L’evoluzione del quadro normativo europeo in materia di cybersecurity e protezione dei dati personali sta progressivamente ridefinendo il ruolo della gestione dei fornitori ICT all’interno delle organizzazioni. Se, nel contesto del Regolamento (UE) 2016/679, la disciplina dei rapporti con i soggetti terzi è stata tradizionalmente inquadrata nell’ambito dell’art. 28 GDPR, oggi tale impostazione appare strutturalmente insufficiente alla luce degli obblighi introdotti dalla Direttiva (UE) 2022/2555 (NIS2) e del D.Lgs. 4 settembre 2024, n. 138.
Il punto di rottura è evidente: il Data Processing Agreement, per anni considerato il principale strumento di governo dei rapporti con i fornitori, non è più idoneo a rappresentare, da solo, un presidio adeguato rispetto ai rischi derivanti dalla supply chain digitale. La crescente interdipendenza tra sistemi, servizi e infrastrutture ICT ha infatti trasformato i fornitori da meri esecutori di trattamenti a veri e propri nodi critici dell’architettura operativa dell’impresa.
In questo contesto, la gestione dei fornitori cessa di essere un tema contrattuale e diventa un tema di governance del rischio. Ed è proprio in questo passaggio che emerge un profilo spesso trascurato: la possibile rilevanza penale delle carenze organizzative nella gestione della supply chain.
Indice degli argomenti
Gestione fornitori ICT, il limite strutturale dell’art. 28 GDPR
L’art. 28 GDPR impone al titolare del trattamento di ricorrere esclusivamente a responsabili che presentino “garanzie sufficienti” in termini di misure tecniche e organizzative. Tale disposizione ha dato origine, nella prassi, a un modello operativo fortemente contrattualizzato, in cui la selezione del fornitore e la gestione del rapporto sono state spesso ricondotte alla redazione di Data Processing Agreement standardizzati.
Questo approccio, pur formalmente corretto, presenta un limite strutturale: tende a identificare la compliance con la presenza di clausole contrattuali, trascurando la verifica sostanziale della loro effettiva attuazione ad un momento successivo e dipendente dal rischio relativo al trattamento dei dati personali. Il risultato è un modello in cui la responsabilità viene “allocata” nel contratto, ma non realmente governata sul piano operativo.
La NIS2 introduce una discontinuità significativa rispetto a tale impostazione. Il D.Lgs. 138/2024 richiede infatti ai soggetti essenziali e importanti di adottare misure di gestione del rischio che includono espressamente la sicurezza della supply chain, la valutazione dei fornitori e il monitoraggio continuo delle loro prestazioni in termini di sicurezza.
Non si tratta più di selezionare fornitori “affidabili”, ma di dimostrare una capacità continua di controllo, valutazione e intervento.
Supply chain digitale, dalla responsabilità amministrativa alla rilevanza penale
La sottovalutazione di tale passaggio espone le organizzazioni a un rischio che non è più soltanto amministrativo o regolatorio. In presenza di determinati eventi, le carenze nella gestione dei fornitori possono infatti assumere rilevanza penale.
Il riferimento è, in primo luogo, alle fattispecie di reato informatico previste dal codice penale, tra cui l’accesso abusivo a sistema informatico o telematico (art. 615-ter c.p.), l’interferenza illecita con sistemi informatici (art. 615-quinquies c.p.) e il danneggiamento di informazioni, dati e programmi informatici (artt. 635-bis e ss. c.p.). Tali reati possono essere commessi anche da soggetti terzi che operano per conto dell’organizzazione o che, attraverso la supply chain, accedono ai sistemi informativi dell’impresa.
In questo scenario, la questione centrale diventa la seguente: in che misura l’organizzazione può essere ritenuta responsabile per non aver adeguatamente selezionato, controllato o monitorato il fornitore?
La risposta va ricercata nel sistema della responsabilità amministrativa degli enti di cui al D.Lgs. 231/2001. Qualora il reato sia commesso nell’interesse o a vantaggio dell’ente, e sia riconducibile a una carenza organizzativa, l’ente stesso può essere chiamato a rispondere.
In tale prospettiva, la gestione dei fornitori ICT assume un ruolo centrale nei modelli organizzativi 231. Non si tratta più soltanto di prevedere clausole contrattuali, ma di dimostrare l’esistenza di un sistema effettivo di prevenzione dei rischi, che includa la valutazione della criticità dei fornitori, la verifica delle misure di sicurezza adottate, il monitoraggio continuo delle prestazioni e la gestione degli incidenti e delle vulnerabilità.
L’assenza di tali presidi può configurare una “colpa dell’organizzazione”, idonea a fondare la responsabilità dell’ente.
Supply chain e causalità del rischio
Un ulteriore elemento di complessità riguarda il nesso causale tra la condotta omissiva dell’organizzazione e l’evento lesivo. Nel contesto della supply chain digitale, tale nesso è spesso mediato dall’intervento di soggetti terzi, il che potrebbe indurre a ritenere che la responsabilità ricada esclusivamente sul fornitore.
Tuttavia, l’evoluzione normativa e giurisprudenziale mostra una crescente attenzione verso la capacità dell’organizzazione di prevedere e gestire i rischi derivanti dalle proprie interdipendenze tecnologiche. In altre parole, la responsabilità non si esaurisce nel controllo diretto dei sistemi, ma si estende alla capacità di governare i rischi indiretti.
Se un fornitore critico non viene adeguatamente valutato, se le sue misure di sicurezza non vengono verificate, se non esistono meccanismi di monitoraggio o di intervento in caso di incidente, diventa sempre più difficile sostenere che l’evento lesivo sia del tutto estraneo alla sfera di controllo dell’organizzazione.
Third Party Risk Management, il presidio tra GDPR e NIS2
In questo contesto, il Third Party Risk Management assume una funzione centrale non solo in chiave di compliance, ma anche di prevenzione del rischio penale. La gestione dei fornitori deve essere ripensata come processo continuo, integrato e documentato, capace di dimostrare che l’organizzazione ha effettivamente esercitato un controllo proporzionato al rischio.
Ciò implica un’integrazione strutturale tra diverse funzioni aziendali: cybersecurity, protezione dei dati personali, risk management, funzione legale e, ove presente, organismo di vigilanza ex D.Lgs. 231/2001. La frammentazione tra tali ambiti rappresenta oggi uno dei principali fattori di vulnerabilità, in quanto impedisce una visione unitaria del rischio.
In particolare, il coordinamento tra art. 28 GDPR e obblighi NIS2 diventa essenziale. Il contratto resta uno strumento necessario, ma non più sufficiente. Esso deve essere inserito all’interno di un sistema più ampio, che includa attività di assessment, audit, monitoraggio e revisione periodica.
Gestione dei fornitori ICT, dalla compliance formale alla governance del rischio
La gestione dei fornitori ICT rappresenta oggi uno dei principali punti di esposizione delle organizzazioni nel diritto della sicurezza digitale. La trasformazione della supply chain in un’infrastruttura critica rende inadeguati modelli basati esclusivamente sulla contrattualizzazione del rischio.
La combinazione tra GDPR, NIS2 e D.Lgs. 231/2001 impone un cambio di paradigma: dalla clausola contrattuale alla governance sostanziale del rischio. In tale contesto, la responsabilità non si esaurisce nella corretta redazione del contratto, ma si estende alla capacità di dimostrare un controllo effettivo sui fornitori.
Il rischio nascosto non è dunque nella violazione in sé, ma nella struttura organizzativa che la rende possibile. Ed è proprio su questo terreno – quello della governance della supply chain – che si gioca oggi la linea di confine tra compliance formale e responsabilità, anche penale, dell’impresa.
