La riforma del Testo Unico della Finanza non nasce come intervento di diritto della tecnologia. Tuttavia, se letta in modo sistematico, incide in profondità sulle modalità con cui cybersecurity, intelligenza artificiale e protezione dei dati personali vengono oggi governate, tracciate e ricondotte a responsabilità all’interno delle società per azioni.
Per i professionisti della privacy e per i DPO, trascurarne le implicazioni non rappresenta soltanto una lacuna operativa, ma un errore di impostazione: significa non cogliere come questi ambiti siano ormai parte integrante della governance societaria e dei meccanismi di accountability del board.
Indice degli argomenti
D.Lgs. 47/2026 e governance digitale nelle società quotate
Il D.Lgs. 47/2026 nasce formalmente come strumento di potenziamento della competitività del mercato dei capitali italiano e di semplificazione del quadro regolatorio applicabile alle società di capitali quotate. Interviene sul Testo Unico della Finanza (D.Lgs. 58/1998) e sulla disciplina codicistica dell’amministrazione societaria, agendo su leve classiche del diritto commerciale: struttura degli organi, poteri degli amministratori, obblighi informativi verso il mercato, sistemi di controllo interno.
Sarebbe tuttavia riduttivo fermarne l’analisi a tale perimetro. Il decreto si inserisce in un contesto normativo europeo in rapida evoluzione, nel quale la governance aziendale non può più essere disgiunta dalla gestione dei rischi digitali.
Il Regolamento DORA (Reg. UE 2022/2554), il Regolamento sull’Intelligenza Artificiale (Reg. UE 2024/1689, c.d. AI Act), la Direttiva NIS2 e il GDPR costituiscono un sistema di regole che incide ormai strutturalmente sull’organizzazione d’impresa. Il D.Lgs. 47/2026 non si sovrappone a queste discipline, ma le attraversa e le rafforza, introducendo obblighi di governance che funzionano da moltiplicatori di accountability.
Il presente approfondimento esamina le principali disposizioni del decreto sotto il profilo della loro interazione con il GDPR e con il più ampio sistema di regole sulla sicurezza delle informazioni, con l’obiettivo di fornire un quadro operativo per le imprese quotate, per i loro DPO e per i consulenti che le assistono.
Responsabilità degli amministratori e assetti organizzativi digitali
La modifica più significativa del decreto, sotto il profilo dell’impatto sulla governance digitale, è contenuta nell’art. 9, che riformula la disciplina delle responsabilità degli amministratori nelle società per azioni. La norma attribuisce espressamente agli amministratori non solo la gestione dell’impresa, ma anche la sua organizzazione, comprensiva dell’istituzione, del mantenimento e della verifica dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile.
Questa formulazione non è una mera precisazione sistematica. Nella prassi applicativa del diritto commerciale, l’assetto organizzativo è tradizionalmente associato a funzioni operative e amministrative, con un’attenzione prevalente ai profili di controllo contabile e finanziario. La norma amplia tale perimetro in modo coerente con le trasformazioni intervenute nel contesto competitivo: in un’impresa digitalizzata, i sistemi informativi, le infrastrutture tecnologiche, i processi di trattamento dati e i meccanismi di presidio della sicurezza informatica sono componenti dell’assetto organizzativo tanto quanto la struttura gerarchica o il sistema di deleghe.
La connessione con il Regolamento Generale sulla Protezione dei Dati è diretta e non mediata. L’art. 24 GDPR impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire e poter dimostrare (accountability) che il trattamento dei dati personali sia effettuato in conformità al regolamento. Il principio di accountability, declinato in questa disposizione, non è soddisfatto dalla mera produzione documentale: richiede che la conformità emerga dalla struttura organizzativa, dai processi decisionali, dai sistemi di controllo e dalla capacità di renderne conto in modo verificabile.
Con il nuovo art. 9 del D.Lgs. 47/2026, la responsabilità organizzativa degli amministratori si estende anche all’adeguatezza delle misure di protezione dei dati personali. Ciò significa che la valutazione dell’idoneità dell’assetto organizzativo non può prescindere da una verifica sulla qualità e sull’effettività delle misure GDPR adottate. Il DPO, in questo contesto, non è più una figura di presidio normativo laterale, ma un interlocutore diretto del board, chiamato a fornire una rappresentazione strutturata dello stato di conformità e dei rischi residui.
Le imprese dovranno quindi revisionare i propri modelli organizzativi privacy alla luce di questa nuova proiezione normativa, verificando che l’accountability sostanziale sia presidiata a livello apicale e non solo operativo.
Disclosure su AI e cybersecurity nella relazione sul governo societario
L’art. 123-bis del TUF, nella versione riformulata dal decreto, introduce per le società quotate l’obbligo di includere nella relazione sul governo societario una descrizione delle politiche adottate in materia di utilizzo e monitoraggio delle nuove tecnologie, con specifico riferimento ai sistemi di intelligenza artificiale, nonché delle politiche di gestione dei rischi informatici.
La disposizione introduce una forma di non-financial disclosure tecnologica che si affianca agli obblighi già esistenti in materia di sostenibilità, governance e rischio.
Le politiche su AI e cybersecurity diventano oggetto di comunicazione verso il mercato, con la conseguenza che la loro eventuale assenza, inadeguatezza o contraddizione rispetto alla realtà operativa può configurare un’irregolarità rilevante sia sotto il profilo del diritto dei mercati finanziari sia sotto quello delle responsabilità degli organi apicali.
In questo contesto le implicazioni per la compliance GDPR sono molteplici. L’obbligo di descrivere le politiche sull’utilizzo dei sistemi di intelligenza artificiale pone immediatamente la questione della loro conformità al GDPR e, per le applicazioni ad alto rischio, all’AI Act. Un sistema di IA che elabora dati personali: che si tratti di un algoritmo di scoring creditizio, di un sistema di raccomandazione, di uno strumento di analisi predittiva delle risorse umane o di un motore di personalizzazione commerciale è assoggettato simultaneamente al GDPR e, qualora rientri nelle categorie di rischio elevato, alle prescrizioni del Regolamento UE 2024/1689.
Le politiche dichiarate nella relazione sul governo societario devono quindi riflettere, coerentemente, le misure di protezione dei dati adottate in fase di progettazione (data protection by design, ex art. 25 GDPR), le basi giuridiche legittimanti il trattamento (art. 6 e, se del caso, art. 9 GDPR), e per i trattamenti ad alto rischio l’esito delle valutazioni d’impatto condotte ai sensi dell’art. 35 GDPR. Una politica AI dichiarata al mercato che non menzioni il profilo GDPR espone l’impresa a un duplice rischio: la contestazione da parte delle Autorità di vigilanza finanziaria per incompletezza della disclosure e l’attenzione del Garante per la protezione dei dati personali per difetto di accountability.
Analoghe considerazioni valgono per le politiche di gestione dei rischi informatici: la descrizione dei framework di sicurezza adottati non può prescindere dalla rappresentazione delle misure tecniche e organizzative implementate ai sensi dell’art. 32 GDPR, né dall’illustrazione dei meccanismi di incident response attivabili in caso di violazione dei dati personali (data breach), soggetti alla procedura notificatoria di cui agli artt. 33-34 GDPR.
Monitoraggio continuo, controlli predittivi e proporzionalità GDPR
L’art. 149-ter del TUF, introdotto dal decreto, disciplina i sistemi di monitoraggio continuo e gli strumenti di controllo automatici e predittivi, stabilendo che essi debbano essere adeguati e proporzionati ai rischi dell’impresa. La disposizione si colloca all’interno della disciplina del sistema di controllo interno e di gestione dei rischi, affiancando i presidi tradizionali (internal audit, risk management, compliance) con un riferimento esplicito agli strumenti digitali di controllo.
La ratio della norma è chiara: in un contesto in cui i sistemi di monitoraggio automatizzato sono sempre più diffusi dai Security Information and Event Management (SIEM) ai sistemi di User and Entity Behavior Analytics (UEBA), dagli strumenti di network monitoring alle soluzioni di Data Loss Prevention (DLP) il legislatore societario ha inteso subordinarne l’adozione a un giudizio di proporzionalità rispetto ai rischi effettivamente fronteggiati dall’impresa.
Il principio di proporzionalità è uno dei pilastri del GDPR: l’art. 5, paragrafo 1, lettera c), sancisce il principio di minimizzazione dei dati, imponendo che i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. I sistemi di monitoraggio continuo, per loro natura, raccolgono e trattano quantità significative di dati, spesso includendo informazioni comportamentali sugli utenti dei sistemi informativi aziendali e quindi, in ultima analisi, sui dipendenti.
Il trattamento di dati personali dei lavoratori a fini di controllo è un terreno particolarmente sensibile nel diritto italiano, governato dalla combinazione tra l’art. 88 GDPR, il D.Lgs. 196/2003 (Codice Privacy), l’art. 4 dello Statuto dei Lavoratori (L. 300/1970) e il Provvedimento del Garante del 12 marzo 2024 sull’uso degli strumenti di lavoro. La legittimità di un sistema di monitoraggio dei dipendenti non può mai essere data per scontata: richiede una valutazione della base giuridica applicabile (interesse legittimo ex art. 6(1)(f) GDPR, bilanciato con i diritti e le libertà degli interessati), l’esecuzione di una valutazione d’impatto sulla protezione dei dati (DPIA) ex art. 35 GDPR qualora il trattamento presenti rischi elevati, e se del caso la consultazione preventiva dell’Autorità di controllo ex art. 36 GDPR.
Il fatto che il D.Lgs. 47/2026 richieda espressamente che tali sistemi siano proporzionati ai rischi dell’impresa introduce un criterio di valutazione ulteriore, che non assorbe ma si aggiunge agli obblighi GDPR. Un sistema di monitoraggio che superi il test di proporzionalità societaria può comunque risultare non conforme al GDPR se la DPIA non è stata condotta, se la base giuridica è carente o se le informazioni agli interessati sono insufficienti. Le imprese sono quindi chiamate a una valutazione a doppio binario: adeguatezza societaria e conformità privacy, in modo integrato e non sequenziale.
Governance della supply chain tecnologica e responsabilità privacy
La governance della supply chain tecnologica è uno degli aspetti di maggiore impatto operativo del decreto riguarda il governo della catena di fornitura tecnologica. L’inserimento dei controlli sui fornitori all’interno degli assetti organizzativi societari coerente con quanto già previsto dalla NIS2 in materia di sicurezza della supply chain produce un effetto di consolidamento normativo che rafforza gli obblighi già esistenti in capo al titolare del trattamento.
L’art. 28 GDPR impone al titolare di ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti in merito all’applicazione di misure tecniche e organizzative adeguate e di formalizzare tale rapporto mediante contratto o altro atto giuridico vincolante che contenga le clausole tassativamente previste dalla norma. Il decreto rafforza questa impostazione, richiedendo che il controllo sui fornitori tecnologici sia continuativo, documentato e verificabile, non limitato alla fase di selezione iniziale.
In termini pratici, le imprese quotate sono chiamate a strutturare un sistema di vendor management che integri: la qualificazione iniziale del fornitore mediante assessment di sicurezza e privacy; la contrattualizzazione dei rapporti con responsabili del trattamento in conformità all’art. 28 GDPR; il monitoraggio continuativo dell’adeguatezza delle misure adottate dai fornitori; l’inserimento dei fornitori critici nel registro dei trattamenti ex art. 30 GDPR; la gestione degli incidenti di sicurezza occorsi presso i fornitori con i relativi impatti sulla notifica al Garante. La convergenza tra NIS2 e GDPR in questo ambito è particolarmente marcata e richiede un approccio metodologico unitario.
Il nuovo ruolo del DPO nella governance digitale d’impresa
Le modifiche introdotte dal D.Lgs. 47/2026 ridefiniscono il posizionamento istituzionale del Data Protection Officer all’interno dell’organizzazione aziendale. Se la protezione dei dati personali è ora parte integrante degli assetti societari, e se la disclosure su AI e cybersecurity deve includere una rappresentazione coerente con la conformità GDPR, il DPO non può più operare come presidio normativo periferico, ma deve essere posizionato come funzione di advisory strategica al livello del board.
In concreto, ciò si traduce in alcune evoluzioni del ruolo. Il DPO è chiamato a produrre reportistica strutturata verso il consiglio di amministrazione, non limitata alla rappresentazione degli adempimenti documentali ma estesa alla valutazione dei rischi privacy significativi, all’esito delle DPIA condotte, allo stato delle notifiche di data breach, e all’avanzamento dei piani di remediation. È chiamato a collaborare con le funzioni di risk management per l’integrazione del rischio privacy nell’Enterprise Risk Management aziendale. È chiamato a interagire con il responsabile della sicurezza informatica (CISO) per garantire che i sistemi di monitoraggio e le misure di sicurezza siano progettati e gestiti in modo conforme al GDPR. È chiamato, infine, a contribuire alla redazione delle politiche su AI e cybersecurity che verranno dichiarate nel governo societario, verificandone la coerenza con la compliance effettiva.
Il DPO che non abbia ancora strutturato questo tipo di interazione con gli organi apicali è oggi in ritardo rispetto alle aspettative normative, prima ancora che rispetto alle migliori pratiche.
Cosa devono fare in concreto le imprese
Cosa devono fare in concreto le imprese? Predisporre un piano di adeguamento:
Revisione del modello organizzativo privacy
Il primo intervento richiesto è una revisione critica del modello organizzativo adottato per la gestione della protezione dei dati personali, verificando che esso sia effettivamente integrato negli assetti societari e non costituisca un sistema separato di adempimento documentale. Ciò implica la mappatura dei ruoli e delle responsabilità, la verifica delle linee di reporting verso il board, l’aggiornamento delle policy interne e dei sistemi di controllo.
Predisposizione delle politiche per la disclosure sul governo societario
Le imprese quotate devono predisporre, entro il primo esercizio di applicazione del decreto, le politiche su AI e cybersecurity da inserire nella relazione sul governo societario. Tali politiche devono essere specifiche, verificabili e coerenti con le misure effettivamente adottate. Non è sufficiente un’elencazione generica di principi: la norma richiede una descrizione che consenta al mercato di valutare il grado di maturità dell’impresa nella gestione dei rischi tecnologici. Ogni politica dichiarata deve essere corredata da una verifica di conformità GDPR.
Assessment e DPIA per i sistemi di monitoraggio
I sistemi di monitoraggio continuo già in uso o in fase di adozione devono essere sottoposti a un assessment che verifichi simultaneamente la proporzionalità rispetto ai rischi aziendali (criterio societario) e la conformità al GDPR (criterio privacy). Per i sistemi che trattano dati comportamentali di dipendenti o che implicano un monitoraggio sistematico, la DPIA è nella maggior parte dei casi obbligatoria. Le imprese che non l’abbiano ancora condotta si trovano in una situazione di doppia non conformità.
Rafforzamento del vendor management
Il sistema di gestione dei fornitori tecnologici deve essere strutturato in modo da soddisfare simultaneamente i requisiti del D.Lgs. 47/2026, dell’art. 28 GDPR e dell’art. 21 del D.Lgs. 138/2024 (NIS2). È necessario disporre di un registro dei fornitori critici, di contratti conformi all’art. 28 GDPR, di procedure di monitoraggio continuativo e di clausole contrattuali che regolino la gestione degli incidenti di sicurezza e dei data breach occorsi presso i fornitori.
Formazione degli organi apicali
- Formazione degli organi apicali
La governance digitale integrata richiede che il consiglio di amministrazione, il collegio sindacale e il comitato per il controllo e i rischi possiedano competenze adeguate per comprendere e valutare i rischi tecnologici e di protezione dei dati. La formazione degli organi apicali su GDPR, AI Act, NIS2 e sicurezza informatica non è più una best practice: è una precondizione per l’esercizio consapevole delle responsabilità attribuite dalla legge.
D.Lgs. 47/2026, GDPR e adempimenti pratici
La tabella seguente riassume i principali istituti introdotti o modificati dal D.Lgs. 47/2026, la disposizione rilevante, le implicazioni per la protezione dei dati personali e gli adempimenti pratici attesi.
| Istituto D.Lgs. 47/2026 | Disposizione | Implicazione GDPR Privacy | Adempimento pratico |
| Art. 9 – Obbligo di organizzazione | Attribuzione esplicita agli amministratori della responsabilità sull’assetto organizzativo, amministrativo e contabile | La protezione dei dati diventa parte dell’assetto societario; il titolare GDPR (art. 24) deve dimostrare l’idoneità delle misure organizzative adottate | Revisione del modello organizzativo privacy; integrazione DPO nelle linee di reporting al CdA; mapping tra assetti societari e misure ex art. 24 GDPR |
| Art. 123-bis TUF – Disclosure tecnologie | Obbligo di descrivere nella relazione sul governo societario le politiche su AI, tecnologie emergenti e rischi informatici | Ogni politica AI/tecnologica dichiarata deve essere valutata sotto il profilo GDPR (liceità, minimizzazione, finalità limitata, DPIA ove richiesta) | Redazione di AI Policy e Cybersecurity Policy con capitolo privacy; verifica che le politiche dichiarate al mercato riflettano la compliance GDPR effettiva |
| Art. 149-ter TUF – Monitoraggio continuo | I sistemi di controllo automatico e predittivo devono essere adeguati e proporzionati ai rischi dell’impresa | I sistemi di monitoraggio comportano trattamenti di dati (inclusi dati comportamentali di dipendenti/utenti); la proporzionalità richiama direttamente il principio GDPR ex art. 5(1)(c) | DPIA ex art. 35 GDPR per sistemi di monitoraggio ad alto rischio; verifica basi giuridiche ex art. 6 e 9; bilanciamento interessi per il monitoraggio dei dipendenti |
| Vigilanza organi di controllo | Estensione del perimetro di vigilanza del collegio sindacale/organismo di controllo alla dimensione digitale e di sicurezza | La verifica degli assetti include la conformità GDPR e NIS2; l’accountability sostanziale richiede evidenze documentali strutturate | Predisposizione di audit trail e reportistica periodica verso gli organi di controllo; piani di audit integrati cybersecurity/privacy |
| Governance supply chain | Inserimento del controllo sui fornitori tecnologici nell’alveo degli assetti organizzativi | Rafforzamento degli obblighi ex art. 28 GDPR sui responsabili del trattamento; convergenza con art. 21 D.Lgs. 138/2024 (NIS2) sulla catena di approvvigionamento | Revisione e aggiornamento dei contratti ex art. 28; vendor assessment con clausole di sicurezza e privacy; registro fornitori critici con mappatura rischi |
| Responsabilità decisionale del CdA | Il consiglio di amministrazione diventa il centro di gravità della governance digitale | Il titolare del trattamento GDPR è chiamato a rispondere non solo formalmente ma sostanzialmente della protezione dei dati; accountability estesa al livello apicale | Formazione del CdA su GDPR, AI Act e NIS2; DPO report strutturati per il board; inclusione dei rischi privacy nell’ERM (Enterprise Risk Management) aziendale |
La protezione dei dati come componente strutturale della governance
Il D.Lgs. 47/2026 non è una norma di protezione dei dati personali. Ma il suo impatto sul sistema di governance della privacy nelle imprese quotate è profondo e non rinviabile. Esso contribuisce a consolidare un modello in cui la protezione dei dati non è un adempimento accessorio, ma una componente strutturale dell’organizzazione aziendale, presidiata al livello degli organi apicali, dichiarata al mercato e verificata dagli organi di controllo.
Per i professionisti della privacy, questo cambiamento rappresenta un’opportunità di riposizionamento strategico. Il DPO che saprà dialogare con il board, con il CISO, con il risk manager e con l’internal audit fornendo una rappresentazione integrata del rischio privacy nel contesto più ampio della governance digitale avrà un ruolo che supera la mera conformità documentale e diventa un contributo essenziale alla sostenibilità organizzativa dell’impresa.
La convergenza tra diritto societario, cybersecurity e protezione dei dati personali non è una tendenza reversibile. Il D.Lgs. 47/2026 ne è un tassello importante, ma non il definitivo. Il processo normativo europeo con l’AI Act pienamente operativo, DORA in vigore per il settore finanziario, e l’evoluzione in corso delle linee guida EDPB continuerà a ridefinire il perimetro della governance digitale d’impresa. La sfida culturale, prima ancora che normativa, è quella di superare la frammentazione delle compliance e approdare a una visione unitaria in cui la protezione delle persone, la sicurezza dei sistemi e la responsabilità organizzativa parlino un linguaggio comune.
