Per molto tempo la sicurezza informatica è stata percepita come una questione tecnica: firewall, antivirus, password, backup, server, software gestionali. In altre parole, un problema “dell’informatico”.

Oggi questa impostazione è riduttiva.

Il rischio cyber non riguarda più soltanto il reparto IT o il consulente informatico esterno. Riguarda la governance dell’impresa, la continuità aziendale, la responsabilità degli amministratori, la qualità dei controlli interni, la protezione del patrimonio informativo e, in alcuni casi, persino la capacità dell’impresa di prevenire o gestire una situazione di crisi.

Per questo, avvocati, commercialisti, revisori e organi di controllo non possono più considerarlo un tema estraneo alla propria attività professionale.

Il punto di partenza: gli adeguati assetti non sono solo contabili

L’art. 2086 del Codice civile impone all’imprenditore che operi in forma societaria o collettiva il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi e della perdita della continuità aziendale. La norma richiede inoltre di attivarsi senza indugio per adottare gli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale.

Questa previsione viene spesso letta in chiave economico-finanziaria: budget, controllo di gestione, flussi di cassa, marginalità, esposizione bancaria, indicatori di crisi.

Tutto corretto. Ma non basta più.

Un’impresa oggi può perdere continuità anche per un evento informatico: un attacco ransomware, la perdita dei dati contabili, il blocco del gestionale, l’indisponibilità della PEC, la compromissione dei sistemi di pagamento, una frode informatica, la perdita di accesso ai dati dei clienti o una grave interruzione del servizio.

In questi casi il rischio cyber diventa un rischio aziendale a tutti gli effetti.

Cyber risk: da rischio tecnico a rischio di governance

Il rischio informatico deve essere letto come un rischio trasversale.

Non riguarda solo la protezione dei computer. Riguarda domande molto più ampie:

• l’impresa sa quali dati sono essenziali per operare?
• esistono backup funzionanti e periodicamente testati?
• il gestionale contabile è protetto da accessi non autorizzati?
• chi può autorizzare pagamenti, bonifici e modifiche anagrafiche?
• esiste una procedura in caso di attacco o perdita di dati?
• i fornitori IT sono contrattualizzati e monitorati?
• il personale amministrativo è formato contro phishing, false PEC e frodi sui pagamenti?
• l’organo amministrativo riceve informazioni periodiche sui rischi digitali?

Queste domande non sono “informatiche” in senso stretto. Sono domande di organizzazione, controllo, responsabilità e continuità operativa.

Ed è proprio qui che il rischio cyber incontra il tema degli adeguati assetti.

La spinta normativa: NIS2 e responsabilità degli organi amministrativi

Il quadro normativo europeo e nazionale va nella stessa direzione.

Il D.Lgs. 4 settembre 2024, n. 138, che recepisce in Italia la Direttiva NIS2, ha introdotto obblighi specifici per i soggetti essenziali e importanti, con un focus esplicito sugli organi di amministrazione e direttivi. Il decreto prevede che tali organi approvino le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, sovrintendano all’implementazione degli obblighi e siano responsabili delle violazioni previste dal decreto.

Non solo. Gli organi amministrativi e direttivi devono seguire una formazione in materia di sicurezza informatica e promuovere una formazione coerente per i dipendenti, così da favorire l’acquisizione di conoscenze utili a individuare i rischi e valutare le pratiche di gestione dei rischi cyber.

È un passaggio importante: il legislatore non considera più la cybersicurezza una materia relegata al tecnico, ma una responsabilità che coinvolge direttamente la governance.

Le misure cyber sono anche organizzative

Il D.Lgs. 138/2024 richiede ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi per la sicurezza dei sistemi informativi e di rete. Le misure devono tenere conto dei rischi esistenti, dello stato dell’arte, dei costi di attuazione, delle dimensioni del soggetto, della probabilità e gravità degli incidenti e del loro impatto sociale ed economico.

L’elenco delle misure previste dal decreto conferma la natura organizzativa del tema. Si parla, tra l’altro, di:

• politiche di analisi dei rischi;
• gestione degli incidenti;
• continuità operativa;
• backup;
• disaster recovery;
• gestione delle crisi;
• sicurezza della catena di approvvigionamento;
• valutazione dell’efficacia delle misure;
• formazione;
• controllo degli accessi;
• gestione degli asset;
• autenticazione a più fattori.

Molti di questi elementi non sono meri interventi tecnici. Sono presidi organizzativi, procedure, responsabilità, flussi informativi, controlli e verifiche periodiche.

In altre parole: sono parte dell’assetto dell’impresa.

Il collegamento con la continuità aziendale

Il tema centrale è la continuità.

Un attacco informatico può impedire all’impresa di fatturare, incassare, pagare fornitori, produrre, consegnare, gestire ordini, accedere alla contabilità, elaborare paghe, rispondere ai clienti o rispettare scadenze contrattuali e fiscali.

La continuità aziendale non dipende più soltanto da equilibrio economico, patrimoniale e finanziario. Dipende anche dalla capacità dell’impresa di garantire la disponibilità, integrità e sicurezza dei propri dati e dei propri sistemi.

Un’impresa con buoni margini, ma senza backup testati, senza procedure di emergenza, senza controllo sugli accessi e senza presidio sui fornitori IT, può trovarsi comunque esposta a un rischio operativo rilevante.

Per questo il cyber risk dovrebbe entrare stabilmente nelle valutazioni su:

• adeguatezza degli assetti;
• continuità aziendale;
• sistema dei controlli interni;
• responsabilità degli amministratori;
• attività dell’organo di controllo;
• valutazione dei rischi aziendali;
• prevenzione della crisi.

Perché interessa ad avvocati e commercialisti

Per avvocati e commercialisti il punto non è diventare esperti informatici. Il punto è comprendere che il rischio cyber può incidere su aree già centrali nella consulenza professionale.

Per il commercialista, il tema riguarda:

• adeguati assetti organizzativi, amministrativi e contabili;
• controllo di gestione;
• continuità aziendale;
• affidabilità dei dati contabili;
• prevenzione della crisi;
• procedure amministrative;
• controlli su pagamenti, incassi e fornitori;
• supporto agli organi societari.

Per l’avvocato, il tema riguarda:

• responsabilità degli amministratori;
• obblighi organizzativi;
• contrattualistica con fornitori IT;
• gestione di incidenti e data breach;
• responsabilità verso clienti, fornitori e terzi;
• compliance normativa;
• contenzioso successivo a eventi informatici;
• governance societaria.

Per revisori, sindaci e organi di controllo, il cyber risk può incidere su:

• affidabilità dei sistemi informativi;
• presidio dei rischi rilevanti;
• continuità aziendale;
• flussi informativi verso gli organi sociali;
• procedure interne;
• valutazione dell’adeguatezza degli assetti.

Il professionista non deve sostituirsi al tecnico IT. Deve però sapere quali domande porre, quali documenti richiedere, quali carenze segnalare e quando coinvolgere specialisti tecnici.

Gli errori più frequenti nelle PMI

Nelle PMI il rischio cyber viene spesso sottovalutato per tre ragioni.

La prima è culturale: si pensa che “tanto non siamo un bersaglio interessante”. In realtà molte frodi e molti attacchi non colpiscono solo grandi gruppi, ma anche imprese ordinarie, studi professionali, fornitori e realtà meno strutturate.

La seconda è organizzativa: si delega tutto al tecnico informatico esterno, senza che l’organo amministrativo abbia una reale visione del rischio, delle procedure, dei backup, dei fornitori e delle responsabilità interne.

La terza è documentale: anche quando esistono alcune misure di sicurezza, spesso non sono formalizzate, testate, aggiornate o integrate nei processi aziendali.

Il problema, quindi, non è soltanto “avere o non avere un antivirus”. Il problema è sapere se l’impresa ha un sistema minimo di governo del rischio digitale.

Cosa dovrebbe contenere un check-up cyber-organizzativo

Un primo check-up non deve necessariamente essere complesso. Per molte imprese è già utile partire da una verifica strutturata dei presidi essenziali.

Un assessment cyber-organizzativo dovrebbe almeno considerare:

1. Mappatura dei dati e dei processi critici
   Quali dati sono indispensabili? Quali processi non possono fermarsi?
2. Gestione degli accessi
   Chi accede a cosa? Gli accessi sono nominativi? Sono revocati quando una persona lascia l’azienda?
3. Backup e ripristino
   I backup esistono? Sono automatici? Sono separati dai sistemi principali? Vengono testati?
4. Continuità operativa
   Esiste una procedura in caso di blocco dei sistemi? Chi decide? Chi comunica? Chi interviene?
5. Fornitori IT e cloud
   I rapporti sono regolati da contratti chiari? Sono previsti livelli di servizio, responsabilità e misure di sicurezza?
6. Pagamenti e frodi
   Esistono procedure per verificare IBAN, bonifici, richieste urgenti e modifiche anagrafiche?
7. Formazione del personale
   Il personale amministrativo sa riconoscere phishing, false PEC, allegati sospetti e richieste fraudolente?
8. Flussi informativi verso gli amministratori
   L’organo amministrativo riceve informazioni periodiche sui rischi digitali e sulle azioni correttive?
9. Documentazione delle misure adottate
   Le procedure sono scritte? Le verifiche sono tracciate? Le criticità sono documentate?
10. Piano di miglioramento
    Le carenze sono classificate per priorità? Esiste un piano 30/60/90 giorni?

Questa impostazione permette di trasformare il rischio cyber da tema astratto a presidio concreto di governance.

Il ruolo del professionista: non tecnico, ma regista del rischio

Commercialisti e avvocati non devono improvvisarsi esperti di sicurezza informatica.

Il loro ruolo può essere diverso, ma molto rilevante: aiutare l’impresa a collocare il rischio cyber dentro il sistema degli assetti, della governance e della responsabilità.

In pratica, il professionista può:

• sensibilizzare l’imprenditore;
• integrare il cyber risk nei check-up sugli assetti;
• coordinare il dialogo tra amministratori, IT, consulenti legali e organi di controllo;
• verificare l’esistenza di procedure e flussi informativi;
• segnalare carenze rilevanti;
• suggerire interventi tecnici specialistici;
• documentare il percorso di miglioramento;
• supportare l’impresa nella costruzione di presidi proporzionati alla sua dimensione.

Il valore non sta nel “fare il tecnico”, ma nel riportare il rischio digitale nel luogo corretto: il sistema di governo dell’impresa.

Il rischio cyber non è più solo un problema informatico.

È un rischio di continuità aziendale, un tema di organizzazione interna, un profilo di responsabilità degli amministratori e un elemento sempre più rilevante nella valutazione degli adeguati assetti.

Per questo, nelle imprese moderne, parlare di assetti organizzativi senza considerare i rischi digitali significa lasciare fuori una parte essenziale della realtà aziendale.

La vera domanda non è più: “Abbiamo un tecnico che segue i computer?”

La domanda corretta è:

“L’impresa è organizzata per prevenire, rilevare, gestire e documentare un rischio digitale che può compromettere dati, processi e continuità?”

Da questa domanda dovrebbe partire ogni valutazione seria sugli assetti digitali e sul cyber risk.

Copyright © Riproduzione riservata

• About
• Latest Posts

Antonella Beringheli

Dottore Commercialista e Revisore Legale, con una solida formazione in Scienze Economico-Aziendali. La mia carriera si è arricchita grazie all'approfondimento di tematiche legali e fiscali, permettendomi di offrire consulenze specializzate e mirate. Appassionata di informatica e nuove tecnologie, integro strumenti digitali avanzati nella gestione contabile e finanziaria, proponendo soluzioni innovative ai miei clienti con un approccio che fonde tradizione e innovazione.

Latest posts by Antonella Beringheli (see all)

• Rischio cyber e adeguati assetti: perché non è solo un problema informatico - 21/05/2026
• Continuità aziendale: 7 segnali da monitorare prima che sia troppo tardi - 23/03/2026
• Crisi d’impresa: i segnali che molti ignorano (finché è troppo tardi) - 27/12/2025