Le nuove normative in materia di cybersecurity ed impatto sulla responsabilita’ dei vertici apicali

Un attacco ransomware blocca le attività aziendali. Sistemi compromessi, dati critici sottratti, clienti nel panico. Mentre il team IT cerca di contenere i danni, il consiglio di amministrazione si riunisce d’urgenza. La stampa diffonde la notizia, gli investitori si allarmano e l’autorità di vigilanza notifica l’apertura di un’indagine: la mancata segnalazione dell’incidente (oltre alla mancanza di una preventiva predisposizione dei presidi adeguati) nel rispetto degli obblighi già operativi di notifica e gestione dell’incidente previsti dalla Direttiva NIS 2 e dal Regolamento DORA, espone l’azienda e il suo management a sanzioni severe.

Le conseguenze sono immediate. L’azienda rischia multe multimilionarie, mentre i dirigenti vengono accusati di negligenza per non aver predisposto adeguati sistemi di sicurezza informatica e di gestione del rischio digitale.

In questi ultimi anni, le polizze D&O devono affrontare un cambiamento epocale. Con l’entrata in vigore di DORA e NIS 2 – senza voler tralasciare altresì le altre norme di settore quali GDPR, AI Act e Cyber Resilience Act – il concetto di governance aziendale si amplia enormemente. I dirigenti non sono più responsabili solo delle decisioni finanziarie e operative, ma anche della sicurezza informatica, della protezione dei dati e dell’uso etico dell’intelligenza artificiale con estensione espressa della responsabilità anche alla gestione della supply chain tecnologica e dei fornitori ICT critici. Le conseguenze di una mancata conformità possono essere devastanti, sia in termini di sanzioni economiche che di interdizioni personali per il board aziendale.

Le compagnie assicurative devono rispondere a tale nuova esposizione al rischio, aggiornando le polizze D&O per garantire una protezione adeguata ai dirigenti.

Ma il mercato è pronto a questa rivoluzione normativa o le attuali coperture rischiano di lasciare scoperti gli amministratori proprio nei momenti più critici?

L’ampliamento del rischio manageriale e la trasformazione del quadro normativo

L’approccio normativo europeo alla cybersicurezza ha subito un cambiamento radicale con l’introduzione di DORA e NIS 2, che impongono ai vertici aziendali obblighi specifici di vigilanza e di gestione del rischio digitale.

Se il Regolamento DORA (UE 2022/2554) è destinato a disciplinare la resilienza operativa digitale nel settore delle entità finanziarie (bancarie ed assicurative in primis), la Direttiva NIS 2 (UE 2022/2555) amplia il perimetro delle imprese obbligate a conformarsi a standard di sicurezza più elevati, includendo settori critici come energia, trasporti, sanità, telecomunicazioni e infrastrutture digitali.

Dal 17 gennaio 2025, DORA impone a banche, assicurazioni, istituti di pagamento e piattaforme di cripto-asset l’adozione di un ICT Risk Management Framework conforme agli standard europei, stabilendo verifiche periodiche sulle vulnerabilità, sistemi di monitoraggio avanzati e obblighi di reporting degli incidenti.

Ebbene, l’articolo 5 attribuisce ai membri del consiglio di amministrazione una responsabilità diretta nella supervisione della sicurezza informatica, stabilendo che l’organo di gestione “assume la responsabilità finale per la gestione dei rischi informatici dell’entità finanziaria”. Mentre l’articolo 11 impone alle aziende regolamentate di integrare la gestione del rischio ICT nella governance aziendale con obbligo di approvazione formale, supervisione continuativa e tracciabilità delle decisioni assunte in materia di rischio ICT. La violazione di tali obblighi comporta conseguenze estremamente rilevanti: l’articolo 19 stabilisce che ogni incidente cyber significativo deve essere segnalato alle autorità competenti entro 72 ore, con esposizione a rilevanti misure sanzionatorie e di vigilanza, anche di natura personale, che, nei regimi applicabili, possono arrivare fino a 5 milioni di euro o al 10% del fatturato globale, oltre alla possibile adozione di misure incidenti sull’esercizio delle funzioni dei dirigenti responsabili.

Parallelamente, la Direttiva NIS 2, recepita con D.lgs. 138/2024, già in vigore dal 18 ottobre 2024, amplia ulteriormente il regime di responsabilità estendendolo agli operatori essenziali e importanti. L’articolo 20 stabilisce, infatti, che i membri del board hanno l’obbligo di approvare e supervisionare direttamente le strategie di cybersecurity, non limitandosi a delegarle ai responsabili IT. Ed ancora, l’articolo 23 impone una tempistica estremamente rigida per la segnalazione degli incidenti: entro 24 ore dalla rilevazione, l’azienda deve notificare l’attacco, fornendo una relazione completa entro 72 ore.

Con decorrenza operativa dal 1° gennaio 2026, tali obblighi non hanno più natura programmatica, ma costituiscono adempimenti immediatamente esigibili, con conseguente esposizione diretta degli organi apicali in caso di ritardo o omissione

Le sanzioni per inadempienza sono particolarmente severe: fino a 10 milioni di euro o il 2% del fatturato globale per le imprese essenziali e 7 milioni o l’1,4% per le imprese importanti.

A queste disposizioni si aggiungono quelle del GDPR (Reg. UE 2016/679), che all’articolo 33 impone l’obbligo di segnalare i data breach entro 72 ore, prevedendo multe fino al 4% del fatturato globale. Il Cyber Resilience Act, già entrato in vigore con applicazione progressiva, introduce, invece, obblighi stringenti per i produttori di software e hardware, imponendo un regime di responsabilità estesa sulla sicurezza dei prodotti digitali. Le piattaforme online, infine, sono soggette al Digital Services Act (UE 2022/2065) e al Digital Markets Act (UE 2022/1925), che impongono requisiti stringenti di protezione informatica e mitigazione dei rischi per gli utenti.

Il Regolamento AI Act (Reg. UE 2024/1689) invece, introduce una nuova area di rischio per i dirigenti aziendali. Se un’azienda utilizza sistemi di intelligenza artificiale per il reclutamento del personale, la concessione di crediti o la sorveglianza predittiva, i suoi dirigenti potrebbero essere ritenuti responsabili per discriminazioni algoritmiche, mancata supervisione e utilizzo illecito di dati.

Le multe per violazioni dell’AI Act possono arrivare fino a 30 milioni di euro o il 6% del fatturato globale.

In tale contesto normativo, la responsabilità degli amministratori aziendali non si limita più alla gestione finanziaria e operativa dell’impresa, ma si estende alla cybersicurezza e alla gestione del rischio informatico. Questo principio trova fondamento giuridico nell’art. 2086 del codice civile, che, nella sua attuale nuova formulazione, impone agli amministratori l’adozione di “un assetto organizzativoorganizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa”. Un’interpretazione attuale della norma impone di considerare la resilienza digitale come parte integrante della governance d’impresa. Infatti, la mancata adozione di misure adeguate di protezione dei dati, sicurezza informatica e gestione dell’AI può compromettere la stabilità dell’impresa, esponendo gli amministratori non solo a sanzioni regolatorie, ma altresì ad azioni di responsabilità da parte di azionisti, creditori e clienti.

Questa convergenza normativa ha indubbiamente una conseguenza diretta sulle polizze D&O, che non possono più essere considerate uno strumento statico e generalista.

Il rischio cyber è diventato, dunque, un elemento strutturale della responsabilità manageriale e deve essere trattato come tale anche in ambito assicurativo.

D&O e cybersicurezza: perché le polizze devono cambiare?

Le tradizionali polizze Directors & Officers erano state concepite per proteggere i dirigenti da azioni legali derivanti da errori di gestione, negligenza e violazioni normative di carattere generale. Tuttavia, l’introduzione di sanzioni sempre più severe e la responsabilizzazione diretta del board per la gestione del rischio cyber impongono una revisione della struttura delle coperture, che devono essere adattate per rispondere alle nuove tipologie di rischio.

Le compagnie stanno già implementando modifiche sostanziali nei contratti D&O, introducendo nuove esclusioni, nuove condizioni di sottoscrizione e una maggiore interconnessione tra le polizze D&O e quelle Cyber. In molti casi, le sanzioni amministrative derivanti da DORA e NIS 2 sono escluse dalla copertura, lasciando i dirigenti privi di protezione in caso di indagini regolatorie.

Ridefinizione della struttura della polizza: segmentazione delle coperture

Le polizze D&O tradizionalmente coprono le richieste di risarcimento derivanti da violazioni di obblighi legali o regolamentari commesse dai dirigenti nell’esercizio delle proprie funzioni. Tuttavia, con l’introduzione di NIS 2 e DORA, il rischio cyber è ora direttamente connesso alla governance aziendale, rendendo necessaria una segmentazione della copertura in tre livelli:

• Copertura per sanzioni amministrative e interdizioni: dato che molte polizze standard escludono la copertura per le sanzioni regolatorie, una soluzione può essere l’inserimento di una sezione dedicata alla tutela legale per la difesa del dirigente, che copra spese legali e costi di compliance sostenuti per contestare le sanzioni imposte da autorità regolatorie in caso di violazioni di NIS 2 o DORA.

• Copertura per cyber governance e failure to prevent risk: la polizza potrebbe includere un’estensione specifica per la responsabilità del board nella gestione del rischio cyber, coprendo le richieste di risarcimento avanzate da azionisti, clienti o autorità di vigilanza per mancata adozione di adeguate misure di cybersecurity.

• Copertura per data breach e mancata notifica: data la sovrapposizione tra DORA e GDPR, potrebbe essere prevista una clausola per coprire i dirigenti nel caso di omessa o ritardata notifica di un attacco cyber, sempreché tale omissione non sia dovuta a dolo o negligenza grave.

Revisione delle clausole di esclusione

Il rischio normativo introdotto da DORA e NIS 2 impone una riformulazione delle clausole di esclusione, distinguendo tra esclusioni assolute e esclusioni mitigabili con audit e compliance.

• Esclusione assoluta per violazioni dolose: deve rimanere l’esclusione per atti dolosi o fraudolenti dei dirigenti (es. deliberata omissione di un data breach per evitare danni reputazionali).

• Esclusione condizionata per mancata compliance: la polizza potrebbe prevedere un rifiuto della copertura solo se l’azienda non abbia implementato un piano di gestione del rischio conforme a NIS 2 e DORA. Questo approccio incentiverebbe le imprese a garantire la compliance e consentirebbe ai dirigenti di accedere alla copertura ove dimostri di aver adottato le misure richieste dalle normative.

Introduzione di requisiti di sottoscrizione basati sulla compliance

Per evitare una maggiore esposizione al rischio, le compagnie potrebbero introdurre parametri di valutazione della compliance aziendale, rendendo la sottoscrizione delle polizze D&O vincolata al rispetto di determinati requisiti. Tra i più rilevanti:

• Cybersecurity Risk Assessment: la compagnia potrebbe richiedere la conferma di un audit annuale di conformità a DORA e NIS 2, con obbligo per l’azienda di dimostrare di aver adottato misure di cybersecurity conformi agli standard europei.

• Obbligo di reporting degli incidenti: la polizza potrebbe contenere una clausola che impone all’assicurato di notificare ogni incidente informatico alla compagnia assicurativa entro 48 ore, permettendo una gestione più efficace del sinistro.

• Condizione di copertura per piani di continuità operativa: una soluzione efficace per il rischio cyber in ambito D&O è l’inserimento di una clausola che subordina la validità della copertura all’adozione di un piano di continuità operativa e disaster recovery conforme a DORA e NIS 2 (ove applicabili).

Aumento della capienza e differenziazione dei massimali

Le attuali polizze D&O prevedono spesso massimali unici per tutte le tipologie di richieste di risarcimento. Tuttavia, l’elevato costo delle sanzioni regolatorie e dei contenziosi cyber rende necessaria una segmentazione dei massimali, con:

• Massimale specifico per spese legali e compliance: si rende necessaria l’introduzione di un massimale separato per coprire i costi di difesa in caso di indagini regolatorie.

• Massimale per richieste di risarcimento di terzi: le azioni legali intentate da azionisti, clienti o partner commerciali contro i dirigenti per mancata gestione del rischio cyber potrebbero avere un massimale dedicato, differenziato da quello per sanzioni e compliance.

• Copertura excess-layer per sanzioni: alcune compagnie potrebbero offrire programmi a strati, in cui la copertura per le sanzioni regolatorie scatta solo dopo che l’azienda ha esaurito altre forme di protezione, come fondi di riserva per il contenzioso.

Integrazione con polizze Cyber Risk

Un ulteriore sviluppo tecnico della polizza D&O potrebbe essere l’integrazione con la copertura Cyber Risk, prevedendo una sinergia tra le due polizze. Per esempio, se un attacco cyber genera una richiesta di risarcimento contro i dirigenti per mancata adozione di misure di sicurezza, la parte di remediation e business interruption verrebbe coperta dalla polizza Cyber Risk, mentre le spese legali e la responsabilità del board sarebbero coperte dalla polizza D&O.

Le polizze cyber più avanzate, inoltre, potrebbero fornire una copertura finanziaria in caso di eventi come il cosiddetto system failure del fornitore terzo di servizi IT, nel caso in cui questi determinino un’interruzione del funzionamento dei sistemi IT aziendali, con conseguente interruzione delle attività e conseguenti costi straordinari per il ripristino dell’operatività, nonché perdita di dati e spese legali.

Le polizze più evolute prevedono anche un’integrazione tra D&O e Cyber Risk, per garantire una copertura completa che protegga il board sia dai rischi operativi sia dalle responsabilità normative.

Il ruolo strategico degli intermediari nell’adattamento delle D&O

La recentissima evoluzione normativa non è solo un aggiornamento regolatorio, ma un vero e proprio cambio di paradigma nella governance aziendale. Le aziende e i loro dirigenti sono chiamati a una gestione proattiva del rischio, che integra cybersecurity, protezione dei dati e continuità operativa come elementi fondamentali dell’assetto organizzativo.

La Direttiva NIS 2, il Regolamento DORA e il GDPR impongono obblighi di governance stringenti – oggi già oggetto di verifica concreta da parte delle autorità competenti, anche attraverso i meccanismi nazionali di attuazione e controllo attribuendo responsabilità dirette agli amministratori sulla sicurezza informatica e la gestione dei dati aziendali, i quali sono oggi soggetti ai seguenti obblighi:

• assicurare la protezione dei dati aziendali e personali ai sensi del GDPR, garantendo che le informazioni siano trattate in conformità con gli standard normativi;

• implementare azioni di governance e organizzazione interna, adeguando i processi aziendali ai requisiti imposti dalle normative sulla cybersicurezza e sulla protezione dei dati;

• rivedere le procedure interne per rispettare i diritti degli interessati (accesso, modifica, oblio);

• adottare misure di sicurezza fisiche e informatiche adeguate a proteggere i dati sensibili e i sistemi critici;

• applicare il principio del “privacy by design” e “privacy by default”, per garantire che la protezione dei dati sia integrata in ogni processo aziendale;

• garantire una strategia resiliente per il Disaster Recovery e la Business Continuity, evitando che un attacco informatico comprometta la continuità operativa;

• prevedere piani di comunicazione con gli stakeholder in caso di violazioni o incidenti di sicurezza.

Le compagnie assicurative, invece, stanno iniziando ad adottare un approccio più selettivo nella sottoscrizione delle polizze D&O, richiedendo una due diligence approfondita sulle misure di sicurezza adottate dalle aziende e imponendo clausole di esclusione per le violazioni più gravi.

Pertanto, l’adeguamento a DORA e NIS 2 rappresenta non solo un imperativo normativo, ma una condizione essenziale per garantire la continuità operativa e la protezione del management da richieste di risarcimento o misure sanzionatorie. Le imprese devono adottare un approccio strutturato alla gestione del rischio cyber, integrando procedure di sicurezza avanzate e strumenti di resilienza digitale per ridurre la loro esposizione al rischio. Le polizze D&O, dal canto loro, si stanno evolvendo per riflettere il nuovo contesto regolatorio, introducendo criteri di selezione più rigorosi e clausole di esclusione più restrittive.

Per i dirigenti, il messaggio è chiaro: la responsabilità in materia di cybersicurezza non è più delegabile. Il rispetto delle nuove disposizioni normative non è solo una questione di compliance, ma un prerequisito fondamentale per evitare sanzioni personali, azioni di responsabilità e il rischio di perdere la protezione assicurativa D&O.

Garantire la conformità a DORA, NIS 2, GDPR, CRA e DSA è adesso un requisito essenziale per proteggere l’azienda (ed i propri dirigenti) da richieste di risarcimento e responsabilità legali. La cybersicurezza, da questione tecnica, è ormai un rischio manageriale che richiede una gestione strutturata e integrata.

Le nuove normative europee impongono una trasformazione strutturale del mercato assicurativo. Il rischio cyber non è più un evento straordinario, ma una variabile costante nella gestione del rischio d’impresa. Le polizze D&O devono evolversi per offrire una protezione adeguata ai dirigenti, evitando lacune critiche che potrebbero lasciarli esposti proprio nel momento in cui il quadro normativo rende indispensabile una copertura efficace.

Gli intermediari assicurativi hanno un ruolo chiave in questa transizione, guidando i propri clienti verso soluzioni aggiornate e adeguate alla nuova realtà regolatoria. Il futuro delle D&O è legato alla loro capacità di rispondere al nuovo rischio cyber, e chi non adatta le proprie coperture potrebbe trovarsi a offrire polizze inutili nel momento in cui il quadro normativo ne rende necessaria l’attivazione.