Cybersecurity e responsabilità degli amministratori nell’era del Cyber Resilience Act: riflessioni a margine della Legge di delegazione europea 2025

Introduzione

Il Regolamento (UE) 2024/2847, adottato il 23 ottobre 2024, ha segnato un cambio di passo nella regolazione europea della sicurezza informatica. Conosciuto come Cyber Resilience Act (CRA), il provvedimento abbandona la logica degli interventi settoriali (rivolti unicamente agli operatori di infrastrutture critiche) per abbracciare un regime orizzontale: qualsiasi prodotto con elementi digitali immesso sul mercato dell’Unione è ora chiamato a rispondere a requisiti minimi di cybersicurezza. Un passaggio che non riguarda soltanto i grandi operatori tecnologici. Le ricadute, come si vedrà, toccano l’intero tessuto produttivo.

L’11 marzo 2026 il Senato ha approvato in via definitiva il disegno di legge di delegazione europea 2025 (legge 17 marzo 2026, n. 36, pubblicata in Gazzetta Ufficiale n. 70, del 25 marzo 2026). In particolare, l’art. 15 attribuisce al Governo la delega per il recepimento del CRA, fissando un termine di sei mesi dall’entrata in vigore della Legge di delegazione europea 2025. La norma arriva (e non è un dettaglio trascurabile) in un momento di particolare affollamento regolatorio. Accanto al CRA si collocano l’AI Act [Reg. (UE) 2024/1689], il d.lgs. n. 138/2024 di recepimento della direttiva NIS2, il d.l. 105/2019 che ha istituito il perimetro nazionale di sicurezza cibernetica, la legge n. 132/2025 sull’intelligenza artificiale (in argomento si veda G. Vetrugno - C. Sottoriva, Legge 132/2025 in materia di Intelligenza Artificiale: inquadramento normativo e ricadute sul sistema giuridico-economico nazionale, in IUS Societario, Lefebvre Giuffrè, 2025). Troppi strati perché il coordinamento possa darsi per acquisito.

L’analisi proposta nel presente contributo si articola in tre paragrafi. Il primo ricostruisce il quadro normativo risultante dal CRA e dalla delega dell’art. 15 della legge di delegazione europea 2025. Il secondo analizza le ricadute degli obblighi di cybersicurezza sulla diligenza degli amministratori e sul raccordo con il d.lgs. n. 231/2001. Il terzo si concentra sulle intersezioni (tutt’altro che pacifiche) con l’AI Act e la legge n. 132/2025.

Il quadro normativo: dal Reg. (UE) 2024/2847 all’art. 15 della Legge di delegazione europea 2025

Un termostato intelligente. Un software gestionale per una piccola impresa artigiana. Un dispositivo medicale agganciato alla rete ospedaliera. Prodotti che appartengono a mondi diversi, eppure sottoposti al medesimo regime: quello del CRA. Il Regolamento copre qualunque prodotto hardware o software connesso, direttamente o per il tramite di altri dispositivi, a una rete [artt. 2-6 del Reg. (UE) 2024/2847]. Nessuna distinzione per comparto merceologico. La sicurezza informatica cessa di essere una questione riservata a chi gestisce infrastrutture critiche e diventa, nelle intenzioni del legislatore europeo, un attributo intrinseco del prodotto, esattamente come la conformità alle norme sulla sicurezza elettrica o meccanica. Una logica coerente, ma che finisce per scaricare oneri non trascurabili sull’intera filiera produttiva.

Gli obblighi non si esauriscono, peraltro, al momento dell’immissione sul mercato. Gli artt. 13 e 14 del Regolamento prescrivono infatti una gestione continuativa delle vulnerabilità per tutta la durata del ciclo di vita del prodotto: aggiornamenti tempestivi, segnalazione delle vulnerabilità attivamente sfruttate, manutenzione della sicurezza nel tempo. Non un adempimento che si esaurisce con la marcatura CE, insomma, ma un impegno prolungato. L’art. 64 completa l’impianto prevedendo sanzioni fino a 15 milioni di euro o, se superiore, il 2,5% del fatturato mondiale annuo dell’impresa.

La delega contenuta nell’art. 15 della legge 17 marzo 2026, n. 36 (legge di delegazione europea 2025) traduce questo impianto europeo in scelte di architettura istituzionale nazionale. La più visibile riguarda l’ACN (l’Agenzia per la cybersicurezza nazionale), che il comma 2, lettere b) e c) individua al tempo stesso come autorità di notifica (art. 36 CRA) e come autorità di vigilanza del mercato (art. 52 CRA). Una concentrazione comprensibile sotto il profilo dell’economia organizzativa (il Legislatore ha evidentemente inteso evitare la dispersione di competenze tra una pluralità di soggetti) ma che lascia aperta la questione della separazione funzionale tra chi certifica e chi vigila. Funzioni diverse per natura e per finalità, che il decreto delegato dovrà fare convivere senza confusione di ruoli. La delega prevede, non a caso, forme di coordinamento con le autorità già individuate dal d.lgs. n. 157/2022 (recante «Adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, e semplificazione e riordino del relativo sistema di vigilanza del mercato») e con le pubbliche amministrazioni interessate [comma 2, lettera d)].

Quanto alle sanzioni, il Legislatore delegante ha autorizzato espressamente la deroga ai limiti dell’art. 32, comma 1, lettera d), della l. n. 234/2012. La clausola merita una lettura attenta. In materia di cybersicurezza i danni potenziali hanno caratteristiche peculiari: velocità di propagazione, portata transfrontaliera, difficoltà di contenimento. I tetti sanzionatori ordinari del diritto amministrativo appaiono, in questo quadro, strutturalmente insufficienti. Gli introiti derivanti dalle sanzioni irrogate saranno peraltro destinati, previa riassegnazione, al bilancio dell’ACN (comma 2, lettera f), n. 4), replicando il meccanismo già collaudato dal d.l. n. 82/2021. Questa scelta lega, almeno in parte, la capacità operativa dell’Agenzia all’effettività dell’azione sanzionatoria.

Il coordinamento con la normativa preesistente è forse il capitolo più insidioso dell’intera delega. L’art. 15, comma 2, lettera a) impone il raccordo con il d.l. n. 105/2019, convertito dalla l. n. 133/2019, e con il d.lgs. n. 138/2024 che ha recepito la NIS2. Tre regimi che, però, non condividono il medesimo criterio di imputazione. Il perimetro nazionale del D.L. 105/2019 ruota attorno ai soggetti inclusi; il CRA ruota attorno ai prodotti; il d.lgs. 138/2024 distingue tra soggetti essenziali e importanti in base alla funzione svolta. Un’impresa che fabbrichi dispositivi IoT connessi può ritrovarsi, in concreto, assoggettata a tutti e tre i regimi contemporaneamente. Tre regolatori potenzialmente competenti, obblighi che si sovrappongono in parte e in parte divergono. Il decreto delegato ha il compito, non invidiabile, di tracciare confini dove il legislatore europeo ha preferito lasciare margini.

Un’ultima annotazione, di carattere operativo. L’art. 15, comma 3, destina all’ACN risorse pari a 2,1 milioni di euro nel 2026, 5,875 milioni nel 2027, 9,125 milioni nel 2028 e 6,925 milioni annui dal 2029. L’Agenzia è nata con il d.l. n. 82/2021, convertito dalla l. n. 109/2021, ed è ancora impegnata nel proprio consolidamento organizzativo. Si trova ad oggi a dover esercitare la vigilanza su un mercato vasto e frammentato di prodotti digitali. Pare complesso immaginare che gli stanziamenti previsti siano commisurati all’ampiezza del compito assegnato.

Doveri di cybersecurity governance degli amministratori: art. 2392 c.c., business judgment rule e d.lgs. n. 231/2001

Quando un obbligo regolatorio si rivolge alla società, la domanda su chi ne risponda all’interno della struttura societaria ha, nel nostro ordinamento, una risposta piuttosto netta. L’art. 2392 c.c. richiede agli amministratori una diligenza parametrata alla natura dell’incarico e alle specifiche competenze: formula elastica, che la giurisprudenza ha costantemente adattato all’evoluzione del quadro regolatorio senza che il dato testuale sia mai stato modificato (cfr. G.F. Campobasso, Diritto commerciale. 2. Diritto delle società, Utet, ultima edizione).

Formalmente, il CRA si indirizza ai fabbricanti, importatori e distributori. Non fa cenno agli amministratori. Ma la distinzione ha scarso rilievo pratico, e ci si potrebbe chiedere se ne abbia anche sotto il profilo teorico. Da tempo è acquisito che gli obblighi normativi gravanti sulla società ricadono sugli organi gestori per il tramite dell’art. 2392 c.c. La Cassazione lo ha ribadito in termini generali: la diligenza va misurata sull’intero complesso normativo cui l’impresa è soggetta, non sui soli obblighi di matrice societaria (Cass. civ., sez. I, 28 maggio 1998, n. 10488). Il che, applicato al caso che ci occupa, significa che l’obbligo di garantire la cybersicurezza dei prodotti digitali entra a pieno titolo nel novero dei doveri dell’organo amministrativo (si veda anche la sentenza della Corte di Cassazione n. 17441 del 31 agosto 2016, nella quale è stato ribadito che l’insindacabilità delle decisioni degli amministratori non è assoluta, e può esser limitata in presenza di scelte irragionevoli o irrazionali; ulteriormente si veda il Quaderno Giuridico n. 11/2016 della Consob, Business judgement rule e mercati finanziari Efficienza economica e tutela degli investitori, di S. Alvaro, E. Cappariello, V. Gentile, E.R. Iannaccone, G. Mollo, S. Nocella, M. Ventoruzzo; con prefazione a cura di P.G. Marchetti).

Il punto più interessante riguarda la natura degli obblighi introdotti dal Regolamento. Il CRA non si limita a pretendere la conformità del prodotto a determinati standard (ciò che, in termini civilistici, sarebbe un obbligo di risultato). Prescrive processi: procedure di gestione delle vulnerabilità, meccanismi per la segnalazione degli incidenti, sistemi di aggiornamento continuo (art. 14). Ciò che viene richiesto, dunque, sono scelte organizzative stabili, strutturate, verificabili.

La distinzione ha conseguenze immediate sul piano del rapporto con la business judgment rule. Nel contesto domestico la regola tutela la discrezionalità dell’amministratore nelle scelte propriamente gestorie: il giudice non è chiamato a sindacare il merito dell’opzione imprenditoriale, purché assunta con adeguata informazione e razionalità procedurale. Rinunciare a un’espansione commerciale può rivelarsi una scelta infelice, ma resta protetta dalla regola. Omettere l’implementazione di procedure di gestione delle vulnerabilità, quando il CRA le prescrive in modo puntuale, è questione di altra natura. L’amministratore, in questo caso, non esercita una prerogativa discrezionale: si sottrae a un obbligo. E la differenza rileva, perché nel momento in cui dovesse materializzarsi un danno riconducibile a quella omissione, i presupposti della colpa specifica sarebbero difficilmente contestabili.

Il d.lgs. n. 231/2001 fornisce un inquadramento complementare. I delitti informatici figurano nel catalogo dei reati-presupposto fin dall’introduzione dell’art. 24-bis, avvenuta con la l. n. 48/2008 (recante «Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno»). Tuttavia, le procedure di prevenzione in ambito cyber restavano, fino ad oggi, prive di un ancoraggio normativo specifico: il loro contenuto andava ricostruito a partire da best practice di settore e standard internazionali, con inevitabili margini di opinabilità. Il CRA muta questa situazione in modo apprezzabile. Gestione delle vulnerabilità, incident reporting, tracciabilità degli aggiornamenti cessano di essere raccomandazioni di buona prassi e diventano obblighi a tutti gli effetti. Un modello organizzativo che, quando il Regolamento risulterà pienamente vigente, non incorpori tali presidi si presta a rilievi seri in termini di idoneità preventiva. Analogamente, l’Organismo di Vigilanza ex d.lgs. 231 che non ne verifichi l’integrazione nel modello si espone al rischio di essere giudicato carente nelle proprie funzioni.

La responsabilità dell’amministratore si declina, pertanto, su piani distinti ma connessi: allocazione delle risorse, costruzione di procedure conformi e loro effettiva integrazione nel Modello 231 adottato dalla società, monitoraggio continuativo dell’attuazione. Soprattutto quest’ultimo passaggio non va sottovalutato. Procedure pensate con cura ma lasciate sulla carta, nella pratica quotidiana, non assolvono alla funzione che il sistema richiede. La giurisprudenza in materia di Modelli 231 è ferma su questo punto: l’effettività dell’attuazione è condizione necessaria e non surrogabile dall’accuratezza formale del documento.

Un rilievo a parte va riservato alle PMI che, come noto, nel contesto italiano rappresentano la componente largamente preponderante del tessuto industriale. Queste imprese, nella maggior parte dei casi sprovviste di funzioni di compliance strutturate, si trovano a dover fronteggiare obblighi concepiti con un occhio rivolto principalmente ai grandi operatori. Il CRA prevede alcune disposizioni di proporzionalità, ma la loro concreta incidenza sulla riduzione degli oneri di adeguamento resta tutta da misurare. Il termine di sei mesi per l’emanazione dei decreti delegati aggiunge un elemento di urgenza non trascurabile.

Il coordinamento con l’AI Act e la legge n. 132/2025: verso un quadro di digital governance integrata

Tra CRA e AI Act esiste un’affinità di impianto: approccio fondato sulla graduazione del rischio, valutazione della conformità, coinvolgimento di organismi notificati e autorità di sorveglianza. I rispettivi perimetri applicativi, tuttavia, coincidono solo in parte. Ed è nella fascia di sovrapposizione che si concentrano le difficoltà operative più consistenti.

Si consideri il caso, niente affatto ipotetico, di un software di manutenzione predittiva integrato in un macchinario industriale connesso, oppure di un algoritmo di riconoscimento facciale incorporato in un sistema di videosorveglianza. Sono prodotti che ricadono simultaneamente nell’ambito dei due Regolamenti. In quanto sistemi di intelligenza artificiale, soggiacciono alla classificazione di rischio dell’AI Act e, qualora qualificati ad alto rischio, agli obblighi degli artt. 8-15 del Reg. 2024/1689, concernenti la gestione dei dati di addestramento, la documentazione tecnica, la trasparenza nei confronti degli utenti, la supervisione umana. In quanto componenti di prodotti con elementi digitali, quegli stessi sistemi devono rispettare i requisiti orizzontali di cybersicurezza del CRA. Due apparati di obblighi costruiti secondo logiche proprie, che l’impresa si ritrova a dover gestire congiuntamente.

L’art. 8 dell’AI Act introduce una clausola di raccordo, prevedendo che la conformità ai requisiti di cybersicurezza del CRA soddisfi, per i sistemi ad alto rischio, il requisito di accuratezza, robustezza e sicurezza informatica di cui all’art. 15 del medesimo AI Act. Il meccanismo copre però una porzione circoscritta del problema. Trasparenza, documentazione, gestione del rischio: sono obblighi che l’AI Act mantiene in capo all’impresa indipendentemente dal CRA. Nella pratica, ciò significa due percorsi di conformità paralleli, identificando un pericolo, non ipotetico, che la rispondenza a un Regolamento venga scambiata per un adempimento esaustivo.

La legge n. 132/2025 funge, a livello nazionale, da cinghia di trasmissione tra l’AI Act e l’ordinamento interno, definendo competenze e obblighi per le imprese italiane e per le autorità preposte alla supervisione dei sistemi algoritmici (si veda G. Vetrugno, C. Sottoriva, Legge 132/2025 in materia di Intelligenza Artificiale, cit.). Il raccordo con il CRA non discende però in modo automatico dal dato legislativo: l’ACN, nel ruolo di autorità di vigilanza sui prodotti digitali assegnatole dalla Legge di delegazione europea 2025, dovrà coordinarsi con le autorità competenti in materia di AI, e saranno i decreti delegati a stabilire i confini operativi di questa cooperazione.

La questione di fondo, a ben guardare, trascende il singolo raccordo tra fonti. CRA, AI Act, NIS2, d.l. 105/2019, d.lgs. n. 231/2001, legge n. 132/2025 convergono (naturalmente da prospettive e con strumenti diversi) su un unico nodo: come governare i rischi digitali d’impresa. Trattare ciascun regime in modo isolato, costruendo presidi separati e non comunicanti, produce il risultato paradossale di una compliance formalmente ricca ma sostanzialmente fragile. Per gli organi gestori la vera sfida è quella dell’integrazione: far confluire obblighi eterogenei in una risposta organizzativa unitaria. Il Modello 231 (che nel corso di oltre vent’anni ha già assorbito la sicurezza sul lavoro, la tutela ambientale, la prevenzione della corruzione, i reati informatici) può offrire la cornice più naturale per questa operazione (sul rapporto tra governance tecnologica e doveri degli amministratori cfr. U. Tombari, Intelligenza artificiale e corporate governance nella società quotata, in Rivista delle Società, 2021).

Non va trascurato, infine, un ulteriore tassello. La direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi, il cui recepimento è previsto dall’Allegato A della Legge di delegazione europea 2025, estende la nozione di prodotto difettoso ai software e ai sistemi AI. L’intersezione tra il regime di product liability e la disciplina della cybersecurity governance apre un fronte ulteriore, a conferma del fatto che la regolazione digitale europea si sta sviluppando per strati successivi, ciascuno dei quali incide trasversalmente sul diritto dell’impresa senza che sia ancora individuabile un principio ordinatore unitario.

Considerazioni conclusive

Il Cyber Resilience Act segna il passaggio della cybersicurezza da buona prassi a presupposto regolatorio. Le società che immettono sul mercato europeo prodotti con elementi digitali sono tenute, d’ora in avanti, a rispettare requisiti di sicurezza che si estendono ben oltre il momento iniziale della commercializzazione. Gli effetti si propagano all’assetto organizzativo, alla diligenza degli amministratori, ai modelli di prevenzione dei reati.

L’art. 2392 c.c. assorbe i nuovi obblighi con il meccanismo che gli è proprio: l’interpretazione evolutiva della diligenza qualificata. La business judgment rule, come si è argomentato, non soccorre là dove l’inadempimento riguardi obblighi normativi puntuali; il d.lgs. n. 231/2001 offre la cornice nella quale i presidi cyber possono e dovranno integrarsi con quelli già esistenti.

Resta la questione, forse la più rilevante, del coordinamento tra i sei corpi normativi che insistono sulla governance dei rischi digitali. I decreti attuativi dell’art. 15 della legge di delegazione europea 2025 offrono un’opportunità concreta per costruire un quadro nazionale coerente con le esigenze di una digital governance integrata. Che quell’opportunità venga colta dipenderà dalla capacità del Governo di ragionare in termini di sistema, e dunque non di singolo Regolamento.