Nel contesto della progressiva convergenza tra diritto penale d’impresa e cybersecurity, l’art. 24-bis del D.lgs. 231/2001 rappresenta oggi uno snodo paradigmatico per la ridefinizione della colpa organizzativa in senso informatico. L’evoluzione delle minacce cibernetiche – da ransomware sofisticati a forme complesse di phishing evolutivo, passando per attacchi supply chain e social engineering – impone alle organizzazioni un ripensamento radicale della governance del rischio.
Il passaggio da un paradigma reattivo a un’impostazione proattiva e sistemica è ormai ineludibile: l’omessa adozione di misure di sicurezza tecnicamente adeguate e documentabili si configura oggi come elemento integrativo della responsabilità amministrativa da reato, nonché di colpa ai sensi delle nuove normative europee in materia di cybersecurity, come ad esempio la direttiva europea NIS2, il CRA, il regolamento europeo DORA, nonché l’AI Act.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
Parallelamente, cresce l’aspettativa del legislatore e delle autorità di vigilanza nei confronti degli enti e delle imprese, affinché la cultura della sicurezza divenga elemento strutturale dell’identità aziendale. In tal senso, l’art. 24-bis funge da dispositivo di responsabilizzazione penale, capace di estendere l’area del rischio imputabile alla sfera organizzativa dell’ente, rafforzando il nesso tra governance, accountability e prevenzione penale in ambito digitale.
L’evoluzione normativa dell’art. 24-bis
Le più recenti modifiche apportate all’art. 24-bis hanno prodotto un allargamento significativo del catalogo dei reati presupposto. Oltre alle ipotesi classiche (accesso abusivo, frode informatica, danneggiamento di sistemi informatici o telematici), la disciplina contempla ora anche fattispecie come l’intercettazione illecita di comunicazioni, l’indebita detenzione e diffusione di codici di accesso, l’uso abusivo di identità digitali e dispositivi biometrici.
Tali previsioni, formalmente collocate nel codice penale, assumono una valenza sistemica nell’ambito della compliance aziendale: non è più sufficiente l’adozione formale di un modello organizzativo, ma è richiesta una sua attuazione effettiva, aggiornata e calata sulle specificità tecnologiche del contesto operativo dell’ente. Questa espansione delle ipotesi incriminatrici implica la necessità di una rinnovata sinergia tra funzione legale, funzione IT e vertice aziendale, in una logica di responsabilità condivisa e accountability multilivello.
Cosa succede in caso di attacco informatico
La dinamica post-attacco informatico è spesso caratterizzata da una fase iniziale di paralisi decisionale e da una successiva escalation investigativa che coinvolge anche l’ente sotto il profilo della responsabilità ex 231/01. I casi in cui l’assenza di adeguati presidi tecnici e procedurali abbia condotto a una formale imputazione dell’ente si moltiplicano.
Finanziamenti personali e aziendali
Prestiti immediati
L’attacco alla Regione Lazio, emblematico per dimensione e impatto, ha messo in luce l’insufficienza di un approccio esclusivamente formale alla sicurezza: vulnerabilità note e non risolte, mancanza di un piano di continuità adeguato, formazione non aggiornata. Analogamente, in altri casi recenti, il ruolo del DPO e dell’OdV è stato rivalutato in sede giudiziale per verificare se esistesse un’effettiva vigilanza o solo una sovrastruttura normativa. La giurisprudenza di legittimità (Cass. Pen. Sez. IV n. 21704/2023) e ribadisce che la responsabilità dell’ente passa per la “colpa di organizzazione”, confermando l’orientamento secondo cui solo un modello realmente attuato e vigilato può costituire l’esimente.
Perché c’è pressione regolatoria multilivello
Il diritto europeo ha innestato nel sistema giuridico nazionale una pluralità di fonti che, pur con finalità eterogenee, convergono nell’imporre alle organizzazioni l’adozione di misure tecniche e organizzative stringenti in ambito informatico. La Direttiva NIS2 (recepita nel D.lgs. 138/2024), il Regolamento DORA per il settore finanziario, l’AI Act, il Cyber Resilience Act (CRA), la Legge 90/2022 e il PNSC, nonché l’istituzione di ACN, un’agenzia governativa specifica per il settore cybersecurity, disegnano un perimetro normativo multilivello in cui la sicurezza informatica assume valore giuridico cogente.
Tale contesto normativo sovranazionale rafforza l’esigenza di una compliance orizzontale e interdisciplinare, che coniughi responsabilità penale, protezione dei dati, continuità operativa e gestione del rischio informatico. In assenza di una struttura integrata, l’ente rischia una sovraesposizione sanzionatoria da parte di Autorità amministrative (ACN, Garante per la Privacy, IVASS, Banca d’Italia), organi giudiziari e stakeholder. Il Modello 231, aggiornato e contestualizzato, diventa lo strumento cardine per garantire un adeguato presidio di tutte le interfacce normative.
Modello 231 e rischio cyber, linee guida operative
L’adattamento del Modello 231 al rischio informatico implica l’integrazione tra analisi del rischio cyber e sistema dei controlli interni, la partecipazione attiva e documentata di figure tecniche quali CISO, DPO e IT Manager, e se del caso anche Esperti in Comunicazione d’Impresa, ai lavori dell’OdV e l’elaborazione di procedure strutturate per la gestione di incidenti di sicurezza, comprese attività di forensics e comunicazione della crisi. È necessario estendere il perimetro del controllo anche ai fornitori strategici, come i provider di servizi cloud o gli outsourcer ICT.
Tale revisione deve accompagnarsi a un piano formativo continuo, esteso anche alle figure apicali dell’ente, dedicato ai reati informatici e ai protocolli di sicurezza, nonché all’introduzione di indicatori di performance e audit periodici per misurare l’efficacia delle misure implementate. Un caso emblematico riguarda un’azienda del comparto manifatturiero in cui attraverso la segnalazione sul canale interno per il whistleblowing e tramite alert automatici e report periodici del SIEM, è stato intercettato un comportamento anomalo riconducibile a una compromissione interna, neutralizzando l’evento prima che assumesse proporzioni critiche.
Evoluzione del ruolo dell’OdV
L’OdV è chiamato a trasformarsi in un soggetto capace di integrare le dimensioni tradizionali della vigilanza con la lettura dei principali indicatori tecnici: i report SIEM, i log di sistema, le policy di patching e vulnerabilità, così come l’aggiornamento delle normative in materia di cybersicurezza. È essenziale che l’OdV promuova incontri periodici e interfunzionali, in cui la funzione legale dialoghi con IT, compliance, DPO e risk management, creando una cultura condivisa del presidio cyber. Alcuni OdV si stanno dotando di strumenti operativi strutturati per la verifica di scenari cyber attraverso simulazioni e test periodici, trasformando la vigilanza da formale a effettiva.
Verso una standardizzazione interpretativa del rischio informatico ai fini 231
I casi recenti confermano la tendenza della giurisprudenza a includere la cybersicurezza come elemento centrale nella valutazione dell’idoneità e dell’efficacia del Modello 231. Le vicende Telecom Italia, Università di Napoli, Comune di Torino e i data breach in ambito sanitario mostrano una crescente attenzione alla concreta attuazione dei modelli organizzativi in ambito digitale. La Cassazione, nella predetta sentenza n. 21704/2023 in principio generale e nella più recente Cass. Pen. Sez. V n. 3211/2024 di merito, sulla responsabilità di fatto dell’ente, ha stabilito che il controllo effettivo e aggiornato è condizione imprescindibile per l’esimente da reato. Sebbene le due sentenze riguardino rispettivamente un infortunio sul lavoro (art. 25-septies) e reati contro la proprietà industriale (artt. 25-bis e 623 c.p.), i criteri di imputazione e l’esimente art. 6 sono i medesimi e quindi applicabili anche al cyber-crime ex 24-bis. Quindi, è chiaro come il trend normativo e giurisprudenziale punta, dunque, a una standardizzazione delle aspettative nei confronti degli enti in termini di prevenzione, anche informatica.
Etica della prevenzione e razionalità strategica
La cybersecurity, lungi dall’essere una materia specialistica isolata, costituisce oggi un elemento essenziale della responsabilità penale dell’impresa. L’art. 24-bis del D.lgs. 231/01 rappresenta uno specchio della maturità organizzativa: non solo compliance, ma cultura del rischio e capacità anticipatoria. L’integrazione del rischio cyber nei Modelli 231 non deve essere un adempimento formale, ma una leva strategica per la continuità operativa, la protezione reputazionale e la riduzione dell’esposizione sanzionatoria.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
In un’epoca segnata dalla complessità sistemica, l’ente che investe in governance digitale investe nella propria sopravvivenza giuridica ed economica. Occorre passare da una logica difensiva a una logica evolutiva della compliance, dove il presidio informatico non è una barriera, ma un fattore abilitante per innovazione, competitività e affidabilità.
Fonti e riferimenti
Documenti ENISA, ACN, EDPB su misure minime e best practice
D.lgs. 231/2001, art. 24-bis e ss.
Direttiva NIS2 e D.lgs. 138/2024
Regolamento (UE) 2022/2554 (DORA)
Regolamento sull’AI Act e Cyber Resilience Act
Provvedimenti Garante Privacy 2021-2024
Investi nel futuro
scopri le aste immobiliari
Cassazione penale, Sez. IV, sent. n. 21704/2023
Cassazione penale, Sez. V, sent. n. 3211/2024
Linee guida ANAC e Confindustria su MOG231 aggiornati
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Aste immobiliari
l’occasione giusta per il tuo investimento.
