lavoro, l’obbligo di dotarsi di un assetto amministrativo, organizzativo e contabile adeguato alla natura e alle dimensioni dell’impresa stessa, con finalità sia di governo dell’attività e di prevenzione e gestione dei relativi rischi, sia di tempestiva rilevazione e reazione ad eventuali situazioni di crisi di natura economica e finanziaria. Questo obbligo, se non adempiuto, può poi determinare rilevanti responsabilità per gli amministratori che non abbiano posto in essere strumenti di monitoraggio funzionali anche all’emersione tempestiva di potenziali (early warnings) fattori di crisi, a scopo di intervenire con un celere ed efficace intervento volto alla salvaguardia del valore e della continuità aziendale.Si configura pertanto come norma quadro, richiama il modello D.Lgs “231”, il T.U. sulla SSL, D.Lgs 81/08 costantemente aggiornati, le norme sulla Privacy GDPR 679/2016 e sulla Cybersecurity, direttiva NiS2, legge 90/2024 e D.Lgs 138/2024 oltre che i criteri di buona contabilità attuariale. E’, a tutti gli effetti, un obbligo normativo rilevante, nel quadro di norme interconnesse che dialogano tra loro, in un ambiente di trasformazione digitale che ha cambiato la natura del rischio di Impresa.Analizzare le singole norme ed i collegamenti tra loro, con i reciproci richiami, è cosa che esula dagli spazi di questo articolo, e calare l’impatto delle novità normative nella realtà della singola azienda richiede analisi professionali, probabilmente Audit mirate e verifiche approfondite. Il problema non è più solo la compliance normativa dell’Impresa, ma il divario che si genera tra una gestione efficace e competitiva, capace di sfruttare questi vincoli in chiave di “valore aggiunto” con crescita di competitività, e una gestione meramente tradizionale, tesa a sfruttare l’esistente senza porsi problemi o effettuare verifiche ed approfondimenti.
La questione si evidenzia particolarmente critica per le PMI, che, causa le ridotte dimensioni, mancano spesso al loro interno di risorse in grado di gestire i cambiamenti, e non parliamo di farne una gestione efficace e mantenuta. In realtà anche le Imprese più strutturate sono oggi esposte a rischi più rilevanti che nel passato, con possibili conseguenze anche pesanti per l’Ente stesso e per i suoi Amministratori.
Cybersecurity e Modello 231
Basta leggere il documento «Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa», pubblicato dal Consiglio nazionale dei dottori commercialisti e degli esperti contabili (Cndcec). Contiene un messaggio chiaro: il rischio cyber non può essere trattato come un problema tecnico a sé stante, ma deve entrare nel sistema di organizzazione, gestione e controllo dell’ente. Poco fosse, bisogna vedere il modello organizzativo e gestionale anche nei suoi
collegamenti con le altre norme di prevenzione, Sicurezza sul Lavoro e Privacy, il tutto nella cornice del Codice Civile aggiornato, art. 2086 e crisi d’Impresa.
Il dato di fatto è che con l’evoluzione tecnologica e di mercato (anche il mercato globale sta mostrando i suoi limiti) e non parliamo dell’impatto dell’IA, “fare impresa” oggi è attività assai diversa e più complessa che nel passato fino ai primi due decenni del secolo, e chi non lo comprende sta assumendo rischi probabilmente superiori alle sue risorse.
Non sono teorie, ma problemi assolutamente concreti, pratici e misurabili. Sistemi gestionali, cloud, smart working, fornitori tecnologici, intelligenza artificiale e prevenzione infortuni espongono le organizzazioni a minacce con effetti economici, legali e reputazionali. I rischi informatici e la mancata prevenzione possono tradursi in reati contro il patrimonio, la fede pubblica e la persona, oltre che in violazioni della disciplina europea e nazionale sulla sicurezza.
Le conseguenze civili e/o penali per Imprese e per gli Amministratori anche a titolo personale, possono essere devastanti, senza contare le conseguenze di immagine per l’attività stessa.
Serve, oggi più che mai, il Modello 231 formalmente aggiornato, ma occorre che i rischi siano davvero incorporati In processi, deleghe, controlli e flussi informativi La giurisprudenza, del resto, non guarda alia semplice esistenza del Modello ma alla sua effettività. Il tema, quindi non è la presenza di un documento, ma la qualità dell’organizzazione che dovrebbe prevenire il reato.
Bisogna portare i rischi individuati nella gestione dell’Azienda dentro gli assetti organizzativi amministrativi e contabili. Quindi analisi dei rischi, soglia di rischio accettabile, aggiornamento periodico e capacità di lettura prospettica delle minacce, con monitoraggio continuo, simulazione di scenari avversi e revisione costante delle valutazioni. Il Modello “231”, quindi, non deve limitarsi a fotografare l’esistente, ma deve sapersi adattare quando cambiano tecnologie, processi o modalità di attacco.
Lo stesso criterio deve estendersi alla filiera. Fornitori e partner possono diventare il punto di ingresso del rischio e questo significa considerare la sicurezza dei rapporti esterni come parte del proprio sistema di controllo. Facile immaginare l’impatto, a breve, di tali cambiamenti.
Prevenire il rischio ed il cybercrime non si traduce nell’enunciare divieti: bisogna definire responsabilità, autorizzazioni, verifiche e tracciamenti, con la tracciabilità quale strumento per consentire all’impresa di dimostrare che le regole esistono e sono applicate.
L’impatto dei cambiamenti è rilevante anche per i professionisti e consulenti d’Impresa, chiamati a fornire alle Aziende un quadro sintetico delle norme interconnesse e le possibili soluzioni per le PMI, nella logica di acquisire anche “valore aggiunto” per l’attività.
E non tutti oggi sono attrezzati a questo scopo.
Su questi argomenti torneremo nelle prossime comunicazioni e nei seminari, ve ne è per tutti, e per molti non mancheranno sorprese.
Buon lavoro!
