La recente normativa in materia di cybersecurity prevede un vero e proprio obbligo di formazione per gli organi di gestione (Consiglio di Amministrazione o equivalente) o direttivi (i corrispondenti organi negli enti diversi dalle società). In particolare, il D.lgs.138/2024 (di recepimento della c.d. Direttiva NIS2 UE 2022/2555) dispone che tali organi “sono tenuti a seguire una formazione in materia di sicurezza informatica” (art. 23, comma 2).

Del pari, il Regolamento DORA (UE 2022/2054) prescrive che “i membri dell’organo di gestione dell’entità finanziaria mantengono attivamente aggiornate le conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti” (art. 5, comma 4).

Altre discipline già prevedono un obbligo formativo, ma più specificamente a carico dei dipendenti dell’azienda e spesso solo implicitamente per gli organi di gestione. Ricordiamo a tal proposito il D.lgs. 81/2008 in materia di sicurezza del lavoro, il GDPR (Regolamento (UE) 2016/679) e il D.lgs. 231/2001 (MOG), dove il training è pensato in primis a tutela della salute e dei diritti dei lavoratori e poi a protezione dell’azienda e dei suoi vertici.

La diligenza professionale degli amministratori alla prova cyber

Sicuramente, l’obbligo di formazione in materia di cybersecurity si accompagna, come noto, all’attribuzione di una precisa ed espressa responsabilità in capo agli organi di amministrazione per la postura cyber delle loro aziende e l’attuazione delle misure di sicurezza minime a tutela del patrimonio e della continuità aziendale (nonché, indirettamente, del sistema Paese). Verosimilmente, tale obbligo avrebbe potuto già ricavarsi dalla disciplina codicistica, laddove l’art. 2392 c.c. dispone che gli amministratori “devono agire con la diligenza richiesta da loro incarico e dalle loro competenze”. Si tratta di una diligenza che richiede l’uso di una perizia professionale, superiore a quella comune e diretta alla corretta gestione della società. Quindi, se quella perizia non si possiede, l’amministratore, a prescindere dalle attività di formazione poste in essere dalla società, dovrebbe colmare le proprie conoscenze. Infatti, gestire una società altamente digitalizzata e tecnologica senza sapere nulla della materia potrebbe sembrare quanto meno “sfidante” agli occhi di un Giudice chiamato poi a valutare l’operato dell’organo di gestione.

Tuttavia, l’espressa previsione di legge che pone a carico dell’organo amministrativo l’onere di formarsi in materia di cybersecurity eleva a requisito minimo l’obbligo di diligenza professionale: per ricoprire la carica di amministratore devi essere formato contro il rischio cibernetico, se non lo fai sicuramente non sei diligente.

La trasformazione digitale e l’Agenda europea 2020-2030

Probabilmente il legislatore europeo ha tenuto conto della profonda trasformazione della società intervenuta sia con le piattaforme dei sistemi digitali che con le tecnologie emergenti e, coerentemente con la propria Agenda Digitale 2020-2030, ha voluto inserire uno specifico obbligo per migliorare le competenze cyber anche in capo ai vertici delle società, prendendo atto della diffusa mancanza di competenze tecnologiche nella popolazione.

Così facendo ha prescritto che le conoscenze in materia cyber vengano comunque acquisite ove non pre-esistenti. Quindi, gli amministratori devono essere competenti in materia di cybersicurezza. Ma l’onere è in capo alla società, al singolo amministratore o di entrambi? Sembrerebbe di entrambi, ma ove la società non risponda a tale necessità in modo adeguato, resterebbe in capo all’amministratore provvedere direttamente, con oneri, probabilmente, a carico ragionevolmente dell’azienda perché è anche nell’interesse di quest’ultima che l’organo amministrativo sia provvisto delle conoscenze richieste ex lege.

La natura interdisciplinare della formazione in cybersecurity

La cybersecurity è una materia certamente interdisciplinare: si intrecciano aspetti diversi, dall’informatica alla sicurezza fisica, dalle competenze legali alla valutazione del rischio, dalla gestione della crisi a quella della catena di approvvigionamento, dalla comunicazione interna/esterna all’igiene informatica. Ne consegue che la formazione debba e possa abbracciare aspetti delle relative discipline e accompagnare il Board nella conoscenza necessaria per comprenderne le diverse sfaccettature dell’azienda e della disciplina, senza per questo trasformarsi in un “comitato tecnico”.

Troppo spesso si assiste a sessioni di formazione che coprono o solo gli aspetti legali della normativa (NIS2 o Regolamento DORA), oppure solo gli aspetti tecnici/informatici.

Il management della società dovrebbe in ogni caso svolgere un ruolo fondamentale, soprattutto il Chief Information Security Officer (CISO), nella formazione e nel dialogo con il Board, con il supporto, per le materie non di competenza, di professionalità esterne. Si auspica, in particolare, che il Board possa essere accompagnato in un percorso virtuoso che consenta ai suoi membri di comprendere le previsioni normative che è tenuto ad adempiere, nonché le implicazioni tecnico/informatiche e di rischio che accompagnano la materia. Non è verosimile che questo cammino si compia in una o due sessioni nell’arco di un anno. Porre la tematica in modo ricorrente all’interno dell’agenda delle riunioni consiliari, prevedendo anche l’intervento del management per le opportune delucidazioni è già un segno importante della rilevanza che il Board attribuisce alla materia.

In fondo, si tratta di una materia affascinante e i Consiglieri possono essere senz’altro ingaggiati con sapienza e con tempo di qualità.