di Paolo Maria Ganci e Mariano Carozzi
Il DORA sposta (per imperio legislativo) il sistema di responsabilità della cybersecurity all’interno del mondo bancario, finanziario e amministrativo dal reparto IT delle imprese all’organo amministrativo. Nell’articolo del 22 luglio 2024 avevamo, in calce, evidenziato come il sistema di responsabilità del DORA punta direttamente all’organo amministrativo delle imprese: in questo articolo cercheremo di approfondire la questione.
La logica della autoresponsabilità delle imprese, in inglese “accountability”, che si concentra nell’organo amministrativo delle stesse non è sicuramente un’innovazione del DORA ma è il portato di una consolidata tradizione giuridica e delle regole che sovraintendono all’organizzazione d’impresa non solamente del diritto unionale ma anche (e soprattutto) del mondo anglosassone (e principalmente statunitense). In ordine sparso e senza alcuna pretesa di completezza si possono citare: il GDPR (Regolamento 2016/679 sulla tutela dei dati personali) secondo cui il titolare dei dati, l’impresa cioè che stabilisce i mezzi e i fini del trattamento, è sempre accountable; il sistema della responsabilità amministrativa delle imprese introdotto dal d. lgs. 8 giugno 2001, n. 231 (nota nel mondo corporate come la “231”); il novellato articolo 2086, comma 2, del Codice civile, secondo cui «l’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa». Insomma, non esistono parafulmini: se l’impresa non si dota di un sistema adeguato (adeguatezza da valutare, a seconda dei casi, sulla base del parametro flessibile della sana e prudente gestione ovvero del rispetto di norme giuridiche positive, come è il caso del DORA o del GDPR) scattano le sanzioni a carico dell’impresa e, potenzialmente, date alcune condizioni, la responsabilità dell’organo amministrativo nei confronti della società e degli azionisti/soci della stessa.
L’articolo 5, paragrafo 2 del DORA (rubricato “governance e organizzazione”), infatti enuncia il seguente principio: «l’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, vigila su tale attuazione e ne è responsabile». La seconda parte del paragrafo 2 dell’articolo 5, poi, continua precisando che l’organo di gestione «a) assume la responsabilità finale per la gestione dei rischi informatici dell’entità finanziaria; b) predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati; c) definisce chiaramente ruoli e responsabilità per tutte le funzioni connesse alle TIC […]; d) ha la responsabilità generale di definire e approvare la strategia di resilienza operativa digitale […]; e) approva, supervisiona e riesamina periodicamente l’attuazione della politica di continuità operativa delle TIC […]; f) approva e riesamina periodicamente i piani interni di audit in materia di TIC dell’entità finanziaria […]; g) assegna e riesamina periodicamente le risorse finanziarie adeguate per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria […]; h) approva e riesamina periodicamente la politica dell’entità finanziaria relativa alle modalità per l’uso dei servizi TIC prestati dal fornitore terzo di servizi TIC; i) istituisce a livello aziendale canali di comunicazione […]».
Il DORA, pertanto, sposta, come detto nell’incipit, autoritativamente, la responsabilità della cybersecurity, per quanto riguarda le imprese soggette al DORA, dal CTO (o il reparto IT) all’organo amministrativo. In tal senso, si può mettere nel giusto contesto quanto si diceva nell’articolo del 22 luglio scorso che (sia permessa l’autocitazione) “il DORA è sostanzialmente un sistema normativo (e chi scrive è, infatti, un avvocato) e non un quadro tecnico di regole della cybersecurity”: se la gestione delle soluzioni IT per la cybersecurity rimane evidentemente una competenza in capo al dipartimento IT e al CTO, il DORA richiede che l’impresa crei un sistema (normativo) di compliance che è, come tutti i sistemi di tal genere, un’analisi sul piano giuridico-organizzativo del rischio dell’impresa in ambito cyber e una descrizione delle procedure e delle soluzioni di cui l’impresa si è dotata per mitigare tale rischio. Naturalmente la mitigazione del rischio cyber non è nata con il DORA e la stessa ISO 27001 (che molte imprese già hanno) certifica il sistema di sicurezza delle informazioni aziendali. La differenza con il DORA (o la novità se si preferisce) è che il DORA apporta un sistema definito di regole di documenti e di compliance che l’impresa è tenuta ad adottare e a preparare (pena le sanzioni) mentre prima i sistemi di attenuazione del rischio cyber erano basati sull’auto-iniziativa individuale e su standard volontari come la ISO 27001.
Il DORA, quindi, definisce chiaramente il quadro di compliance in materia di cybersecurity e prescrive, altresì, esplicitamente che la responsabilità della preparazione e dell’implementazione di tale quadro gravi sull’organo amministrativo dell’impresa e, pertanto, implicitamente, che essa non gravi sul CTO o sul dipartimento IT.
