Interventi

Cybersecurity: il ruolo centrale del consiglio di amministrazione

di Riccardo Bordi

3' di lettura

Può ritenersi ormai sdoganata l'idea, invero un po' naif e certamente erronea, secondo cui la cybersecurity è materia da spy story o un problema che riguarda altri.
Il crescente numero di attacchi cyber, per lo più perpetrati mediante blocco dei sistemi informatici con esfiltrazione dei dati e richiesta di riscatto da parte degli aggressori, ha aumentato l'attenzione delle imprese italiane al problema della cybersecurity. Recentemente, molte importanti imprese hanno acquisito maggiore consapevolezza in materia di sicurezza informatica e hanno ricercato e implementato strumenti di protezione sempre più sofisticati.
Il dibattito che si è sviluppato in Italia, sino ad oggi, ha tuttavia riguardato, per lo più, solo una parte del problema, e precisamente i profili tecnici e informatici della cybersecurity. Resta ancora quasi del tutto trascurato il profilo giuridico, e precisamente quello della corporate governance e del ruolo del consiglio di amministrazione.
Questo approccio è, a mio avviso, non corretto. Anche in materia di cybersecurity, infatti, vengono in rilievo aspetti giuridici di preminente importanza, e il consiglio di amministrazione svolge un ruolo centrale nella loro individuazione e corretta gestione. Le seguenti considerazioni motivano quanto ora indicato.
È un dato di fatto che, appena si verifica un attacco cyber (di norma, all'improvviso), l'impresa deve gestire delicati aspetti che sono ulteriori, e quantomeno altrettanto complessi, rispetto ai problemi tecnico-informatici di ripristino dell'infrastruttura. Possono elencarsene almeno tre: (i) la gestione dei rapporti con gli aggressori, che pone numerosi interrogativi: iniziare o meno una interlocuzione; come svolgere questa interlocuzione (autonomamente o con ausilio di consulenti esperti in negoziati di questo genere); pagare o meno il riscatto; ecc.; (ii) la gestione dei rapporti con le autorità (Polizia Postale, Procura della Repubblica, Garante alla Privacy, ecc.); (iii) la gestione dei rapporti all'interno dell'impresa: quale comunicazione dare alle strutture aziendali riguardo all'attacco subito; in quale momento, e in che modo, è necessario o opportuno informare l'organo di controllo (ad esempio, il collegio sindacale); in quale momento, e in che modo, è necessario o opportuno informare il consiglio di amministrazione.
La risposta a tutti questi (e altri) interrogativi va ricercata caso per caso, tenendo in doverosa considerazione la rilevanza, sotto il profilo penale e/o della responsabilità degli amministratori, delle decisioni assunte.
L'organo preposto a ricercare e dare queste risposte è proprio il consiglio di amministrazione, il quale, per stabilire correttamente chi deve fare cosa, potrà e dovrà riferirsi alle norme di legge e alle best practice. Ad esempio, l'articolo 2381 del codice civile chiarisce bene la ripartizione di compiti (e responsabilità) del consigliere delegato (il CEO o amministratore delegato) e degli organi deleganti (cioè dei restanti componenti del consiglio di amministrazione, tra cui, ad esempio, i consiglieri indipendenti). Al primo spetta il compito di curare che l'assetto organizzativo dell'impresa, anche in materia di cybersecurity, sia adeguato alle dimensioni e ai rischi della stessa; ai secondi quello di valutare, sulla base delle informazioni ricevute, l'adeguatezza del predetto assetto organizzativo. Anche la normativa di settore in materia di cybersecurity (limitandoci a quella più nota, la c.d. Direttiva NIS e il decreto di recepimento) può costituire un punto di riferimento per il consiglio di amministrazione nella individuazione e implementazione di assetti organizzativi adeguati a prevenire e minimizzare l'impatto di attacchi o incidenti cyber. È ben vero che detta normativa di settore si rivolge alle imprese incluse nel suo perimetro di applicazione (non a tutte le imprese), tuttavia la stessa può aiutare i singoli consiglieri, rispettivamente, a curare o valutare l'adeguatezza degli assetti posti in essere, anche in proporzione alle dimensioni dell'impresa e ai rischi cui è soggetta. Infine, le best practice internazionali forniscono un utile supporto per individuare le più adeguate forme di organizzazione e gestione del rischio cybersecurity all'interno del consiglio di amministrazione. Nei paesi anglosassoni, dove è ormai riconosciuto e affermato il ruolo centrale del board in questa materia, importanti imprese hanno optato per l'istituzione di un comitato ad hoc dedicato alla cybersecurity, oppure di un sottocomitato all'interno del comitato preposto al controllo dei rischi aziendali. Alcuni studi suggeriscono la cooptazione di un consigliere esperto in cybersecurity. Il catalogo offerto dalle best practice internazionali è davvero ampio, come tale adattabile alle dimensioni e ai rischi di ciascuna impresa.
In conclusione, la materia cybersecurity deve essere affrontata (anche) sotto il profilo giuridico, riconoscendo il ruolo centrale del consiglio di amministrazione, il quale, nel rispetto delle norme in materia di corporate governance, deve curare e valutare l'adeguatezza dell'assetto organizzativo dell'impresa in questo specifico settore. Il disinteresse non è giustificato, ed è potenzialmente foriero di rilevanti responsabilità.

Riccardo Bordi, partner e membro del Focus Team Corporate Governance di BonelliErede

Loading...
Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti