Colpa di organizzazione: come la cyber security ridefinisce i fondamenti della responsabilità 231

Dieci anni dopo la rivoluzione

Era il 24 settembre 2014 quando le Sezioni Unite della Cassazione, con la sentenza n. 38343, scrivevano una pagina definitiva nella storia del diritto penale dell’impresa italiana.

In quella decisione, la Suprema Corte codificava per sempre il concetto di “colpa di organizzazione”, trasformando quello che fino ad allora era un dibattito dottrinale in un principio di diritto consolidato.

Più di dieci anni dopo, mentre celebriamo la maturità di quel principio, ci troviamo di fronte a una sfida inedita: l’applicazione di quei consolidati canoni interpretativi a un mondo – quello della cyber security – che all’epoca esisteva in forma embrionale e che oggi rappresenta la frontiera più avanzata e rischiosa dell’attività d’impresa.

Questo mio contributo inaugura una serie di sei articoli dedicata all’analisi dell’impatto della cyber security sul sistema della responsabilità amministrativa degli enti.

Questo primo articolo si concentra sui fondamenti teorici e giuridici, analizzando come i principi consolidati della “colpa di organizzazione” si adattino e si trasformino quando si prova ad applicarli al nuovo universo dei rischi digitali.

La 231 punisce chi organizza male

La responsabilità “amministrativa” degli enti è regolata dall’art. 5 del D.Lgs. 231/2001.
L’organizzazione può essere chiamata a rispondere per un reato commesso da un proprio dirigente o subordinato se:

• il reato è stato commesso “nell’interesse o a vantaggio” dell’ente;
• l’ente non ha adottato o applicato efficacemente un modello organizzativo idoneo a prevenirlo.

Attenzione: “vantaggio” non significa utile in bilancio. Può bastare un semplice risparmio.

La Cassazione lo ha chiarito con forza: se l’azienda taglia sulle misure di prevenzione per risparmiare quel risparmio diventa un vantaggio illecito (Cass., Sez. III, 30 maggio 2022, n. 21034).

La regola è questa: o l’impresa ha adottato un modello organizzativo serio, efficace, concreto, oppure ne risponde. E oggi quel modello non può più ignorare la cybersicurezza. Vediamo in dettaglio il motivo.

La genesi della “colpa di organizzazione”: dal caos interpretativo alla chiarezza sistematica

Prima della storica pronuncia del 2014, il panorama interpretativo del D.Lgs. 231/2001 si presentava come un mosaico frammentario di orientamenti giurisprudenziali spesso contraddittori.

La questione centrale – se la responsabilità dell’ente fosse oggettiva o soggettiva – divideva dottrina e giurisprudenza, creando incertezza applicativa e forse, talvolta anche disparità di trattamento.

Alcuni orientamenti propendevano per una lettura sostanzialmente oggettiva: commesso il reato da parte del soggetto apicale o subordinato, la responsabilità dell’ente scattava automaticamente, salvo la dimostrazione dell’efficacia del modello organizzativo.

Altri, invece, sostenevano la necessità di un elemento soggettivo di colpevolezza dell’ente, ancorato alle sue scelte organizzative.

La svolta delle sezioni unite: architettura di un principio

La storica sentenza delle Sezioni Unite n. 38343 del 18 settembre 2014 ha definitivamente chiarito che la responsabilità amministrativa degli enti ex D.Lgs. 231/2001 costituisce un “tertium genus” che coniuga elementi dell’ordinamento penale e amministrativo, configurando un modello di responsabilità autonomo.

In particolare, le Sezioni Unite hanno stabilito che la responsabilità dell’ente non è mai automatica ma si fonda su quello che la dottrina e la stessa giurisprudenza successiva hanno definito “colpa di organizzazione”.

Secondo la formulazione della Cassazione, questa colpa è basata: “sul rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo, dovendo tali accorgimenti essere consacrati in un documento che individua i rischi e delinea le misure atti a contrastarli”.

Poi, la giurisprudenza consolidatasi dopo la sentenza del 2014 ha identificato che la “colpa di organizzazione” si manifesta attraverso:

• la dimensione dell’adozione del modello che comprende: la mancata adozione di modelli organizzativi idonei a prevenire i reati; l’inidoneità dei modelli adottati rispetto ai rischi specifici dell’attività svolta; carenze strutturali nei sistemi di controllo progettati.
• la dimensione dell’attuazione del modello che si manifesta attraverso: una inefficace attuazione dei modelli organizzativi adottati; una carente vigilanza sui processi a rischio identificati; una mancata implementazione di meccanismi correttivi in presenza di segnali di allarme.

Come funziona davvero la responsabilità delle aziende

La Cassazione ha chiarito un punto fondamentale: non basta dimostrare che l’azienda non aveva un buon sistema di controllo o che non lo applicava correttamente.

Questo da solo non è sufficiente per condannarla. Quello che conta davvero è dimostrare che l’azienda ha una sua “colpa specifica” nel modo in cui si è organizzata – una colpa che è completamente diversa da quella della persona che ha commesso materialmente il reato.

Tre conseguenze molto concrete

Ecco cosa significa in pratica:

• primo: se un dipendente commette un reato, l’azienda non viene automaticamente punita. Bisogna prima dimostrare che l’organizzazione aziendale aveva dei difetti specifici;
• secondo: non si può condannare l’azienda solo perché il singolo dipendente ha sbagliato. Serve una prova separata che dimostri gli errori organizzativi dell’azienda stessa;
• terzo: ogni caso va valutato singolarmente, guardando ai rischi concreti di quella specifica attività e a come l’azienda avrebbe dovuto organizzarsi per gestirli.

Quindi, il sistema 231 è unico nel suo genere, questo tipo di responsabilità è qualcosa di completamente nuovo nel diritto italiano.

Non è responsabilità penale classica (perché l’azienda non è una persona), ma nemmeno responsabilità amministrativa tradizionale (perché si basa sulla colpa, non sul danno automatico).

È quello che i giuristi chiamano un “tertium genus” – una terza via che rispetta i principi costituzionali ma crea regole specifiche per le organizzazioni aziendali.

La “colpa di organizzazione” ai tempi della cyber security

Quando si parla di “colpa di organizzazione” in ambito cyber, il pensiero corre subito a un altro settore dove questo concetto si è già radicato: la sicurezza sul lavoro.

I reati previsti dall’art. 25-septies del D.Lgs. 231/2001, legati a salute e sicurezza dei lavoratori, condividono con i reati informatici – previsti dall’art. 24 bis dello stesso provvedimento normativo – una serie di caratteristiche. Entrambe le tipologie di reato infatti:

• richiedono competenze tecniche specifiche;
• si fondano su obblighi di prevenzione;
• si inseriscono dentro strutture organizzative complesse;
• devono misurarsi con un contesto in continua evoluzione.

Un’eredità che arriva dalla sicurezza sul lavoro

Ora, non è una forzatura, ma un passaggio logico e necessario guardare a quello schema concettuale come base di partenza per affrontare le nuove responsabilità legate agli incidenti cyber.

Eppure, per quanto la struttura dei principi possa ricordarla, la partita si gioca oggi su un campo completamente diverso, molto più insidioso e imprevedibile.

La sfida dei reati informatici: quando il rischio arriva da fuori

I reati informatici contemplati dall’art. 24-bis del D.Lgs. 231/2001 – accesso abusivo a sistemi informatici, danneggiamento, detenzione e diffusione abusiva di codici di accesso, e altri illeciti contro la riservatezza, l’integrità e la disponibilità dei dati – hanno una natura profondamente diversa rispetto ai reati previsti dall’art. 25 septies per l’ambito safety.

Non si manifestano all’interno dell’organizzazione, ma arrivano da fuori, attraversando confini geografici, giuridici e tecnologici senza ostacoli.

La minaccia può partire da un singolo individuo isolato, ma anche da gruppi criminali organizzati, da reti internazionali o addirittura da entità statali o para-statali.

Non esistono barriere aziendali che possano contenere, da sole, il pericolo.

E quando l’attacco colpisce, lo fa con una velocità e un effetto moltiplicatore che il mondo della safety non conosce: può paralizzare infrastrutture critiche, bloccare servizi essenziali, compromettere dati strategici o esporre informazioni personali su larga scala.

Un singolo evento può generare danni estesi a clienti, fornitori, partner e utenti finali. In questo scenario, quindi la nozione di “colpa di organizzazione”, forse, va completamente ripensata. Non basta più dimostrare di essere conformi a uno standard: serve dimostrare di essere capaci di adattarsi costantemente.

La conformità statica non basta, serve la capacità di adattarsi

Nel campo della sicurezza sul lavoro, l’adeguatezza organizzativa si misura rispetto a standard noti: norme tecniche, prassi consolidate, linee guida settoriali.

In ambito cyber, invece, l’adeguatezza è una questione dinamica. Non basta essere in regola oggi: bisogna dimostrare di saper evolvere costantemente, seguendo il ritmo delle minacce e delle tecnologie.

Un’organizzazione adeguata, oggi, è quella che sa imparare, adattarsi e migliorare in modo continuo. È quella che costruisce strutture flessibili, capaci di reagire con prontezza e lucidità anche davanti all’inaspettato.

Per questo, i criteri di valutazione stanno cambiando. Non si guarda più solo alla conformità formale, ma alla resilienza (tenuta durante la crisi), all’agilità (velocità di adattamento), all’intelligence (capacità di anticipare le minacce), e all’interoperabilità (collaborazione con altri attori per prevenire e contenere gli attacchi).

Nuovi standard e oneri che si ribaltano

In questo contesto, il ruolo dei consulenti tecnici diventa centrale, e con esso cresce anche l’importanza degli standard internazionali: framework come ISO 27001 e NIST CSF stanno diventando il nuovo metro di valutazione e lo strumento per rispettare obblighi legali fissati da recenti normative unionali come la NIS 2.

E questo ha un effetto molto concreto: a me sembra evidente che l’onere della prova tenda a spostarsi. Non sarà più l’accusa a dover dimostrare che l’organizzazione era inadeguata, ma sarà l’ente a dover provare che era allineato agli standard riconosciuti.

Tutto ciò sembra avere ricadute profonde anche sul mondo del diritto. Giudici, avvocati, organi di vigilanza, consulenti: tutti probabilmente dovranno cominciare a masticare – almeno in parte – il linguaggio e la logica della cyber security.

Non basterà più conoscere le norme. Bisognerà invece capire come funzionano gli attacchi, come si leggono i log, come si riconosce un’anomalia nei sistemi.
Serve anche una nuova generazione di esperti capaci di fare da ponte tra diritto e tecnologia.

Professionisti in grado di accompagnare le aziende nella costruzione di modelli cyber-compliant, di supportare gli OdV nei controlli e di offrire strumenti concreti per prevenire e gestire incidenti di sicurezza.

La colpa di organizzazione nell’era digitale

La colpa di organizzazione non è più solo un concetto giuridico. È diventata uno strumento di lettura della realtà, un metro per valutare se un’azienda sta davvero facendo il possibile per proteggere il proprio patrimonio informativo, i propri utenti, il proprio futuro.

Con l’arrivo della Direttiva NIS 2 e del D.Lgs. 138/2024, molte delle pratiche che prima erano facoltative oggi diventano obblighi di legge. E questo cambia lo scenario.
Chi lavora con i sistemi 231 si trova a operare in un terreno più definito, con standard più esigenti e con responsabilità che rischiano di diventare oggettive di fatto, anche se non di diritto.

Nel prossimo capitolo, si entrerà nel vivo di questa trasformazione, analizzando come le nuove norme stanno riscrivendo il concetto stesso di responsabilità organizzativa nel mondo digitale, e cosa significa, oggi, costruire un modello davvero efficace per prevenire i reati informatici.