Cybersecurity e governance del rischio digitale nelle PMI: il ruolo strategico dell’avvocato
Cybersecurity e governance del rischio digitale nelle PMI: il ruolo strategico dell’avvocato

Cybersecurity e governance del rischio digitale nelle PMI: il ruolo strategico dell’avvocato

Il contesto: vulnerabilità crescenti e deficit di competenze

La minaccia cyber non riguarda più soltanto pubbliche amministrazioni e grandi gruppi. Le piccole e medie imprese si trovano sempre più spesso al centro di attacchi informatici e di richieste di adeguamento provenienti dai propri committenti. Il «Cisco Cybersecurity Readiness Index 2025» segnala che il 33% delle PMI italiane ha subìto almeno un attacco informatico nell’ultimo anno, mentre l’80% lamenta una rilevante carenza di figure specialistiche in sicurezza informatica. Nello stesso tempo, il 97% delle aziende intervistate dichiara di voler aggiornare o ristrutturare le proprie soluzioni di cybersecurity nei prossimi due anni.

Le principali cause di esposizione riguardano sistemi hardware e software obsoleti, mancata rimozione di funzionalità e plugin non necessari, inadeguata configurazione e aggiornamento di antivirus, firewall e policy di dominio, nonché l’impiego non governato di strumenti di intelligenza artificiale. A ciò si aggiunge l’assenza di competenze interne specifiche e di relazioni strutturate con partner specializzati. In questo contesto l’intervento legale non è più confinato alla gestione ex post degli incidenti, ma si estende alla costruzione di sistemi di controllo e compliance integrata, con un approccio orientato alla prevenzione.

La prospettiva dei consigli di amministrazione: rischio legale, modelli 231 e segreti aziendali

Secondo Alessandro De Nicola, partner responsabile del dipartimento Legal risk & compliance di BonelliErede, i consigli di amministrazione si confrontano con un perimetro di rischio legale in rapida espansione: «Per i CdA, il perimetro dei rischi legali si amplia rapidamente: cyberattacchi e interruzioni operative impongono piani di risposta, continuità e gestione dei fornitori; sul fronte della riservatezza dei dati, un’applicazione più severa richiede minimizzazione, basi giuridiche e controllo dei trasferimenti».

L’impatto si estende anche ai meccanismi di responsabilità ex d.lgs. 231/2001. Come evidenzia De Nicola, «La responsabilità 231 esige modelli aggiornati alla luce dei pericoli ingenerati dall’IA e dell’attenzione alle sicurezza sul lavoro anche della propria supply chain, con vigilanza effettiva». L’adozione di adeguati assetti organizzativi assume rilievo sia in termini di rischio sanzionatorio sia di responsabilità degli organi di gestione e controllo.

Ulteriore fronte è rappresentato dalla protezione dei segreti aziendali e del know how. De Nicola sottolinea che «La protezione dei segreti aziendali richiede misure “ragionevoli” (accessi, accordi di riservatezza, tracciamento) e difesa contro minacce interne». In assenza di tali misure, le tutele legali previste dall’ordinamento possono risultare indebolite, con ricadute concrete sulla possibilità di azionare efficacemente rimedi giudiziali.

Il quadro si completa con gli obblighi derivanti dai regimi sanzionatori internazionali, che impongono controlli su clienti e fornitori lungo l’intera catena del valore e un monitoraggio extraterritoriale adeguato. Come sintetizza De Nicola, «Serve un sistema di controllo e compliance integrato, basato sul rischio, con mappatura processi, verifiche sulle controparti, indicatori di prestazione e di rischio, verifiche continue e canali di segnalazione verso un CdA competente, formato, con propensione al rischio definita e un chiaro piano d’azione».

PMI come anello della catena: requisiti imposti dalla filiera e gestione dei fornitori

Sicurezza richiesta dai committenti e contrattualistica cyber

Molte PMI non diventano critiche soltanto in quanto potenziali bersagli diretti, ma anche perché operano come fornitori di imprese di maggiori dimensioni o di soggetti regolati. Come osserva Stefano Mele, responsabile delle practice Cybersecurity e Space Economy Law e co responsabile della practice Data Protection di Gianni & Origoni, «Per molte imprese il tema principale da gestire non nasce solo da un attacco informatico, ma dall’essere spesso fornitori di soggetti più strutturati e regolati. In questi casi le pmi devono rispettare requisiti di sicurezza cyber imposti da contratti, audit e processi di qualificazione, spesso come condizione per mantenere commesse e posizionamento nella filiera».

Su questo piano l’avvocato interviene per rendere “governabili” le richieste provenienti dai committenti, distinguendo ciò che trova fondamento effettivo in obblighi normativi o regolatori da ciò che risulta eccessivo rispetto al rischio concreto o alle capacità dell’impresa. Mele evidenzia come la consulenza legale miri a «costruire quindi risposte sostenibili con risorse spesso anche molto limitate», calibrando livelli di servizio, responsabilità, penali, audit e requisiti tecnici sui reali margini operativi delle PMI.

Catena dei subfornitori e responsabilità contrattuali

Un secondo asse di intervento si concentra sulla gestione del rischio derivante dai fornitori tecnologici e dai subfornitori. Mele sottolinea che «Le pmi non devono solo proteggere sé stesse, ma anche gestire il rischio derivante da partner tecnologici e subfornitori, attraverso clausole contrattuali, responsabilità chiare, controlli realistici e meccanismi di verifica compatibili con la loro struttura».

In questo ambito la consulenza contrattuale copre: allocazione delle responsabilità in caso di incidente, definizione di livelli di servizio e di sicurezza, previsione di obblighi di notifica, diritti di audit, disciplinare tecnico allegato ai contratti IT e cloud, nonché meccanismi di risoluzione o revisione in caso di criticità persistenti. Al contempo resta centrale l’evitare una “paper security” puramente formale, come avverte Mele: gli obblighi documentali e di compliance devono essere integrati nei processi aziendali ordinari e non ridursi a mero adempimento cartolare sganciato dalla realtà operativa.

Supporto nella gestione delle crisi cyber

Quando il rischio si concretizza in un incidente, il supporto legale assume una dimensione end to end. Mele descrive un affiancamento che va «dalla risposta operativa prevista dalle norme alle comunicazioni e interlocuzioni con autorità e stakeholder». Ciò comprende valutazioni in materia di data breach ai sensi della normativa privacy, obblighi di notifica e comunicazione, coordinamento con gli obblighi contrattuali verso clienti e partner, gestione delle relazioni con assicuratori cyber e con eventuali fornitori esterni incaricati del ripristino tecnico.

L’approccio di Gianni & Origoni, rafforzato dall’esperienza diretta nella gestione dei propri rischi e dalla certificazione ISO 27001, è descritto come «molto pragmatico, orientato soprattutto alle decisioni e al business», grazie a team multidisciplinari in grado di coprire i diversi scenari richiamati.

NIS2, DORA e nuovi obblighi di governance: il cambio di paradigma normativo

Governance, organizzazione e prevenzione

La nuova disciplina europea incide in profondità sugli assetti organizzativi delle imprese e, di riflesso, anche sulle PMI inserite nelle filiere interessate. Matteo Cerretti, partner di DWF, segnala che «In questo contesto, abbiamo compreso che l’attenzione del legale si concentra sempre più sui profili di governance e di responsabilità, soprattutto alla luce dell’entrata in vigore di normative quali la NIS II e il regolamento DORA, che rafforzano gli obblighi organizzativi, di controllo e di resilienza digitale per numerosi operatori, con ricadute indirette anche sulle pmi inserite nelle relative filiere».

La richiesta di assistenza non è più limitata alla fase patologica. Cerretti rileva che «La consulenza richiesta non si limita alla gestione dell’evento patologico, ma riguarda in misura crescente la fase preventiva: analisi dei rischi, definizione di assetti organizzativi adeguati, revisione dei contratti con fornitori ICT, predisposizione di procedure interne per la gestione degli incidenti e per le notifiche alle autorità competenti, nonché coordinamento con i presìdi in materia di protezione dei dati personali».

Formazione e cultura della sicurezza

La componente umana rimane un punto critico. Cerretti sottolinea che «Un ulteriore ambito di intervento concerne la formazione del personale e del management, considerata oggi un elemento essenziale della strategia di mitigazione del rischio. Le pmi richiedono sempre più spesso momenti di aggiornamento normativo e di sensibilizzazione, al fine di integrare la cultura della sicurezza nei processi aziendali».

L’avvocato opera quindi in sinergia con i consulenti tecnici ICT: «L’avvocato non sostituisce le competenze specialistiche in ambito ICT, ma opera in sinergia con consulenti tecnici qualificati, chiamati a valutare le vulnerabilità dei sistemi, a implementare le misure di sicurezza e a gestire operativamente gli incidenti. Solo l’integrazione tra competenze legali e tecniche consente di costruire modelli organizzativi adeguati e di affrontare eventuali crisi in modo tempestivo e conforme al quadro normativo».

L’interpretazione della disciplina e il ruolo dell’ACN

Requisiti regolatori e supporto alle PMI

La crescente complessità delle fonti normative impone un lavoro di interpretazione sistematica. Andrea Mezzetti, partner di Osborne Clarke Italia, evidenzia come lo studio assista le imprese nel percorso di conformità: «Seguiamo i nostri clienti nell’interpretazione della complessa regolamentazione in materia di cybersecurity e dei relativi requisiti previsti dall’ACN, lavorando fianco a fianco con i team tecnici e legali per assicurare un’interpretazione conforme alla legge ma al contempo legata alle esigenze ed alla realtà delle pmi».

In Osborne Clarke il tema cybersecurity è seguito dal team AI & Digitalisation, ma con importanti intersezioni settoriali. Mezzetti ricorda che lo Studio dispone di un team dedicato al settore Life Sciences & Healthcare, guidato dalla partner Maria Grazia Medici, e che «Per tutte le questioni di cyber sicurezza che impattano sull’ambito sanitario, Marialaura Boni, counsel ed esperta di Data Protection, rappresenta il punto di raccordo tra le competenze dei due team».

Incidenti cross border e coordinamento multi giurisdizionale

Quando l’incidente coinvolge più ordinamenti, la gestione assume un rilievo ulteriore. Mezzetti indica che, in caso di incidenti cross border, «Osborne Clarke fornisce assistenza con team multi giurisdizionali, costituiti di volta in volta in base ai Paesi coinvolti e alle specifiche esigenze del caso». La capacità di coordinare risposte giuridiche coerenti in contesti normativi diversi rappresenta un elemento essenziale per gruppi internazionali e per PMI operanti all’estero o inserite in supply chain globali.

Compliance NIS2 e resilienza cibernetica: esperienze applicative

Approccio interno alla sicurezza negli studi legali

Gli studi legali maggiormente specializzati tendono a declinare internamente gli stessi principi che suggeriscono ai clienti. Bird & Bird costituisce un esempio di struttura che ha adottato politiche di cybersecurity strutturate per i propri sistemi informativi e di network. Come spiega Gian Marco Rinaldi, Counsel del dipartimento di Proprietà Intellettuale, lo studio «adotta un approccio multilivello alla cybersecurity, che comprende controlli avanzati su rete, dispositivi e accessi, progettati per prevenire minacce e individuare tempestivamente attività anomale, la gestione proattiva degli incidenti, supportata da procedure interne che consentono di intervenire rapidamente, documentare gli eventi e ridurre al minimo l’impatto operativo, la conformità agli standard di resilienza cibernetica, che prevedono criteri stringenti su governance, processi di risposta e piani di continuità operativa».

Rinaldi sottolinea altresì il ruolo della formazione continua: «la sicurezza informatica è efficace solo se condivisa da tutta l’organizzazione. Per questo lo studio ha sviluppato programmi periodici di formazione e sensibilizzazione, che includono percorsi di awareness per riconoscere tentativi di phishing, comportamenti rischiosi e minacce emergenti cui si aggiungono moduli e contenuti della Digital Academy, orientati allo sviluppo di competenze digitali e alla comprensione dei rischi connessi all’uso delle tecnologie e simulazioni e campagne comportamentali, utili per rinforzare le buone pratiche e migliorare la reattività degli utenti di fronte a possibili attacchi».

Assistenza alle imprese nell’attuazione del “Decreto NIS2”

Sul versante della consulenza, Bird & Bird ha istituito un team dedicato alla compliance NIS2. Rinaldi illustra che «Per quanto riguarda i servizi di consulenza offerti ai nostri clienti in relazione alla compliance NIS2, abbiamo costituito un team specializzato di tre professionisti coordinato dal sottoscritto. In questi 15 mesi di applicazione del dlgs 138/2024 (“Decreto NIS2”), il nostro team ha assistito società nazionali e internazionali nelle attività di auto valutazione, di registrazione, di aggiornamento annuale e di implementazione degli obblighi di notifica e sulle misure di sicurezza».

La cooperazione con i dipartimenti legali e IT delle aziende è descritta come essenziale: «Lavoriamo in stretta cooperazione con i dipartimenti legali ed IT delle aziende assistite confermando come l’analisi e l’interpretazione giuridica delle norme e dei regolamenti predisposti dall’ACN sia centrale per la corretta applicazione delle misure previste». Secondo Rinaldi, molte imprese hanno colto la portata strategica della normativa: «Molte aziende hanno adottato un approccio corretto comprendendo come la conformità alla normativa NIS2 sia un’occasione per rafforzare la sicurezza della società a fronte di minacce sempre più evolute e pericolose».

Cybersecurity, diritto digitale e pluralità delle fonti: l’approccio integrato

Dal GDPR all’AI Act: intersezioni normative

La regolamentazione della sicurezza informatica non è autonoma rispetto al più ampio diritto del digitale. LCA Studio Legale propone un modello che tiene conto dell’intreccio di discipline. Come spiega Giulio Vecchi, equity partner del Dipartimento IP, Media, Tech & Data, «In questo contesto, anche alla luce degli obblighi introdotti dalla direttiva NIS2, il nostro Studio affianca le pmi con una consulenza mirata e di governance in materia di cybersecurity, supportando le imprese nella comprensione del rischio cyber, nella valutazione del suo impatto sul business e nella definizione di modelli di prevenzione e gestione coerenti con la loro dimensione e con un quadro normativo di riferimento particolarmente articolato».

Il valore aggiunto è dato da una visione sistemica delle regole che impattano sul digitale. Vecchi precisa che «La cybersecurity viene infatti affrontata all’interno di un sistema di regole che si intersecano e si sovrappongono dal GDPR all’AI Act, dal Digital Services Act ad altre normative settoriali con l’obiettivo di fornire un’assistenza organica e indicazioni operative concrete per le imprese».

Superare l’emergenza: pianificazione “by design” e governance

LCA insiste sulla necessità di abbandonare una gestione esclusivamente emergenziale del rischio cyber. Obiettivo dichiarato è «superare una logica emergenziale della sicurezza informatica, favorendo invece una pianificazione by design integrata nei processi aziendali e nei meccanismi di governance». Ciò implica la definizione di policy, procedure, piani di continuità operativa e flussi decisionali che includano la sicurezza come elemento strutturale.

Il lavoro è svolto da un team con competenze in sicurezza informatica, data protection e contrattualistica IT, coordinato con partner tecnici esterni per gli aspetti più strettamente tecnologici (test di sicurezza, valutazioni infrastrutturali, gestione degli incidenti). Lo Studio agisce quindi come punto di raccordo tra impresa e fornitori tecnologici, garantendo il coordinamento e la supervisione giuridica delle attività.

Criticità ricorrenti nelle PMI e responsabilità degli organi sociali

Le difficoltà più frequenti emergono su più piani. Vecchi segnala «la carenza di competenze interne alle aziende e la frammentazione delle soluzioni tecnologiche che si sono stratificate nel tempo». Si aggiungono la complessità nel coordinare fornitori diversi con budget limitati e la fatica nel rendere la cybersecurity parte integrante dei processi decisionali.

Non va trascurato il profilo delle responsabilità, anche alla luce della molteplicità di fonti europee e nazionali: «A ciò si aggiungono gli obblighi derivanti da una pluralità di normative europee e nazionali e le crescenti responsabilità attribuite agli organi di amministrazione e controllo». Per LCA la sicurezza informatica è anche tema interno, presidato tramite policy, programmi formativi e controlli sui sistemi informativi e sui flussi di dati, in coerenza con la responsabilità professionale verso i clienti e con i frequenti assessment e audit ricevuti da questi ultimi.

Security by design, fattore umano e gestione degli incidenti: la pratica quotidiana

Presidio interno: misure tecniche e organizzative

La declinazione concreta dei principi di sicurezza by design emerge anche dall’esperienza di strutture specializzate. Elena Bassoli, avvocato e docente universitario in diritto dell’informatica e informatica giuridica, illustra un approccio interno fondato su misure organizzative e tecniche strutturate: «Sul piano interno, gestiamo la superficie di rischio con un approccio “security by design”: MFA ovunque, gestione password e privilegi minimi, cifratura dei dispositivi, backup segregati, protezione endpoint/anti phishing, procedure di gestione incidenti e data breach, oltre a formazione periodica e regole di condivisione sicura dei documenti».

L’attenzione è rivolta in particolare alla mitigazione del rischio legato al fattore umano e alle compromissioni tramite email e credenziali compromesse. La formazione continua e la definizione di regole chiare di utilizzo degli strumenti digitali rappresentano elementi centrali di questo modello.

Domanda ibrida delle PMI e gestione operativa delle crisi

L’esperienza di Bassoli con clientela prevalentemente composta da PMI evidenzia come la richiesta di assistenza non sia più confinata a singoli aspetti normativi. «Per i clienti (in prevalenza pmi) la domanda è sempre più “ibrida”: non solo GDPR e data breach, ma anche valutazioni di rischio, governance e responsabilità, contrattualistica (fornitori IT/cloud, log, SLA, audit, penali), policy interne (accessi, smart working, BYOD), piani di risposta e simulazioni tabletop».

In presenza di un incidente cyber l’affiancamento copre la triage legale e tecnica, le eventuali notifiche al Garante e agli interessati, la gestione dei rapporti con l’assicurazione cyber e la preservazione delle evidenze, con il coinvolgimento di partner tecnici quando necessario. Le criticità tipiche identificate da Bassoli riguardano «budget limitati, filiera di fornitori frammentata, carenza di competenze interne e aumento di minacce abilitate da Intelligenza artificiale». L’organizzazione è quella di una boutique con tre professionisti legali coordinati come team, a testimonianza di come anche strutture di dimensioni contenute possano offrire un presidio specialistico sul rischio cyber.

Uno scenario in evoluzione continua

Il quadro che emerge dalle diverse esperienze professionali evidenzia come la cybersecurity sia ormai divenuta un terreno di convergenza tra diritto, tecnologia, organizzazione aziendale e gestione del rischio. Le PMI, sempre più esposte sia come soggetti direttamente attaccabili sia come anelli di filiere regolamentate, sono chiamate a sviluppare modelli di governance che integrino requisiti normativi, esigenze di business e vincoli di risorse.

In questo percorso, l’avvocato opera come interlocutore stabile nella definizione di strategie di prevenzione, nella strutturazione di rapporti contrattuali equilibrati, nell’implementazione degli obblighi derivanti da norme quali NIS2, DORA, GDPR, AI Act e altre discipline di settore, nonché nella gestione coordinata delle crisi cibernetiche. La trasformazione in atto non riguarda soltanto gli strumenti tecnici, ma la stessa cultura di impresa e il modo in cui il rischio digitale viene percepito, governato e comunicato all’interno delle organizzazioni e lungo l’intera catena del valore.