Il D.Lgs. 27 marzo 2026, n. 47, attuativo della cosiddetta Legge Capitali, non nasce come una riforma di diritto della tecnologia. Eppure, letto in modo sistematico, produce un effetto molto rilevante sul rapporto tra impresa, dati, sicurezza informatica e intelligenza artificiale.
Indice degli argomenti
Dal rischio digitale alla governance dell’impresa
La riforma interviene sul Codice civile e sul Testo Unico della Finanza, rafforzando il ruolo degli amministratori nella gestione e nell’organizzazione dell’impresa e introducendo, per le società quotate, specifici profili di disclosure sulle politiche relative alle nuove tecnologie, ai sistemi di intelligenza artificiale e ai rischi informatici e di cybersecurity.
La conseguenza pratica è chiara: privacy, cybersecurity e AI non possono più essere considerate funzioni specialistiche isolate, delegate a uffici tecnici o a presidi di compliance verticale. Diventano componenti dell’assetto organizzativo, amministrativo e contabile dell’impresa, cioè del sistema attraverso il quale la società identifica, governa e controlla i propri rischi.
Questo passaggio non è solo formale. Per gli organi amministrativi, significa dover dimostrare che i rischi digitali sono stati mappati, valutati, integrati nei flussi informativi, monitorati nel tempo e ricondotti alle responsabilità aziendali corrette. Per DPO, CISO, responsabili AI, compliance officer e legal counsel, significa uscire dalla logica del documento isolato e costruire un modello di governance digitale leggibile dal board.
La modifica dell’art. 2380-bis c.c.: organizzazione e gestione spettano agli amministratori
Il punto di partenza della riforma è la nuova formulazione dell’art. 2380-bis c.c., secondo cui la gestione e l’organizzazione dell’impresa, inclusa l’istituzione dell’assetto organizzativo, amministrativo e contabile, spettano esclusivamente agli amministratori.
La norma rafforza una linea già presente nel diritto societario italiano: l’adeguatezza degli assetti non è un tema meramente gestionale, né un adempimento documentale. È un presidio di governo dell’impresa. Gli amministratori devono strutturare l’organizzazione in modo coerente con natura, dimensioni, complessità e rischi dell’attività esercitata.
In questo scenario, i rischi digitali assumono una posizione centrale. Un’impresa che tratta grandi volumi di dati personali, utilizza sistemi di AI nei processi decisionali, dipende da fornitori cloud critici, opera in settori essenziali o rilevanti ai sensi della disciplina NIS2, oppure rientra nel perimetro DORA, non può considerare dati, cyber e tecnologie come semplici fattori abilitanti. Sono elementi strutturali del modello operativo.
La domanda che il consiglio di amministrazione deve porsi non è più soltanto: “Siamo conformi al GDPR?” oppure “Abbiamo una policy cyber?”. La domanda diventa: “Il nostro assetto organizzativo consente di identificare, prevenire, gestire e rendicontare i rischi derivanti da dati, tecnologie, cybersecurity e intelligenza artificiale?”
I nuovi artt. 2381-bis e 2381-ter c.c.: flussi informativi e agire informato
Il nuovo impianto del Codice civile valorizza anche il ruolo del consiglio nella valutazione dell’adeguatezza degli assetti e quello degli organi delegati nella loro cura concreta. Gli organi delegati devono riferire periodicamente al consiglio e all’organo di controllo.
Questo rafforza il principio dell’agire informato. Gli amministratori non possono limitarsi a confidare genericamente nelle funzioni tecniche. Devono ricevere informazioni sufficienti, comprensibili e aggiornate per valutare l’esposizione dell’impresa ai rischi rilevanti.
Sul piano digitale, ciò implica la costruzione di flussi informativi periodici verso il board su almeno cinque aree:
- protezione dei dati personali;
- sicurezza informatica e resilienza operativa;
- utilizzo di sistemi di intelligenza artificiale;
- dipendenza da fornitori tecnologici e cloud;
- incidenti, audit, remediation plan e rischi emergenti.
La compliance non può restare frammentata. Un registro dei trattamenti aggiornato ma non collegato ai rischi cyber, una DPIA non condivisa con le funzioni di sicurezza, un inventario AI non integrato con procurement e controlli interni, o un piano di risposta agli incidenti non riportato al board sono tutti segnali di una governance digitale immatura.
Art. 123-bis TUF: nuove tecnologie, AI e cybersecurity nella relazione sul governo societario
Per le società quotate, la riforma assume un rilievo ulteriore attraverso la modifica dell’art. 123-bis TUF. La relazione sul governo societario e sugli assetti proprietari deve includere, ove adottate, informazioni sulle politiche relative all’uso e al monitoraggio delle nuove tecnologie, in particolare dei sistemi di intelligenza artificiale negli assetti amministrativi, organizzativi e contabili.
La disclosure riguarda anche le politiche di gestione e monitoraggio dei rischi informatici, inclusi i rischi di cybersecurity e quelli derivanti dall’integrazione di nuove tecnologie.
Questa previsione segna un salto qualitativo. Le tecnologie digitali entrano nella narrazione pubblica della governance societaria. Non sono più confinate alla funzione IT, alla privacy notice o ai manuali interni. Diventano informazioni rilevanti per mercato, investitori, organi di controllo e stakeholder.
La società quotata dovrà quindi essere in grado di spiegare, in modo coerente e verificabile:
- se utilizza sistemi di AI negli assetti amministrativi, organizzativi e contabili;
- quali politiche ha adottato per governarne uso e monitoraggio;
- come presidia i rischi informatici e cyber;
- quali responsabilità interne sono attribuite;
- come tali presidi si integrano nei controlli interni e nella gestione dei rischi.
Non si tratta necessariamente di pubblicare ogni dettaglio tecnico. Ma la società deve poter dimostrare che esiste un modello di governo delle tecnologie proporzionato e coerente con la propria esposizione al rischio.
Art. 149-ter TUF: controlli interni, monitoraggio continuo e strumenti predittivi
Un altro elemento di forte interesse è il nuovo art. 149-ter TUF, dedicato all’utilizzo di sistemi di monitoraggio continuo e strumenti di controllo automatici e predittivi nell’ambito del controllo interno.
La norma richiede che tali strumenti siano adeguati e proporzionati alla natura e alle dimensioni dell’impresa e ai rischi cui essa è esposta. Il messaggio è rilevante: l’impiego di tecnologie avanzate nei controlli interni non è vietato, né guardato con sfavore. Ma deve essere governato.
Nel concreto, questo significa che sistemi di anomaly detection, strumenti predittivi di rischio, piattaforme di continuous monitoring, algoritmi di scoring o dashboard automatizzate non possono essere introdotti senza una valutazione preliminare del loro impatto.
Le principali aree di attenzione riguardano:
- qualità, pertinenza e aggiornamento dei dati utilizzati;
- trasparenza del funzionamento del sistema, almeno in termini di logica e finalità;
- controllo umano sui risultati;
- prevenzione di errori sistemici, bias o falsi positivi;
- cybersecurity dello strumento;
- tracciabilità delle decisioni;
- compatibilità con GDPR e AI Act;
- proporzionalità rispetto ai rischi e alle dimensioni dell’impresa.
Il punto non è bloccare l’innovazione, ma evitare che strumenti automatici destinati a rafforzare i controlli interni diventino essi stessi una fonte di rischio organizzativo, legale o reputazionale.
GDPR: accountability e privacy by design come componenti degli assetti
Il GDPR offre già da anni una grammatica della governance: accountability, privacy by design e by default, registro dei trattamenti, misure di sicurezza, DPIA, gestione dei data breach, ruolo del DPO.
Gli artt. 5 e 24 GDPR impongono al titolare non solo di rispettare i principi del trattamento, ma anche di essere in grado di dimostrarlo. L’art. 25 introduce la protezione dei dati fin dalla progettazione e per impostazione predefinita. L’art. 30 richiede la tenuta del registro delle attività di trattamento. L’art. 32 impone misure tecniche e organizzative adeguate al rischio. L’art. 35 disciplina la valutazione d’impatto sulla protezione dei dati. Gli artt. 38 e 39 qualificano ruolo, indipendenza e compiti del DPO.
Alla luce della riforma societaria, questi presidi non dovrebbero più essere letti come un perimetro separato. Devono dialogare con gli assetti organizzativi.
Ciò comporta, ad esempio, che il board debba ricevere dal DPO informazioni periodiche su:
- trattamenti ad alto rischio;
- DPIA rilevanti;
- data breach e near miss;
- audit sui responsabili del trattamento;
- trasferimenti internazionali critici;
- stato del programma privacy;
- principali remediation plan;
- eventuali criticità segnalate dal DPO.
Il DPO, a sua volta, non deve diventare un organo gestorio, né perdere la propria indipendenza. Ma deve essere inserito in un sistema di flussi informativi che consenta agli amministratori di comprendere le esposizioni rilevanti e adottare decisioni consapevoli.
Cybersecurity: da rischio IT a rischio d’impresa
La cybersecurity è forse l’ambito in cui il cambio di prospettiva è più evidente. Per anni è stata trattata come materia tecnica, collocata nella funzione IT e misurata prevalentemente attraverso indicatori operativi. Oggi non è più sostenibile.
La Direttiva NIS2, attuata in Italia con il D.Lgs. 138/2024, rafforza gli obblighi di gestione del rischio cyber per soggetti essenziali e importanti. La logica è chiaramente organizzativa: misure di sicurezza, gestione degli incidenti, continuità operativa, sicurezza della supply chain, formazione, responsabilità degli organi di gestione.
DORA, per il settore finanziario, porta questa impostazione a un livello ancora più strutturato, introducendo un quadro armonizzato sulla resilienza operativa digitale, sulla gestione del rischio ICT, sugli incidenti, sui test di resilienza e sul rischio derivante da fornitori terzi ICT.
Il D.Lgs. 47/2026 si innesta in questa evoluzione. Il rischio cyber non è più soltanto il rischio che un server venga compromesso. È rischio di continuità aziendale, di responsabilità degli amministratori, di danno reputazionale, di perdita di valore, di interruzione della supply chain, di sanzioni e di contenzioso.
Per questa ragione, il CdA dovrebbe ricevere un reporting cyber sintetico ma sostanziale, capace di indicare:
- livello di esposizione ai principali rischi;
- incidenti occorsi e relativi impatti;
- stato di attuazione delle misure NIS2 o DORA, ove applicabili;
- rischi derivanti da fornitori critici;
- risultati di assessment, penetration test e audit;
- stato dei piani di remediation;
- indicatori di maturità cyber;
- eventuali gap rispetto a policy e standard interni.
La cybersecurity diventa così un linguaggio di governance, non solo una materia di specialisti.
AI: l’intelligenza artificiale come oggetto di governo societario
L’AI Act e la legge italiana n. 132/2025 introducono un modello regolatorio basato sul rischio, con obblighi differenziati per sistemi vietati, sistemi ad alto rischio, modelli di AI per finalità generali e sistemi soggetti a obblighi di trasparenza.
La definizione di sistema di intelligenza artificiale assume rilievo anche nel contesto della nuova disciplina societaria e finanziaria, perché consente di delimitare quali tecnologie debbano essere considerate nei processi di governance. Non ogni software è AI. Ma quando un sistema presenta caratteristiche rientranti nella definizione del Regolamento UE 2024/1689, l’impresa deve interrogarsi sul suo ruolo, sulla sua finalità, sui dati trattati, sull’impatto sui destinatari e sul livello di rischio.
Il collegamento con gli assetti societari è evidente in almeno quattro aree.
Inventario dei sistemi AI
La prima è l’inventario. Un’impresa non può governare ciò che non conosce. Serve una mappatura dei sistemi di AI utilizzati, in sviluppo o acquistati da terzi, distinguendo tra strumenti interni, strumenti embedded in piattaforme di terzi, sistemi utilizzati nei processi HR, commerciali, produttivi, finanziari o di controllo.
Risk management, qualità dei dati e alfabetizzazione AI
La seconda è il risk management. I sistemi di AI devono essere valutati rispetto a impatti legali, etici, organizzativi, cybersecurity, data protection, proprietà intellettuale e responsabilità.
La terza è la qualità dei dati. Molti rischi AI derivano da dati incompleti, non aggiornati, non pertinenti o non rappresentativi. Per questo la governance AI deve dialogare con data governance e privacy governance.
La quarta è l’alfabetizzazione AI. Il board e il management devono comprendere almeno i concetti essenziali: cosa fa il sistema, quali decisioni supporta, quali dati usa, quali limiti presenta, quali controlli umani sono previsti e quali rischi residui permangono.
Il nodo dei fornitori: cloud, AI vendor, outsourcer e responsabili del trattamento
Un assetto digitale adeguato non può limitarsi alla struttura interna. La dipendenza da fornitori tecnologici è ormai una componente essenziale del rischio d’impresa.
Cloud provider, outsourcer IT, software house, fornitori di sistemi AI, piattaforme HR, CRM, strumenti di marketing automation, servizi di cybersecurity e consulenti esterni partecipano direttamente al funzionamento dell’organizzazione. In molti casi trattano dati personali, gestiscono infrastrutture critiche o incidono su processi decisionali.
Questo impone un coordinamento tra contratti, procurement, privacy, cyber e AI governance.
I contratti con i fornitori dovrebbero prevedere clausole su:
- trattamento dei dati personali e nomina a responsabile ai sensi dell’art. 28 GDPR, quando applicabile;
- misure di sicurezza;
- audit e controlli;
- data breach e incident notification;
- subfornitori;
- localizzazione dei dati e trasferimenti internazionali;
- livelli di servizio;
- continuità operativa;
- uso di AI e divieti di training non autorizzato;
- assistenza in caso di richieste dell’autorità o degli interessati;
- exit strategy e portabilità.
Nel perimetro DORA, il rischio ICT di terze parti assume un rilievo ancora più stringente. Nel perimetro AI Act, occorre comprendere anche la catena dei ruoli: provider, deployer, importatore, distributore, utilizzatore interno o soggetto che modifica la destinazione del sistema.
GDPR e AI: gli obblighi interconnessi nel governo societario
La sfida odierna si estende infine anche agli obblighi interconnessi privacy ed AI.
Il CdA deve considerare privacy e AI governance come un unico sistema di controllo, non come due cantieri paralleli. L’adozione di sistemi di AI, soprattutto quando incidono su clienti, lavoratori, processi decisionali o attività core, richiede innanzitutto una mappatura dei dati estesa all’intero ciclo di vita dell’AI: raccolta, selezione, qualità e liceità dei dataset, eventuale uso per training, validazione, testing, fine-tuning, monitoraggio post-deployment e conservazione dei log. Questa mappatura deve raccordarsi con il registro dei trattamenti ex art. 30 GDPR, con le valutazioni d’impatto ex art. 35 GDPR e, per i sistemi AI ad alto rischio, con gli obblighi di data governance, documentazione tecnica, logging, trasparenza e sorveglianza umana previsti dagli artt. 10, 11, 12, 13 e 14 dell’AI Act. Il Board deve inoltre assicurare che i processi di gestione dei diritti degli interessati siano effettivamente compatibili con sistemi automatizzati o assistiti da AI: accesso, rettifica, cancellazione, opposizione e limitazione non possono restare procedure formali se i dati sono incorporati in pipeline di addestramento, modelli, output o sistemi decisionali. Centrale è anche il presidio della trasparenza, sia verso gli interessati ai sensi degli artt. 12-14 GDPR, sia verso utenti e destinatari dei sistemi AI secondo l’AI Act, evitando informative generiche che non consentano di comprendere logiche, finalità, categorie di dati, ruoli e responsabilità. Infine, il CdA deve verificare che il controllo umano non sia una formula documentale, ma un presidio organizzativo reale: ruoli chiari, competenze adeguate, possibilità effettiva di intervento, escalation e override. Quando il sistema produce o supporta decisioni con effetti giuridici o significativamente analoghi sulla persona, occorre inoltre valutare il coordinamento con l’art. 22 GDPR sulla decisione automatizzata, distinguendo tra automazione piena, decisione assistita e decisione umana effettiva. In questa prospettiva, la responsabilità del Board non è scegliere la tecnologia, ma assicurare che l’impresa disponga di un modello di governance capace di rendere tracciabile, controllabile e spiegabile l’uso dei dati e dell’AI lungo tutto il ciclo decisionale.
Cosa deve fare concretamente un’impresa
Le società di capitali e le società quotate devono considerare il D.Lgs. 47/2026 come un’occasione per rivedere il proprio modello di governance digitale.
Un percorso realistico può articolarsi in otto passaggi.
Primo: mappare i rischi digitali. L’impresa deve identificare trattamenti di dati personali, sistemi critici, fornitori tecnologici, sistemi di AI, strumenti di monitoraggio, processi automatizzati, infrastrutture cloud e dipendenze operative.
Secondo: integrare privacy, cyber e AI negli assetti organizzativi. Ciò richiede aggiornamento di deleghe, procure, organigrammi, policy, procedure, comitati, flussi informativi e responsabilità interne.
Terzo: predisporre un reporting periodico al CdA. Il report dovrebbe essere sintetico, leggibile e orientato al rischio. Non un documento tecnico, ma uno strumento decisionale.
Quarto: rafforzare la gestione dei fornitori. Il procurement digitale deve includere valutazioni privacy, cyber, AI, contrattuali e di continuità operativa.
Quinto: adottare o aggiornare policy AI e cyber. Le policy devono stabilire criteri di approvazione, limiti d’uso, responsabilità, controlli, sicurezza, qualità dei dati, gestione degli output e divieti di utilizzi non autorizzati.
Sesto: allineare DPO, CISO, legal, compliance, risk management e internal audit. Le funzioni non devono lavorare per silos. Serve una cabina di regia proporzionata alla dimensione dell’impresa.
Settimo: formare board e management. La formazione non deve essere generica. Deve consentire agli organi apicali di comprendere rischi, obblighi, responsabilità e scelte strategiche.
Ottavo: per le società quotate, verificare la coerenza della relazione sul governo societario con le politiche effettivamente adottate in materia di nuove tecnologie, AI e cybersecurity.
Il rischio di una compliance solo documentale
Il principale errore sarebbe rispondere alla riforma con un nuovo set di documenti non integrati. Una policy AI, un registro dei trattamenti, un piano cyber e una procedura data breach, se non comunicano tra loro, non costituiscono un assetto adeguato.
Il tema vero è la capacità dell’organizzazione di prendere decisioni informate. Un CdA deve poter sapere quali tecnologie critiche sono utilizzate, quali rischi sono presidiati, quali incidenti sono avvenuti, quali fornitori sono essenziali, quali remediation sono aperte e quali scelte richiedono un intervento apicale.
Allo stesso modo, DPO, CISO e responsabili AI devono poter incidere sui processi decisionali, non limitarsi a produrre documenti a posteriori. La governance digitale funziona solo se è preventiva, trasversale e misurabile.
Una nuova responsabilità organizzativa del board
Il D.Lgs. 47/2026 conferma una tendenza ormai evidente: la tecnologia è entrata nella responsabilità organizzativa degli amministratori.
Non significa che il CdA debba diventare un organo tecnico. Significa che deve presidiare le decisioni essenziali: quali rischi accettare, quali misure finanziare, quali fornitori approvare, quali tecnologie adottare, quali controlli implementare, quali informazioni rendere al mercato e quali livelli di rischio residuo tollerare.
Per molte imprese, questo richiederà un cambio culturale. La privacy non sarà più solo “materia del DPO”. La cybersecurity non sarà più solo “materia dell’IT”. L’AI non sarà più solo “materia dell’innovazione”. Tutte e tre diventano componenti del governo societario.
La vera sfida non è moltiplicare gli adempimenti, ma costruire un sistema nel quale dati, sicurezza e intelligenza artificiale siano integrati negli assetti, nei controlli interni, nei flussi informativi e nelle decisioni strategiche.
Conclusione: dalla compliance digitale alla governance digitale
Il D.Lgs. 47/2026 segna un passaggio dalla compliance digitale alla governance digitale.
Per le imprese, il punto non è soltanto rispettare GDPR, AI Act, NIS2 o DORA. Il punto è dimostrare che tali normative sono state tradotte in un assetto organizzativo coerente, proporzionato e governabile.
Per i consigli di amministrazione, ciò significa assumere un ruolo più consapevole nel governo dei rischi digitali. Per DPO, CISO, compliance e legal, significa costruire strumenti di reporting e coordinamento capaci di parlare il linguaggio dell’impresa. Per le società quotate, significa anche rendere trasparente, nella disclosure societaria, il modo in cui nuove tecnologie, AI e cybersecurity entrano negli assetti amministrativi, organizzativi e contabili.
Il risultato atteso non è una compliance più pesante, ma una governance più matura. In un mercato in cui dati, algoritmi e infrastrutture digitali incidono sulla continuità, sulla reputazione e sul valore dell’impresa, la capacità di governarli diventa parte integrante della responsabilità degli amministratori.















Partecipa alla community