L’articolo 24-bis del D.lgs. 231/2001 estende la responsabilità penale aziendale ai reati informatici. Una rete normativa europea sempre più fitta costringe le aziende a rendere la sicurezza digitale parte integrante del proprio modello organizzativo
In un contesto dove il digitale permea ogni aspetto dell’attività economica, la cybersecurity non è più soltanto una questione tecnica ma è anche un nodo cruciale nella determinazione della responsabilità penale delle imprese. Lo spiega chiaramente l’articolo 24-bis del D.lgs. 231/2001, che funge da cardine giuridico per ampliare la nozione di colpa organizzativa in chiave informatica.
La penalità aziendale non si limita più ai reati tradizionali, come l’accesso abusivo o il danneggiamento informatico, ma si estende ad altri comportamenti quali l’intercettazione illecita, la diffusione o detenzione di codici di accesso, l’uso abusivo di identità digitali o sistemi biometrici. Questo allargamento indica una svolta significativa: non basta predisporre un modello organizzativo per la compliance, ma è imperativo che risulti attuato effettivamente, aggiornato costantemente e integrato alle specificità tecnologiche dell’impresa.
La responsabilità non è più solo ideologica ma è anche operativa. Nel caso di attacchi informatici, le imprese possono trovarsi sotto la lente non solo per la violazione in sé, ma anche per i dubbi sulla governance interna, sull’efficacia dei controlli e sulla preparazione delle strutture di risposta. Anche esempi noti, come il blocco informatico che ha colpito la Regione Lazio, hanno evidenziato che la superficialità nella gestione delle vulnerabilità e la mancanza di un piano di continuità operativo possono trasformarsi in elementi aggravanti in sede penale.
La giurisprudenza, in particolare la Cassazione, ha confermato che l’esimente prevista per il Modello 231 è valida solo se sussiste un monitoraggio reale e attivo e non una mera architettura formale. Ciò ribadisce la visione secondo cui la sicurezza digitale debba essere un pilastro della cultura aziendale, non una casella da spuntare.
Ma la pressione non proviene solo dal diritto nazionale. La regolamentazione europea, in particolare le direttive Nis 2, Dora (Digital Operational Resilience Act), il Cyber Resilience Act (CRA) e l’Ai Act, impone misure preventive ancor più stringenti nel campo della cybersecurity. Questi strumenti richiedono alle imprese un approccio strutturato: rischio integrato, formazione, governance, aggiornamento continuo, investimenti tecnologici e accountability trasversale.
La compliance non può, dunque, essere un costo da sostenere ma dev’essere una vera e propria leva strategica di valore. La gestione del rischio informatico, calata in un impianto normativo sempre più rigido, diventa un fattore di competitività, reputazione e sostenibilità di lungo periodo. Le imprese che sapranno declinare in modo concreto la cultura della prevenzione digitale sapranno anche trasformare i rischi in opportunità.
