NEWS

 
  • Home
  • Informazione
  • Il Punto di Vista
  • Dalla compliance alla governance: il Dlgs 47/2026 e la trasformazione di cybersecurity, AI e protezione dei dati negli assetti societari

Dalla compliance alla governance: il Dlgs 47/2026 e la trasformazione di cybersecurity, AI e protezione dei dati negli assetti societari

L’adozione del Dlgs 27 marzo 2026, n. 47, attuativo della Legge Capitali, segna un passaggio che, pur non essendo immediatamente percepibile, è destinato a incidere profondamente sull’evoluzione della compliance digitale nelle organizzazioni. 

(Nella foto: Francesco Capparelli, Avvocato & Ethical Hacker, Chief Cybersecurity Advisor di ICT Cyber Consulting)

Il decreto interviene formalmente sul Testo Unico della Finanza e sulla disciplina codicistica delle società di capitali, con l’obiettivo dichiarato di rafforzare la competitività del mercato dei capitali e semplificare il quadro regolatorio. Tuttavia, al di là di tali finalità esplicite, esso contribuisce a ridefinire in modo sostanziale il ruolo della cybersecurity, dell’intelligenza artificiale e della protezione dei dati personali all’interno dell’impresa.

Il dato da cui partire è negativo solo in apparenza. Il decreto non modifica la direttiva NIS2, recepita in Italia con il Dlgs 138/2024, né incide direttamente sul Regolamento Generale sulla Protezione dei Dati (GDPR). Non introduce nuovi obblighi in materia di sicurezza informatica o protezione dei dati personali, né amplia il perimetro soggettivo delle discipline esistenti. Eppure, proprio per questo motivo, il suo impatto deve essere ricercato a un livello diverso, più profondo, che attiene alla struttura stessa dell’organizzazione societaria e al modo in cui i rischi vengono governati, documentati e resi intelligibili agli organi apicali.

Il punto di svolta è rappresentato dalla riformulazione della disciplina civilistica dell’amministrazione delle società per azioni. Con il nuovo assetto delineato dall’art. 9 del decreto, agli amministratori viene attribuita in modo espresso non soltanto la gestione, ma anche l’organizzazione dell’impresa, comprensiva dell’istituzione dell’assetto organizzativo, amministrativo e contabile. Tale affermazione, che potrebbe apparire una mera precisazione sistematica, assume invece una portata dirompente se letta alla luce delle trasformazioni digitali in atto. Se l’organizzazione dell’impresa è responsabilità degli amministratori, e se la sicurezza dei sistemi informativi, la gestione dei dati personali e l’impiego di sistemi automatizzati incidono in modo diretto sul funzionamento dell’impresa stessa, ne consegue che tali ambiti non possono più essere considerati come dimensioni tecniche autonome, affidate esclusivamente a funzioni operative.

La cybersecurity, in questa prospettiva, si trasforma da presidio tecnologico a componente dell’assetto organizzativo. Lo stesso vale per la protezione dei dati personali, che non può più essere ridotta a un insieme di adempimenti documentali, ma deve essere ricondotta a una logica di accountability sostanziale, coerente con quanto previsto dal GDPR. L’art. 24 del regolamento europeo impone infatti al titolare del trattamento di adottare misure tecniche e organizzative adeguate e di essere in grado di dimostrarne l’efficacia. Il Dlgs 47/2026 rafforza tale impostazione, inserendo la protezione dei dati all’interno del più ampio perimetro degli assetti societari, con la conseguenza che la dimostrazione della conformità non può più essere limitata alla produzione di documenti, ma deve emergere dai processi decisionali, dai flussi informativi e dalle strutture di controllo dell’impresa.

Un ulteriore elemento di rilievo è rappresentato dalla modifica dell’art. 123-bis del TUF, che introduce nella relazione sul governo societario l’obbligo di descrivere, ove adottate, le politiche relative all’utilizzo e al monitoraggio delle nuove tecnologie, in particolare dei sistemi di intelligenza artificiale, nonché le politiche di gestione dei rischi informatici. Tale previsione determina un passaggio significativo: la cybersecurity e l’AI governance entrano nella disclosure societaria, diventando oggetto di comunicazione verso il mercato. In questo contesto, la protezione dei dati personali assume una rilevanza ulteriore, poiché molte delle tecnologie richiamate implicano trattamenti di dati personali, talvolta su larga scala e con modalità innovative o invasive. La descrizione delle politiche aziendali in materia di tecnologie e rischi informatici non può quindi prescindere da una valutazione della conformità al GDPR, in particolare con riferimento ai principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della finalità.

La stessa logica si ritrova nel nuovo art. 149-ter del TUF, che disciplina i sistemi di monitoraggio continuo e gli strumenti di controllo automatici e predittivi, imponendo che essi siano adeguati e proporzionati ai rischi dell’impresa. La previsione richiama implicitamente il principio di proporzionalità, centrale tanto nella disciplina della sicurezza informatica quanto in quella della protezione dei dati personali. I sistemi di monitoraggio, spesso utilizzati per finalità di sicurezza, comportano inevitabilmente trattamenti di dati personali, talvolta relativi al comportamento degli utenti o dei dipendenti. In tali casi, la loro legittimità non può essere data per scontata, ma deve essere valutata alla luce dei principi del GDPR, eventualmente mediante una valutazione d’impatto sulla protezione dei dati. Il fatto che il legislatore societario richiami espressamente criteri di adeguatezza e proporzionalità conferma che tali strumenti devono essere governati non solo sotto il profilo tecnico, ma anche giuridico e organizzativo.

Il ruolo degli organi di controllo si rafforza in modo coerente con questa evoluzione. La vigilanza sull’adeguatezza e sul funzionamento degli assetti organizzativi implica, inevitabilmente, anche un’attenzione alla dimensione digitale. La cybersecurity e la protezione dei dati personali diventano così oggetto di verifica non soltanto da parte delle funzioni operative o di compliance, ma anche degli organi societari chiamati a garantire il corretto funzionamento dell’impresa. Ciò comporta un ampliamento del perimetro della vigilanza e una maggiore integrazione tra le diverse funzioni aziendali, con la necessità di sviluppare competenze trasversali e linguaggi comuni.

In questo scenario, assume particolare rilievo il tema della supply chain. La crescente esternalizzazione di servizi tecnologici e l’utilizzo di fornitori specializzati rendono necessario un controllo più rigoroso sui soggetti terzi che trattano dati o gestiscono infrastrutture critiche. Il GDPR, attraverso l’art. 28, impone obblighi specifici nei confronti dei responsabili del trattamento, mentre la NIS2 richiede attenzione alla sicurezza della catena di approvvigionamento. Il Dlgs 47/2026, pur non intervenendo direttamente su tali aspetti, rafforza la necessità di mantenere un controllo effettivo sulle attività esternalizzate, inserendole all’interno degli assetti organizzativi dell’impresa. Ne deriva una responsabilità estesa, che non si esaurisce nella scelta del fornitore, ma richiede una gestione continuativa, documentata e verificabile del rapporto.

Il quadro che emerge è quello di una progressiva convergenza tra discipline che, fino a pochi anni fa, venivano trattate separatamente. La cybersecurity, la protezione dei dati personali e l’intelligenza artificiale non sono più ambiti autonomi, ma componenti di un unico sistema di governance.

Il Dlgs. 47/2026 contribuisce in modo decisivo a questa evoluzione, spostando il baricentro dalla compliance tecnica alla responsabilità organizzativa e decisionale. In tale prospettiva, il consiglio di amministrazione diventa il centro di gravità della governance digitale, chiamato a comprendere, valutare e indirizzare i rischi derivanti dalla trasformazione tecnologica.

Per i professionisti della privacy, questo cambiamento implica una revisione del proprio ruolo. Non si tratta più soltanto di garantire la conformità al GDPR, ma di contribuire alla costruzione di assetti organizzativi integrati, in cui la protezione dei dati sia parte integrante dei processi decisionali e dei sistemi di controllo. Il Data Protection Officer (DPO), in particolare, è chiamato a dialogare con il board, con le funzioni di risk management e con l’internal audit, fornendo un contributo che vada oltre la mera verifica documentale.

In conclusione, il Dlgs 47/2026, pur non essendo una norma di cybersecurity o di protezione dei dati personali, rappresenta un tassello fondamentale nel processo di evoluzione della governance digitale. Esso contribuisce a definire un modello in cui la gestione dei rischi informatici e la tutela dei dati personali non sono più attività accessorie, ma elementi essenziali dell’organizzazione dell’impresa. La sfida che si apre è culturale prima ancora che normativa: si tratta di superare la logica della compliance frammentata per approdare a una visione integrata, in cui diritto societario, cybersecurity e protezione dei dati convergano in un unico sistema di responsabilità e controllo.

Note sull'Autore

Capparelli Francesco Capparelli Francesco

Avvocato & Ethical Hacker, Chief Cyber Security Advisor presso ICT Cyber Consulting - Board of Directors Istituto Italiano Privacy. Co-Founder Data Intermediaries Alliance - Web: www.ictcyberconsulting.com 

Articoli correlati

Prev Gli algoritmi stanno rubando i vostri dati bancari, ma non come pensate
Next Con informative sulla privacy non trasparenti si perde la fiducia degli utenti e si rischiano sanzioni per violazioni del GDPR

Galleria Video

Ansa: presentato alla Camera il libro 'Smetti di farti spiare difendi la tua privacy'

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza