Compliance & Risk Management – Rischio cyber e imprese

In questo sesto numero della Newsletter Compliance & Risk Management, i professionisti della Service Line 231/Privacy di Andersen hanno approfondito il tema del rischio cyber, al fine di evidenziare l’importanza, sempre più crescente, per le imprese di adottare apposite misure tecniche e organizzative in grado di mitigare tale rischio, migliorando così la propria governance e la propria resilienza.

Reati informatici e responsabilità 231

La normativa italiana ha recentemente rafforzato il quadro dei reati presupposto includendo nuovi scenari collegati alla intelligenza artificiale. In particolare, la Legge 132/2025 ha introdotto reati e aggravanti legati all’uso di sistemi di IA, come la diffusione illecita di contenuti generati o alterati da IA e l’aggravamento di reati già presenti (es. manipolazione del mercato se commessa con IA).

Anche se non tutte le nuove fattispecie sono formalmente inserite nel catalogo dei reati presupposto ex D.Lgs. 231/2001, l’uso illecito di sistemi intelligenti aumenta l’esposizione al rischio e può comportare sanzioni e misure interdittive se l’ente non prova l’adozione di efficaci presidi di prevenzione. Per gestire questi rischi, è cruciale aggiornare i processi e i controlli: analisi dei rischi digitali, protocolli specifici, formazione dedicata e monitoraggio continuo diventano strumenti essenziali. Un approccio proattivo alla sicurezza informatica e all’uso responsabile dell’IA non tutela soltanto la compliance normativa, ma protegge anche la reputazione e il valore dell’organizzazione nel lungo periodo.

NIS2: adempimenti e scadenze per il 2026

Con il 2026 si è aperta una fase fondamentale per le imprese che rientrano nell’ambito di applicazione della direttiva NIS2. Le imprese italiane, infatti, sono chiamate ad implementare concretamente i presidi previsti dalla normativa per essere compliant ed evitare di incorrere in sanzioni. Da gennaio 2026, infatti, sono divenuti pienamente efficaci gli obblighi di notifica degli incidenti significativi. Ciò implica che l’azienda deve essere in grado di riconoscere e gestire un incidente di sicurezza, possibilmente secondo una procedura chiara, che definisca ruoli, responsabilità e modalità di risposta ad un incident. Entro ottobre 2026, infatti, le misure di sicurezza di base devono essere effettivamente implementate, ovverosia devono essere parte dei processi aziendali.

Ciò considerato, non è sufficiente dotarsi di policy per essere conformi alla NIS2. Occorre infatti adottare un approccio risk based alla gestione del rischio cyber, una logica basata sulla resilienza e sull’emergenza. Questo è lo sforzo che viene richiesto alle imprese per evitare che i dati (il nuovo petrolio) siano davvero protetti!

L’importanza della polizza cyber risk

La cyber insecurity costituisce un rischio effettivamente percepito ed è collegata sia al progressivo sviluppo di nuove tecnologie, sia all’aumento della frequenza e della sofisticazione degli attacchi informatici.

Lo stato effettivo della struttura di sicurezza IT/cyber dell’organizzazione è ciò che fa la differenza a fronte di attacchi cyber, che potrebbero generare perdite e danni (anche in termini reputazionali e sanzionatori) molto superiori al premio assicurativo annuo. Ogni imprenditore, pertanto, dovrebbe identificare il proprio livello di esposizione al rischio digitale, per poi valutare se ricorrere alla polizza cyber-risk come strumento strategico per garantire continuità operativa.