Cybersecurity e Modello 231: il CNDCEC pubblica il documento sull’integrazione dei rischi informatici nella governance d’impresa

Il CNDCEC, con l’Informativa n. 88 del 18 maggio 2026, rende noto che è stato pubblicato il documento “Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa”. Il documento approfondisce il tema della cybersicurezza come elemento ormai imprescindibile dei sistemi di governance, controllo interno e compliance aziendale, soffermandosi sul rapporto tra gestione del rischio informatico e responsabilità amministrativa degli enti disciplinata dal d.lgs. 231/2001. 

L’analisi affronta i principali reati informatici rilevanti ai fini della responsabilità dell’ente, gli aspetti organizzativi collegati all’integrazione del rischio cyber nei Modelli di organizzazione, gestione e controllo e il ruolo dell’Organismo di Vigilanza, anche alla luce dell’impatto delle nuove tecnologie e dell’intelligenza artificiale nei sistemi aziendali. L’approfondimento è pensato come supporto operativo per i Commercialisti, chiamati sempre più spesso a confrontarsi con un quadro normativo in continua evoluzione e con organizzazioni sempre più esposte ai rischi informatici. 

Cybersecurity e Modello 231

La trasformazione digitale ha modificato profondamente il modo in cui le imprese gestiscono processi, dati e sistemi di controllo. La sicurezza informatica non è più considerata un tema esclusivamente tecnico, ma un fattore organizzativo e strategico che incide sulla continuità operativa, sulla reputazione aziendale e sulla capacità dell’impresa di prevenire eventi potenzialmente dannosi. Il documento evidenzia come il rischio cyber debba essere inserito all’interno dei sistemi di organizzazione e controllo dell’ente, superando una visione limitata alla sola protezione tecnologica. 

La crescente esposizione agli attacchi informatici, unita all’evoluzione del quadro normativo nazionale ed europeo, impone un approccio più strutturato nella gestione dei rischi. In questo scenario assumono rilievo, oltre al d.lgs. 231/2001, anche le disposizioni introdotte dalla Direttiva NIS2, dal GDPR e dalla normativa nazionale in materia di cybersicurezza. 

I reati informatici rilevanti 

Uno dei profili centrali affrontati dal documento riguarda i reati presupposto in ambito informatico. L’art. 24-bis del d.lgs. 231/2001, introdotto dalla legge n. 48/2008 in attuazione della Convenzione di Budapest, ha esteso la responsabilità amministrativa degli enti a numerose fattispecie legate all’utilizzo illecito delle tecnologie informatiche. 

Tra le condotte maggiormente rilevanti rientrano l’accesso abusivo a sistemi informatici previsto dall’art. 615-ter c.p., la diffusione illecita di codici di accesso disciplinata dall’art. 615-quater c.p., l’intercettazione abusiva di comunicazioni informatiche e il danneggiamento di dati o sistemi informatici ai sensi degli artt. 635-bis e seguenti del codice penale. A tali fattispecie si aggiungono le ipotesi di frode informatica e falsità documentale connesse ai documenti digitali. 

Il documento richiama inoltre gli effetti della legge n. 90/2024 sul rafforzamento della cybersicurezza nazionale, che ha previsto un inasprimento delle sanzioni e un ampliamento delle fattispecie rilevanti, incidendo direttamente anche sulla disciplina del Modello 231. 

Organismo di Vigilanza e intelligenza artificiale

La pubblicazione dedica particolare attenzione al ruolo dell’Organismo di Vigilanza e all’impatto dell’intelligenza artificiale nei processi di controllo aziendale. L’utilizzo crescente di sistemi automatizzati e strumenti di AI apre opportunità in termini di monitoraggio, analisi dei dati e gestione delle anomalie, ma introduce anche nuovi profili di rischio che richiedono adeguati presidi organizzativi. 

L’integrazione dell’intelligenza artificiale nei processi aziendali impone una revisione dei sistemi di controllo e una riflessione sulla capacità dei Modelli organizzativi di intercettare i nuovi rischi emergenti. Diventa quindi centrale l’adozione di una logica preventiva basata sulla valutazione continua del rischio, sull’aggiornamento delle procedure e sulla capacità dell’organizzazione di adattarsi a scenari tecnologici in costante evoluzione.