La corporate governance disclosure si arricchisce di nuovi contenuti obbligatori: con il decreto attuativo della Legge Capitali, le società per azioni sono chiamate per la prima volta a rendere pubbliche le proprie politiche sull’uso dell’intelligenza artificiale e sulla gestione dei rischi informatici.
Una svolta che non riguarda solo la forma della comunicazione societaria, ma tocca il cuore della governance interna e dei meccanismi di controllo del rischio tecnologico.
Indice degli argomenti
Legge Capitali e art. 123-bis TUF: nuovi obblighi di trasparenza sulla corporate governance
Nel dettaglio, il D. lgs. 27 marzo 2026, n. 47, decreto attuativo della cosiddetta Legge Capitali (L. 5 marzo 2024, n. 21), ha apportato delle modifiche all’art. 123-bis del D.lgs. 24 febbraio 1998, n. 58 (TUF) introducendo al comma 2 le lettere d-ter) e d-quater) che assumono una grande rilevanza sul versante informativo.
La novella introduce per le società per azioni, nel tessuto della corporate governance disclosure, ulteriori obblighi di trasparenza trasformando ciò che in passato poteva essere oggetto di comunicazione volontaria in un elemento integrante della relazione sulla corporate governance da rendere pubblico.
Intelligenza artificiale e rischi cibernetici: cosa devono comunicare le società
L’art. 123-bis è stato integrato, infatti, dalle seguenti lettere: d-ter) che include, tra le informazioni riportate nella relazione sul governo societario, quelle di fornire, ove adottate, una descrizione delle politiche della società in materia di utilizzo e di monitoraggio delle nuove tecnologie e, in particolare, dei sistemi di intelligenza artificiale negli assetti amministrativi, organizzativi e contabili nonché dalla lett. d-quater) che include anche, ove adottate, una descrizione delle politiche di gestione e di monitoraggio dei rischi informatici, inclusi i rischi di sicurezza cibernetica e i rischi derivanti dall’integrazione di nuove tecnologie negli assetti amministrativi, organizzativi e contabili.
Il quadro europeo: NIS 2, DORA, CRA e AI Act come contesto regolatorio di riferimento
Questa novità normativa si innesta in un contesto europeo già strutturato da altri strumenti regolatori quali, ad esempio, la Direttiva (UE) 2022/2555 (NIS 2), recepita con il D.lgs. 4 settembre 2024, n. 138 (decreto NIS); il Regolamento (UE) 2024/2847 (Cyber Resilience Act o CRA); Regolamento (UE) 2022/2554 (DORA) e il Regolamento (UE) 2024/1689 (AI Act), ciascuno dei quali governa un segmento distinto ma complementare del rischio tecnologico che le società, in generale, sono chiamate a fronteggiare.
Dalla compliance europea alla trasparenza di mercato: il doppio binario normativo
La novella prevede quindi, per le società per azioni, di rendere trasparente, ai mercati e agli investitori, dell’effettivo presidio dei rischi tecnologici che le stesse sono già tenute a gestire in forza dei citati strumenti europei.
Da un lato, NIS 2, DORA, CRA e AI Act generano obblighi sostanziali di sicurezza, resilienza e conformità dei sistemi informativi e dei prodotti tecnologici; dall’altro, la novella al TUF converte l’adempimento a quegli obblighi in un elemento di trasparenza verso il mercato, soggetto a verifica da parte della società di revisione.
Il principio comply or explain e il rischio reputazionale per le società senza politiche
Particolare rilevanza riveste la locuzione “ove adottate” che non introduce un obbligo di adozione di tali politiche, ma un obbligo di disclosure della loro eventuale esistenza.
Ciò significa che il legislatore ha scelto un approccio comply or explain: la mancanza di politiche potrebbe essere dunque implicitamente dedotta e, pertanto, percepita con un giudizio critico dal mercato e dagli investitori, nella misura in cui la gestione del rischio tecnologico e di compliance è oggi considerata un’area rilevante e strategica. Sarà, quindi, molto importante giustificare adeguatamente i motivi del mancato inserimento di tali informazioni richieste dalla norma.
Impatti dell’art. 123-bis TUF rispetto all’AI Act: sistemi ad alto rischio e obblighi di disclosure
Gli impatti delle modifiche all’art. 123-bis TUF rispetto alla NIS 2 e all’AI Act Le modifiche introdotte all’art. 123-bis TUF assumono particolare rilevanza alla luce del nuovo quadro regolatorio europeo in materia di sicurezza, resilienza tecnologica e governance dell’intelligenza artificiale.
In tale contesto gli aspetti di compliance AI assumono importanza per il contenuto della disclosure prescritta dalla lettera d-ter) dell’art. 123-bis TUF.
L’AI Act introduce un approccio basato sul rischio dei sistemi di AI distinguendo tra rischio inaccettabile, alto rischio, rischio limitato e rischio minimo. Una società per azioni che utilizzi sistemi di AI classificati ad alto rischio ai sensi dell’art. 6 e dell’Allegato III dell’AI Act, ad esempio, sistemi per l’affidabilità creditizia, per la gestione delle risorse umane, è tenuta, ai sensi dell’AI Act, ad assolvere a una serie di obblighi sostanziali di conformità quali, ad esempio, documentazione tecnica, registri dei log, misure di supervisione umana. Le politiche di “utilizzo e monitoraggio” dei sistemi di AI introdotte dall’art. 123-bis d-ter) potrebbero, per una società in perimetro, coincidere con le politiche che l’AI Act impone di adottare come presupposto per la conformità della messa in servizio del sistema AI.
Il coordinamento con NIS 2: responsabilità degli organi di amministrazione e sicurezza informatica
L’art. 123-bis, lett. d-quater) TUF implica un necessario coordinamento con quanto previsto in ambito NIS 2. L’art. 23 del decreto NIS stabilisce infatti obblighi specifici in capo agli organi di amministrazione e direttivi dei soggetti NIS ossia, organi che detengono il potere di direzione dell’organizzazione, incluso, ove presente, il Consiglio di amministrazione e il rappresentante legale del soggetto NIS il quale viene menzionato in maniera esplicita, all’art. 38, comma 5, del medesimo decreto.
A tali organi è demandato l’obbligo di approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendere all’implementazione degli obblighi di sicurezza informatica essendo direttamente e personalmente responsabili per eventuali violazioni.
Questa responsabilizzazione apicale è il punto di giunzione strutturale con la lettera d-quater dell’art. 123-bis TUF: le politiche di gestione del rischio informatico che devono essere descritte nella relazione sul governo societario sono anche quelle che gli organi di amministrazione e direttivi, in forza della normativa NIS 2, deve approvare, aggiornare e monitorare. La disclosure imposta dal TUF potrebbe essere considerato il riflesso pubblicistico degli obblighi di sicurezza cibernetica già imposti dalla normativa di settore.
Multi-layer compliance: le sfide per le società soggette a TUF, NIS 2 e AI Act
Un profilo interpretativo di particolare delicatezza concerne l’ambito di applicazione soggettivo delle nuove disposizioni dell’art. 123-bis TUF e delle disposizioni europee.
Qualora una società rientri nell’ambito di applicazione dell’art. 123-bis TUF senza essere necessariamente soggetta agli obblighi sostanziali della NIS 2 o dell’AI Act, le politiche da descrivere nella relazione sono quelle che la società ha liberamente scelto di adottare, e la clausola comply or explain assume un peso ancora più significativo: la società deve valutare se, alla luce del proprio profilo di rischio, la mancata adozione di politiche formali sia giustificabile nei confronti del mercato.
All’opposto, se una società quotata rientra nell’ambito di applicazione dell’art. 123-bis TUF e al contempo è anche un soggetto NIS nonché soggetto che si avvale di sistemi di AI si troverà in una situazione di multi-layer compliance, nella quale le politiche descritte nella relazione sul governo societario devono soddisfare, cumulativamente, le aspettative del mercato e i requisiti sostanziali imposti dai tre strumenti europei. Il rischio di incoerenza tra le dichiarazioni contenute nella relazione e le effettive pratiche aziendali, espressamente presidiato dall’estensione del perimetro di revisione è, in questa situazione, particolarmente elevato e richiede un processo di redazione della disclosure che sia strettamente coordinato con le funzioni aziendali responsabili della compliance NIS 2 e AI Act.
In questo senso, il collegamento tra disclosure esterna e responsabilità interna non è esplicitamente tematizzato dal legislatore ma rappresenta un amplificatore della pressione normativa, attivando meccanismi di mercato che si aggiungono ai meccanismi pubblicistici di enforcement. La sfida non è semplicemente quella di mappare i nuovi obblighi normativi, ma quella di costruire modelli di governance che siano giuridicamente robusti, operativamente sostenibili e funzionali alla protezione dell’organizzazione dai rischi che questa nuova stagione normativa si propone di presidiare.
