Responsabilità penale degli amministratori per data breach

Responsabilità penale degli amministratori per data breach: quando la violazione dei dati diventa reato

A cura di:Redazione Ore

Quando un’organizzazione subisce una violazione massiva di dati personali, l’attenzione si concentra immediatamente sulle sanzioni amministrative del Garante, che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale annuo. Raramente, invece, ci si interroga sulla più insidiosa questione della responsabilità penale individuale degli amministratori che siedono nei consigli di amministrazione delle società coinvolte.

Eppure, è proprio su questo crinale che si gioca una partita fondamentale: quella tra accountability aziendale e personalità della responsabilità penale, tra obblighi preventivi e punizione degli illeciti, tra cultura della compliance e logiche sanzionatorie che possono portare, nei casi più gravi, a pene detentive fino a sei anni di reclusione.

La giurisprudenza italiana del biennio 2024-2025 offre un quadro tutt’altro che lineare, frammentato tra reati informatici, violazioni del Codice della privacy e applicazione del D.lgs. 231/2001. La sostanziale assenza di pronunce specificamente dedicate alla responsabilità penale per data breach in senso stretto crea una zona grigia che genera incertezza operativa per CISO, DPO, responsabili della sicurezza informatica e, soprattutto, per gli amministratori che devono comprendere i confini esatti della loro esposizione al rischio penale.

Il quadro normativo italiano: un sistema stratificato tra GDPR e codice penale

Il Regolamento (UE) 2016/679 (GDPR), nella sua complessa architettura sanzionatoria, ha volutamente privilegiato la responsabilità amministrativa, costruendo un sistema binario di sanzioni pecuniarie che distingue tra violazioni “minori” (fino a 10 milioni di euro o 2% del fatturato) e violazioni “gravi” (fino a 20 milioni o 4% del fatturato).

Tuttavia, il Considerando 149 del GDPR stabilisce espressamente che “gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per le violazioni del presente regolamento”, lasciando agli ordinamenti nazionali la facoltà – non l’obbligo – di introdurre fattispecie penali complementari.

La scelta italiana: mantenere le fattispecie penali del codice privacy

L’Italia ha scelto una strada peculiare: mantenere in vigore gli articoli 167, 167-bis e 167-ter del Codice della privacy (D.lgs. 196/2003, come modificato sostanzialmente dal D.lgs. 101/2018 in seguito all’entrata in vigore del GDPR), che puniscono il trattamento illecito di dati personali con pene detentive significative.

Questa scelta ha generato un sistema a “doppio binario” che molti esperti di diritto penale considerano problematico: da un lato la responsabilità amministrativa comminata dal Garante per la protezione dei dati personali, dall’altro la possibile responsabilità penale individuale per fattispecie che, in molti casi, presentano elementi costitutivi parzialmente sovrapponibili.

L’articolo 167 del codice privacy: elementi costitutivi del reato

L’art. 167, comma 1 del Codice privacy stabilisce testualmente: “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”.

Questa norma presenta caratteristiche tecniche che ne limitano significativamente l’applicabilità pratica ai casi di data breach:

  1. Clausola di riserva: “Salvo che il fatto costituisca più grave reato” significa che l’art. 167 opera in via sussidiaria rispetto ad altre fattispecie penali più gravi (es. estorsione mediante ransomware, accesso abusivo a sistema informatico ex art. 615-ter c.p.)
  2. Dolo specifico alternativo: è richiesto il “fine di trarre profitto” oppure il “fine di arrecare danno”. Non è sufficiente la mera violazione colposa degli obblighi di sicurezza
  3. Nocumento effettivo: oltre al dolo specifico, è necessario che si verifichi un “nocumento” concreto all’interessato, non meramente ipotetico o potenziale
  4. Violazione di specifiche norme: il rinvio agli artt. 123, 126, 130 e 129 del Codice circoscrive le condotte rilevanti

La Cassazione penale, con la fondamentale sentenza n. 13102 del 14 marzo 2023 (depositata il 29 marzo 2023), ha precisato che l’art. 167 configura un reato comune, che può essere commesso da “chiunque” e non solo da soggetti qualificati come titolari o responsabili del trattamento. Questo amplia potenzialmente la platea dei soggetti perseguibili, ma al contempo la Corte ha ribadito che il nocumento deve essere “giuridicamente rilevante”, escludendo disagio o fastidio di lieve entità.

L’articolo 167-bis: la comunicazione illecita su larga scala

L’art. 167-bis, introdotto dal D.lgs. 101/2018, rappresenta un inasprimento significativo della tutela penale: “Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni”.

Questa norma è stata pensata per colpire casi di massive data breach con successiva divulgazione intenzionale dei dati (tipicamente, la pubblicazione sul dark web di database sottratti). La pena edittale elevata (fino a 6 anni) riflette la gravità sociale di condotte che espongono milioni di persone a rischi concreti di furto d’identità, frodi finanziarie e altri crimini derivati.

Tuttavia, anche qui permane il requisito del dolo specifico: deve essere dimostrato il fine di profitto o di danno. Un data breach causato da negligenza nella gestione della sicurezza informatica – per quanto grave sul piano della compliance GDPR – difficilmente può essere ricondotto a questa fattispecie.

La posizione di garanzia degli amministratori: quando l’omissione diventa reato

Il vero nodo interpretativo per la responsabilità degli amministratori societari nel contesto dei data breach non riguarda tanto la commissione attiva del reato quanto la responsabilità omissiva: può un amministratore rispondere penalmente per non aver impedito una violazione dei dati causata da terzi o da inadeguatezza delle misure di sicurezza?

Il principio costituzionale della personalità della responsabilità penale

L’art. 27, comma 1, della Costituzione italiana stabilisce che “la responsabilità penale è personale”. Questo principio, apparentemente semplice, ha implicazioni profonde: non è possibile punire qualcuno per il solo fatto di ricoprire una determinata carica (responsabilità di posizione), ma è necessario dimostrare un contributo causale personale, attivo od omissivo, alla realizzazione dell’evento criminoso.

La giurisprudenza consolidata della Cassazione ha tradotto questo principio in regole operative stringenti, particolarmente rilevanti per gli amministratori:

  1. La posizione formale non basta: essere registrati come amministratore presso il Registro Imprese non è sufficiente per fondare una condanna
  2. Serve la prova del contributo causale: deve essere dimostrato cosa l’amministratore ha fatto o omesso di fare
  3. È necessario l’elemento psicologico: oltre al nesso causale, deve essere provato il dolo o, nei reati colposi, la negligenza, imprudenza o imperizia

La dottrina della posizione di garanzia nel diritto penale societario

La posizione di garanzia è un istituto del diritto penale (disciplinato dall’art. 40, comma 2, c.p.) secondo cui “non impedire un evento che si ha l’obbligo giuridico di impedire equivale a cagionarlo”. In altre parole, chi ha il dovere giuridico di evitare che si verifichi un determinato evento dannoso risponde penalmente se, potendo impedirlo, non interviene.

Gli amministratori di società sono tradizionalmente considerati garanti del patrimonio sociale e dell’integrità dell’organizzazione. Ma questa posizione di garanzia si estende anche alla protezione dei dati personali trattati dall’azienda?

La risposta è articolata:

  • Sul piano civilistico e amministrativo: sì, senza dubbio. Gli artt. 2381 e 2392 c.c. impongono agli amministratori doveri di diligente gestione, e il GDPR (art. 24) attribuisce al titolare del trattamento l’obbligo di implementare misure tecniche e organizzative adeguate
  • Sul piano penale: la questione è controversa. La dottrina prevalente ritiene che la posizione di garanzia penalmente rilevante debba essere fondata su una norma espressa, non su generici obblighi di vigilanza

Le sentenze della cassazione 2024: la svolta sulla consapevolezza effettiva

Il 2024 ha visto pronunce significative che ridefiniscono i confini della responsabilità penale degli amministratori. Due sentenze in particolare meritano un’analisi approfondita.

Cassazione n. 11968 del 26 gennaio 2024 – Il caso dell’amministratore “testa di legno”

Questa sentenza ha esaminato il caso di un amministratore unico di S.r.l., in carica dal 2013 al fallimento nel 2016, accusato di bancarotta fraudolenta documentale e patrimoniale. L’imputato sosteneva di essere un mero prestanome, senza effettivi poteri gestionali.

La Corte di Cassazione ha annullato la condanna con rinvio a nuovo giudizio, stabilendo un principio fondamentale: “Per affermare la responsabilità penale dell’amministratore di diritto non è sufficiente la sua posizione formale, ma occorre provare la sua effettiva e concreta consapevolezza delle condotte illecite poste in essere dagli amministratori di fatto o, comunque, il suo contributo causale alla realizzazione del reato”.

La motivazione è particolarmente significativa: “La posizione di garanzia che deriva dalla carica di amministratore non può trasformarsi in una presunzione di responsabilità penale che inverte l’onere della prova, imponendo all’imputato di dimostrare la propria estraneità ai fatti. Al contrario, è l’accusa che deve fornire la prova positiva del coinvolgimento, della consapevolezza e dell’elemento soggettivo del reato”.

Trasponendo questo principio ai data breach: un amministratore non può essere ritenuto penalmente responsabile per la sola circostanza che, durante il suo mandato, si sia verificata una violazione dei dati. Deve essere dimostrato che:

  • Era a conoscenza di vulnerabilità specifiche non risolte
  • Aveva ricevuto segnalazioni formali (es. dal DPO, dal CISO, dall’OdV) rimaste inascoltate
  • Aveva deliberatamente rifiutato stanziamenti di budget per investimenti in sicurezza ritenuti essenziali
  • Era stato informato di precedenti incidenti minori che avrebbero dovuto allertarlo

Cassazione n. 13620/2024 – La responsabilità nella gestione collegiale

Questa pronuncia ha affrontato il caso di una S.r.l. con tre amministratori, tutti condannati per bancarotta fraudolenta nonostante solo uno fosse il gestore di fatto. Gli altri due si difendevano sostenendo di essere stati esclusi dalla gestione.

La Cassazione ha confermato le condanne, ma con una motivazione che introduce elementi rilevanti: “L’amministratore non operativo è esente da responsabilità penale solo se dimostra di aver effettivamente vigilato sull’operato degli altri amministratori e di essersi attivato per impedire le condotte illecite, ad esempio formalizzando il proprio dissenso, convocando assemblee dei soci o, nei casi più gravi, rassegnando le dimissioni”.

Il principio chiave è quello della vigilanza attiva: non basta non partecipare alle decisioni illegittime; occorre attivarsi concretamente per contrastarle o, quantomeno, documentare il proprio dissenso.

Applicazione pratica ai data breach: in un CdA con più amministratori, se il CEO o l’amministratore delegato rifiuta di implementare raccomandazioni di sicurezza critiche, gli altri amministratori hanno l’obbligo di:

  1. Formalizzare il proprio dissenso in sede di consiglio
  2. Richiedere pareri tecnici esterni (consulenti, auditor)
  3. Nei casi più gravi, informare il collegio sindacale o rassegnare le dimissioni

La mera “non partecipazione” passiva alle decisioni insufficienti in materia di cybersecurity potrebbe non essere sufficiente a escludere la responsabilità.

Il decreto legislativo 231/2001: la responsabilità dell’ente come sistema di imputazione parallelo

L’art. 24-bis del D.lgs. 231/2001 ha introdotto nel 2008 (con la Legge 48/2008 di ratifica della Convenzione di Budapest sul cybercrime) i delitti informatici e il trattamento illecito di dati tra i reati presupposto della responsabilità amministrativa degli enti.

Questo meccanismo introduce un livello di complessità ulteriore nella gestione del rischio penale connesso ai data breach.

Come funziona la responsabilità ex 231: il meccanismo dell’imputazione “per ricochet”

Il sistema 231 si basa su un principio apparentemente paradossale: l’ente (società, associazione, fondazione) risponde “penalmente” (anche se tecnicamente si tratta di responsabilità amministrativa) per reati commessi da persone fisiche. È una deroga al principio societas delinquere non potest.

Il meccanismo funziona così:

  1. Un soggetto “apicale” (amministratore, direttore, dirigente con funzioni di rappresentanza) o un soggetto “sottoposto” (dipendente, collaboratore) commette uno dei reati presupposto elencati nel D.lgs. 231
  2. Il reato è commesso nell’interesse o a vantaggio dell’ente (non a vantaggio esclusivo personale dell’autore)
  3. L’ente non ha adottato un Modello di Organizzazione, Gestione e Controllo (MOG) idoneo a prevenire quel tipo di reato, oppure il modello è stato fraudolentemente eluso
  4. L’Organismo di Vigilanza (OdV) non ha vigilato efficacemente sul rispetto del modello

Se questi elementi ricorrono, l’ente può essere condannato a sanzioni pecuniarie (da 25.900 a 1.549.000 euro, calcolate a quote) e, nei casi più gravi, a sanzioni interdittive:

  • Interdizione dall’esercizio dell’attività
  • Sospensione o revoca di autorizzazioni, licenze o concessioni
  • Divieto di contrattare con la pubblica amministrazione
  • Esclusione da finanziamenti, contributi o sussidi
  • Divieto di pubblicizzare beni o servizi

Queste sanzioni interdittive possono essere devastanti per un’azienda, comportando di fatto la cessazione dell’attività economica.

I reati informatici rilevanti per i data breach

L’art. 24-bis include diverse fattispecie:

  • Art. 615-ter c.p. (Accesso abusivo a sistema informatico): pena per l’ente da 100 a 500 quote, se il reato è commesso da un dipendente che supera i propri privilegi di accesso
  • Art. 615-quater c.p. (Detenzione e diffusione abusiva di codici di accesso): rilevante quando vengono sottratte credenziali per accedere ai database
  • Art. 615-quinquies c.p. (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico): ransomware sviluppati internamente
  • Art. 617-quater c.p. (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche)
  • Art. 617-quinquies c.p. (Installazione di apparecchiature per intercettare comunicazioni)
  • Art. 635-bis c.p. (Danneggiamento di informazioni, dati e programmi informatici)
  • Art. 635-ter, quater, quinquies c.p. (Danneggiamento di sistemi informatici)
  • Art. 640-ter c.p. (Frode informatica)

Inoltre, sono inclusi gli artt. 167 e 167-bis del Codice privacy già analizzati.

Il paradosso del modello 231: scudo o amplificatore di responsabilità?

L’adozione di un Modello di Organizzazione, Gestione e Controllo efficace dovrebbe costituire una causa di esonero dalla responsabilità dell’ente ex art. 6 del D.lgs. 231/2001. In teoria, quindi, rappresenta uno “scudo” contro le sanzioni.

Tuttavia, nella pratica forense emerge un paradosso che pochi commentatori hanno evidenziato:

Scenario 1 – Ente senza MOG 231:

  • Si verifica un data breach
  • Un dipendente ha commesso un reato informatico (es. accesso abusivo, art. 615-ter)
  • L’ente non ha un modello 231
  • Conseguenza: l’ente risponde ex 231, ma è difficile imputare agli amministratori una responsabilità penale personale, perché l’assenza del modello è al massimo una violazione di obblighi civilistici

Scenario 2 – Ente con MOG 231 dettagliato:

  • Si verifica un data breach
  • L’ente ha un modello 231 che contiene protocolli specifici sulla cybersecurity
  • Nei verbali del CdA risulta che l’amministratore ha approvato procedure anti-ransomware, policy di gestione accessi, etc.
  • Conseguenza: è più facile per l’accusa sostenere che l’amministratore era pienamente consapevole dei rischi cyber e ha comunque omesso di vigilare adeguatamente

In altre parole, il MOG 231 può trasformarsi in un’arma a doppio taglio: da un lato protegge l’ente (se è stato efficacemente implementato), dall’altro cristallizza la consapevolezza dell’amministratore, rendendo più difficile sostenere di non essere a conoscenza dei rischi.

Il ruolo dell’organismo di vigilanza: sentinella della consapevolezza

L’Organismo di Vigilanza (OdV) è un organo interno dell’ente con funzioni di controllo sull’applicazione e l’efficacia del Modello 231. Può essere monocratico o collegiale, e deve possedere requisiti di autonomia, indipendenza, professionalità e continuità d’azione.

Il Parere del Garante del 27 gennaio 2020 (doc. web 9347842) ha chiarito la qualificazione privacy dell’OdV: non è né titolare autonomo né responsabile del trattamento, ma è parte integrante dell’ente. Tratta dati personali nell’ambito delle sue funzioni di vigilanza, ma la responsabilità per eventuali violazioni ricade sull’ente stesso.

Tuttavia, sul piano della dinamica della responsabilità penale degli amministratori, l’OdV svolge un ruolo cruciale come produttore di evidenze documentali. Le relazioni periodiche dell’OdV, le segnalazioni di criticità, le raccomandazioni non implementate sono tutti elementi che possono:

  1. Dimostrare la consapevolezza dell’amministratore: se l’OdV ha segnalato vulnerabilità di sicurezza e l’amministratore non ha stanziato i fondi necessari per risolverle, questo può integrare l’elemento soggettivo del reato
  2. Provare l’inadeguatezza del modello: un OdV che segnala ripetutamente le stesse criticità senza che vengano risolte dimostra che il modello non è “efficacemente attuato” ai sensi dell’art. 6 del D.lgs. 231
  3. Escludere la buona fede dell’amministratore: è più difficile sostenere di aver agito con la diligenza del “buon padre di famiglia” quando esistono segnalazioni formali ignorate

Analisi delle più recenti pronunce: insegnamenti dal diritto societario applicabili alla cybersecurity

In assenza di un corpus giurisprudenziale consolidato specificamente dedicato alla responsabilità penale per data breach, è necessario guardare alle pronunce in materia di reati societari, fallimentari e tributari che hanno affrontato la questione della responsabilità degli amministratori. Molti dei principi elaborati sono direttamente trasponibili al contesto della protezione dei dati.

Cassazione n. 35031 del maggio 2025: la consapevolezza della “macroscopica illegalità”

Questa sentenza, che ha confermato la condanna di un amministratore di diritto per reati tributari, introduce un concetto particolarmente rilevante: quello della “macroscopica illegalità”.

Il caso riguardava un soggetto che formalmente rivestiva la carica di amministratore, ma sosteneva di essere un mero prestanome, senza alcuna partecipazione alla gestione. La difesa aveva argomentato che, non essendo a conoscenza dei dettagli delle singole operazioni fiscalmente illecite, non poteva essere ritenuto responsabile.

La Cassazione ha respinto questa tesi con una motivazione articolata:

“In tema di reati tributari, la prova del dolo specifico dei delitti in capo all’amministratore di diritto di una società, che funge da mero prestanome, può essere desunta dal complesso dei rapporti tra questi e l’amministratore di fatto, nell’ambito dei quali assumono decisiva valenza la macroscopica illegalità dell’attività svolta e la consapevolezza di tale illegalità”.

Il concetto di “macroscopica illegalità” indica situazioni in cui l’illiceità è così evidente che non si può credibilmente sostenere di non essersene accorti. Esempi:

  • Fatturazioni per importi spropositati rispetto al fatturato reale
  • Movimenti bancari anomali e sistematici
  • Assenza totale di documentazione contabile
  • Utilizzo di società cartiere o soggetti fittizi

Trasposizione al contesto cyber: potrebbero configurare “macroscopica illegalità” in materia di protezione dati situazioni come:

  • Assenza totale di misure di sicurezza informatica (nessun firewall, nessun antivirus, nessuna gestione degli accessi)
  • Trattamento di dati sensibili (sanitari, giudiziari) senza alcuna crittografia
  • Violazione sistematica dei principi di minimizzazione e limitazione della conservazione (conservare dati per decenni senza alcuna ragione)
  • Database pubblicamente accessibili su internet senza protezione
  • Vendita deliberata di dati personali sul mercato nero

In questi casi estremi, un amministratore difficilmente potrebbe sostenere credibilmente di non essere a conoscenza della situazione.

Cassazione n. 2499 del 2024: l’inversione dell’onere della prova in caso di distrazioni

Questa sentenza, relativa a bancarotta fraudolenta, introduce un principio processuale rilevante: l’inversione dell’onere della prova in caso di mancata rendicontazione.

Il caso riguardava un amministratore di fatto (gestore effettivo pur senza carica formale) accusato di aver distratto beni aziendali. La difesa sosteneva che non vi era prova dell’effettiva distrazione, essendo possibile che i beni fossero stati utilizzati per finalità aziendali legittime.

La Cassazione ha stabilito: “La responsabilità dell’imprenditore in merito alla destinazione dei beni dell’impresa per la conservazione della garanzia patrimoniale verso i creditori giustifica l’apparente inversione dell’onere della prova a carico dell’amministratore della società fallita, in caso di mancato rinvenimento degli stessi o del loro ricavato, la cui violazione comporta responsabilità penale”.

In altre parole: se i beni aziendali mancano, spetta all’amministratore dimostrare dove sono finiti e che sono stati utilizzati correttamente. Non è l’accusa che deve provare la distrazione, ma è l’amministratore che deve giustificare l’assenza.

Applicazione ai data breach: questo principio potrebbe essere trasferito in contesti come:

  • Perdita di backup: se i backup dei dati sono scomparsi o non più accessibili, potrebbe spettare all’amministratore dimostrare che esisteva un’adeguata policy di backup e che è stata rispettata
  • Log mancanti: se non esistono log di accesso ai sistemi che avrebbero dovuto essere conservati per finalità di sicurezza, l’amministratore potrebbe dover giustificare questa assenza
  • Documentazione compliance: se non esiste documentazione sull’adozione di misure di sicurezza (DPIA, valutazioni del rischio, audit), l’onere di dimostrare che comunque le misure erano state prese potrebbe gravare sull’amministratore

Cassazione n. 13200 del 2024: la necessaria delimitazione temporale della responsabilità

Questa pronuncia affronta il caso di due amministratori che si erano succeduti nella gestione di una S.r.l. poi fallita. Entrambi erano stati condannati “in blocco” per le stesse condotte distrattive, senza che i giudici di merito avessero distinto quali atti fossero stati compiuti durante il mandato di ciascuno.

La Cassazione ha annullato la sentenza stabilendo un principio fondamentale: “Per affermare la responsabilità penale per bancarotta fraudolenta, non è sufficiente constatare l’esistenza di un danno per i creditori. È indispensabile dimostrare, al di là di ogni ragionevole dubbio, che una specifica condotta illecita, posta in essere da un determinato soggetto, abbia causato quel danno”.

La Corte ha quindi indicato che il giudice deve:

  1. Identificare temporalmente le singole condotte distrattive
  2. Collegare ciascuna condotta al periodo di gestione dell’amministratore in carica
  3. Motivare specificamente l’eventuale responsabilità per fatti avvenuti fuori dal mandato (es. accordo fraudolento con successore)

Trasposizione ai data breach: questo principio è cruciale quando:

  • Si succedono più amministratori: se un data breach emerge durante il mandato dell’amministratore B, ma deriva da vulnerabilità non risolte dall’amministratore A, occorre verificare: quando è stata segnalata la vulnerabilità? A chi? Chi aveva l’obbligo di risolverla? Chi aveva il budget?
  • Sistemi legacy: molti data breach derivano da vulnerabilità in sistemi informatici obsoleti ereditati da gestioni precedenti. L’amministratore attuale può essere responsabile solo se aveva conoscenza del rischio e disponibilità dei mezzi per porvi rimedio
  • Processi di M&A: in caso di fusioni o acquisizioni, occorre distinguere tra responsabilità per sistemi ereditati dalla società incorporata e responsabilità per mancata due diligence in fase pre-acquisizione

Scenari applicativi e casistica operativa: quando si configura il rischio penale concreto

Dopo aver analizzato il framework normativo e giurisprudenziale, è necessario calare questi principi nella pratica operativa, esaminando scenari reali che potrebbero configurare responsabilità penale per gli amministratori.

Scenario 1 – Attacco ransomware con exfiltration e pubblicazione dati

Fatto: Un’azienda sanitaria privata subisce un attacco ransomware. Gli attaccanti criptano i server, rendendo inaccessibili le cartelle cliniche di 50.000 pazienti. Contestualmente, exfiltrano 200 GB di dati sanitari (diagnosi, terapie, referti) che successivamente pubblicano sul dark web dopo il rifiuto di pagare il riscatto di 500.000 euro.

Profili di responsabilità amministrativa (Garante):

  • Violazione art. 32 GDPR (misure di sicurezza inadeguate)
  • Violazione art. 33 GDPR se la notifica non avviene entro 72 ore
  • Sanzioni potenziali: fino a 20 milioni o 4% fatturato (trattandosi di dati sanitari, categoria particolare ex art. 9 GDPR)

Profili di responsabilità penale dell’amministratore:

  1. Art. 167 Codice privacy: difficilmente applicabile, perché l’amministratore non ha “trattato illecitamente” i dati. Sono stati gli attaccanti a farlo. La mera omissione di adeguate misure di sicurezza non integra il reato commissivo dell’art. 167
  2. Art. 615-ter c.p. (accesso abusivo): l’amministratore non ha commesso personalmente l’accesso. Potrebbe rispondere solo se fosse dimostrato che ha agevolato l’accesso (es. fornendo credenziali, disabilitando sistemi di sicurezza dietro compenso)
  3. Responsabilità omissiva ex art. 40 cpv c.p.: potrebbe essere configurabile se si dimostra che:
    • L’amministratore aveva ricevuto audit di sicurezza che segnalavano vulnerabilità critiche non risolte
    • Il CISO o il DPO avevano formalmente raccomandato investimenti in sicurezza (es. implementazione di backup offline, segmentazione della rete)
    • L’amministratore aveva deliberatamente negato i fondi necessari o rimandato gli interventi nonostante la consapevolezza del rischio

Elemento discriminante: la documentazione della consapevolezza. Se esistono:

  • Email del CISO all’amministratore con alert su vulnerabilità
  • Verbali del CdA in cui si discute di investimenti in cybersecurity non approvati
  • Relazioni dell’OdV 231 che segnalano carenze nei protocolli di sicurezza
  • Report di penetration test non seguiti da interventi correttivi

…allora il rischio penale per l’amministratore diventa concreto, non tanto per l’art. 167, quanto per una possibile imputazione colposa ex art. 40 cpv (omesso impedimento di evento che si aveva l’obbligo di impedire).

Scenario 2 – Accessi abusivi sistematici da parte di dipendenti

Fatto: In una banca, emerge che 15 dipendenti di varie filiali hanno effettuato nel corso di 3 anni oltre 5.000 accessi abusivi ai conti correnti di clienti VIP, politici, personaggi dello spettacolo, per mera curiosità (cd. “snooping”). I dati sono stati in alcuni casi condivisi informalmente con amici e conoscenti.

Profili di responsabilità amministrativa:

  • Violazione art. 32 GDPR (mancanza di controlli tecnici sugli accessi)
  • Violazione principio di integrità e riservatezza
  • Sanzioni Garante: già comminate in casi simili tra 500.000 e 1.000.000 euro

Profili di responsabilità penale:

  1. Dei dipendenti: sicuramente configurabile l’art. 615-ter c.p. (accesso abusivo a sistema informatico). La recente Cass. n. 28887 del 1° novembre 2025 ha confermato condanne per dipendenti che accedevano a dati al di fuori delle proprie mansioni. Inoltre, è applicabile l’art. 167 Codice privacy se gli accessi hanno causato nocumento (es. diffusione di informazioni riservate che hanno danneggiato la reputazione degli interessati)
  2. Dell’amministratore delegato: potrebbe rispondere se:
    • Era stato informato di precedenti casi di snooping e non ha implementato controlli (es. sistemi di log, alert automatici per accessi anomali, audit periodici)
    • Non ha disposto formazione adeguata del personale sulle policy aziendali di accesso ai dati
    • Non ha previsto sanzioni disciplinari efficaci nei regolamenti interni

La Cassazione n. 28887/2025 è particolarmente rilevante: ha confermato il licenziamento di una dipendente di una ASL che aveva effettuato 30 accessi illeciti a fascicoli sanitari di vicini di casa con cui aveva controversie in corso. La Corte ha sottolineato che “la responsabilità dell’agente si configura anche per la forzatura dei limiti dell’autorizzazione concessa dal titolare del domicilio informatico”.

Elemento chiave: la prevenzione e la reazione. Se l’amministratore:

  • Ha implementato sistemi tecnici di monitoraggio (SIEM, log analysis, Data Loss Prevention)
  • Ha disposto audit periodici sugli accessi
  • Ha formato il personale con percorsi obbligatori e tracciabili
  • Ha sanzionato tempestivamente i primi casi emersi

…allora ha dimostrato la diligenza richiesta e difficilmente potrà essere chiamato a rispondere penalmente.

Al contrario, se i casi di snooping erano emersi in passato e nulla è stato fatto, la responsabilità omissiva diventa plausibile.

Scenario 3 – Omessa notifica al Garante e agli interessati

Fatto: Una piattaforma e-commerce subisce un data breach che compromette email, password (hasgate con algoritmo debole MD5) e dati di carte di credito di 800.000 clienti. Il breach viene scoperto dal team IT dopo 3 settimane. L’amministratore delegato, per timore di danni reputazionali e crollo delle vendite, decide di non notificare né al Garante né agli interessati. Mesi dopo, i dati vengono messi in vendita sul dark web e la violazione diventa pubblica.

Profili di responsabilità amministrativa:

  • Violazione art. 33 GDPR (obbligo di notifica entro 72 ore): sanzione fino a 10 milioni o 2% fatturato
  • Violazione art. 34 GDPR (obbligo di comunicazione agli interessati): stessa sanzione
  • Aggravanti: durata dell’omissione, numero di interessati, tipologia di dati (includono dati di pagamento)

Profili di responsabilità penale dell’amministratore:

  1. Art. 167 Codice privacy: potrebbe essere configurabile? La questione è controversa:
    • Tesi positiva: l’omessa notifica ha aggravato il nocumento, perché gli interessati non sono stati posti in condizione di proteggersi (es. cambiare password, bloccare carte). Il “fine di trarre profitto” potrebbe essere individuato nel vantaggio economico derivante dal non perdere clienti
    • Tesi negativa (prevalente): l’art. 167 punisce il trattamento illecito di dati, non l’omessa notifica. Quest’ultima è un obbligo procedimentale, la cui violazione è sanzionata sul piano amministrativo ma non configura autonomo reato
  2. Responsabilità per il reato continuato: se l’omessa notifica si protrae per mesi, con decisioni reiterate di non comunicare, potrebbe configurarsi una condotta unitaria aggravata
  3. Rilevanza processuale: la mancata notifica può costituire elemento di prova del dolo o della consapevolezza in altri reati. Il fatto che l’amministratore abbia deciso di nascondere la violazione dimostra che ne era pienamente consapevole e ne comprendeva la gravità

Elemento critico: la decisione deliberata di occultare. Se l’amministratore:

  • Ha convocato riunioni per decidere di non notificare
  • Ha dato istruzioni al personale di mantenere il silenzio
  • Ha occultato prove o distrutto log

…allora si configura una condotta dolosa che può aggravare ogni profilo di responsabilità e può integrare, in concorso con altri reati (es. truffa verso i clienti che continuano ad affidargli dati), fattispecie più gravi.

Scenario 4 – Data breach causato da fornitore cloud inadeguato

Fatto: Un’azienda affida i propri database a un fornitore cloud low-cost, senza adeguata due diligence. Il fornitore non implementa nemmeno le misure di sicurezza basilari. Si verifica un massiccio data breach. L’azienda sostiene di non essere responsabile perché “il fornitore era il responsabile del trattamento ex art. 28 GDPR”.

Profili di responsabilità:

  1. Dell’azienda (titolare): art. 32 GDPR prevede che il titolare debba assicurarsi che anche il responsabile implementi misure adeguate. Il titolare risponde in solido con il responsabile per danni causati dal trattamento (art. 82 GDPR)
  2. Del fornitore cloud (responsabile): violazione obblighi art. 28 e 32 GDPR
  3. Dell’amministratore dell’azienda: potrebbe rispondere se:
    • Ha scelto il fornitore solo sul prezzo, ignorando segnalazioni di inadeguatezza tecnica
    • Non ha verificato le certificazioni del fornitore (es. ISO 27001, SOC 2)
    • Non ha previsto clausole contrattuali adeguate ex art. 28 GDPR
    • Non ha effettuato audit periodici sul fornitore come richiesto dal GDPR

Un caso emblematico è il Provvedimento Garante dell’8 febbraio 2024 n. 66 contro una società informatica responsabile del trattamento per una banca. Il fornitore:

  • Aveva comunicato il data breach alla banca con grave ritardo
  • Aveva subappaltato attività a terzi senza autorizzazione preventiva del titolare
  • Non aveva implementato misure di sicurezza adeguate

Il Garante ha sanzionato sia la banca (provvedimento n. 65) che il fornitore (provvedimento n. 66), evidenziando che la responsabilità è solidale e che il titolare non può “scaricare” le proprie responsabilità sul responsabile.

Implicazioni penali: se l’amministratore ha deliberatamente scelto un fornitore inadeguato pur essendo consapevole dei rischi (es. per risparmiare costi), e se questo ha causato un data breach con conseguente danno agli interessati, potrebbe configurarsi una responsabilità colposa aggravata.

La compliance integrata GDPR-231: costruire un sistema difensivo efficace

Alla luce della complessità del quadro normativo e giurisprudenziale, emerge con chiarezza che la protezione dell’amministratore dalla responsabilità penale non può fondarsi sull’ignoranza o sulla speranza che “non succeda nulla”, ma deve basarsi su un sistema di compliance integrato, documentato e sostanziale.

I pilastri della compliance efficace

Un sistema di compliance che minimizzi il rischio penale per gli amministratori deve poggiare su sei pilastri fondamentali:

  1. Governance formale e sostanziale

Non basta nominare un DPO e un CISO. Occorre:

  • Definire chiaramente ruoli, responsabilità e linee di reporting
  • Prevedere budget dedicati e adeguati per la cybersecurity (percentuale del fatturato IT tipicamente 8-12% nelle aziende mature)
  • Stabilire KPI misurabili per valutare l’efficacia delle misure di sicurezza
  • Inserire la cybersecurity come punto fisso all’ordine del giorno dei CdA
  1. Documentazione sistematica e tracciabilità

Ogni decisione rilevante deve essere:

  • Verbalizzata nei CdA con dettaglio delle motivazioni
  • Supportata da analisi tecniche (DPIA, risk assessment, penetration test)
  • Archiviata in modo da poter essere recuperata in sede processuale

Questa documentazione svolge una doppia funzione:

  • Prova della diligenza: dimostra che l’amministratore si è attivato, ha valutato i rischi, ha preso decisioni informate
  • Prova dei vincoli: se l’amministratore ha proposto investimenti in sicurezza bocciati dall’assemblea dei soci, il verbale lo scagiona
  1. Integrazione tra GDPR e Modello 231

I due sistemi devono dialogare:

  • Il MOG 231 deve contenere una sezione specifica sui “reati informatici e trattamento illecito di dati”
  • Le procedure 231 per la prevenzione dei reati cyber devono essere coerenti con le misure tecniche e organizzative GDPR
  • L’OdV deve ricevere flussi informativi dal DPO su data breach e near miss
  • Il DPO deve essere coinvolto nell’aggiornamento del MOG 231 per la parte cyber
  1. Formazione e consapevolezza diffusa

La formazione non deve essere un adempimento formale (corso online da 30 minuti con test a risposta multipla), ma un processo strutturato:

  • Formazione base obbligatoria per tutti i dipendenti (almeno annuale)
  • Formazione avanzata per ruoli critici (IT, HR, amministrazione)
  • Formazione specifica per amministratori e OdV su responsabilità e rischi penali
  • Simulazioni periodiche (phishing test, tabletop exercise su incident response)
  1. Incident Response Plan e gestione delle crisi

Un piano di risposta agli incidenti deve prevedere:

  • Fase 1 – Detection: come si rileva un data breach (SIEM, alert, segnalazioni)
  • Fase 2 – Assessment: chi valuta la gravità, con quali criteri, in quanto tempo
  • Fase 3 – Containment: procedure immediate per limitare il danno
  • Fase 4 – Notification: chi decide se notificare al Garante e agli interessati, con quali tempistiche
  • Fase 5 – Remediation: come si ripristinano i sistemi e si risolvono le vulnerabilità
  • Fase 6 – Lessons learned: analisi post-incidente e aggiornamento procedure

Cruciale: il piano deve essere testato con esercitazioni periodiche, non rimanere un documento sulla carta.

  1. Audit indipendenti e certificazioni

Affidarsi a valutazioni di terzi indipendenti:

  • Audit annuali ISO 27001 sulla sicurezza delle informazioni
  • Penetration test periodici (almeno annuali) condotti da società specializzate
  • DPIA affidate a consulenti esterni per i trattamenti più rischiosi
  • Certificazioni di settore (es. PCI-DSS per chi tratta dati di pagamento)

Questi elementi costituiscono prova oggettiva della diligenza dell’amministratore: “ho fatto tutto ciò che era ragionevolmente possibile nelle condizioni date”.

Il caso Postel: lezioni pratiche da un provvedimento del Garante

Il Provvedimento del Garante del 4 luglio 2024 contro Postel S.p.A. (doc. web 10063782) è particolarmente istruttivo. Postel, società che gestisce servizi di gestione documentale e comunicazione per enti pubblici e privati, ha subito un attacco ransomware nell’agosto 2023.

I fatti:

  • Vulnerabilità nota (CVE pubblicata) nei sistemi Postel era stata segnalata dai loro stessi sistemi di monitoraggio
  • Postel non aveva applicato la patch di sicurezza disponibile
  • Gli attaccanti hanno sfruttato proprio quella vulnerabilità
  • Si è verificato un data breach massivo con blocco dei server e sottrazione dati

La sanzione: 900.000 euro (ridotta da 1.200.000 per attenuanti)

Le motivazioni del Garante (rilevanti per la responsabilità degli amministratori):

  1. “La società non era intervenuta su una vulnerabilità già nota e segnalata dai propri sistemi”
  2. “Le misure di sicurezza erano inadeguate rispetto al rischio e al volume di dati trattati”
  3. “Non risulta implementato un adeguato sistema di gestione della sicurezza delle informazioni”

Implicazioni penali (ipotetiche, perché il Garante non esercita azione penale):

  • Gli amministratori di Postel avevano ricevuto report interni sulla vulnerabilità?
  • Era stato stanziato budget per l’aggiornamento dei sistemi?
  • Esisteva un processo formalizzato di patch management?

Se la risposta a queste domande fosse negativa, la consapevolezza del rischio e l’omissione di interventi potrebbero configurare l’elemento soggettivo di una responsabilità penale.

Conclusioni: navigare la zona grigia tra prevenzione e punizione

La responsabilità penale degli amministratori per data breach nell’ordinamento italiano rappresenta una frontiera giuridica ancora in via di definizione. La giurisprudenza penale specifica è scarsa, frammentata, costruita per accumulazione di principi elaborati in altri ambiti del diritto penale societario.

Tuttavia, alcune certezze emergono con chiarezza dall’analisi condotta:

  1. La posizione formale non è sufficiente per una condanna: la giurisprudenza costituzionale e di legittimità è fermissima nel richiedere la prova del contributo causale consapevole. Un amministratore non può essere il “parafulmine” automatico di ogni violazione dei dati.
  2. La consapevolezza è l’elemento discriminante: tra una violazione GDPR sanzionabile amministrativamente e un reato penalmente rilevante corre la linea della consapevolezza dell’amministratore. Le segnalazioni ricevute e ignorate, i report di audit disattesi, le raccomandazioni di DPO e CISO rimaste senza seguito sono gli elementi che possono trasformare una colpa amministrativa in dolo penale.
  3. La documentazione è protezione: un sistema di compliance ben strutturato, tracciabile, sostanziale (non meramente formale) costituisce la migliore difesa dell’amministratore. Non garantisce l’immunità, ma dimostra la diligenza e può spostare l’imputazione dall’individuo all’organizzazione.
  4. L’integrazione GDPR-231 non è opzionale: nelle aziende di dimensioni medio-grandi, la convergenza tra sistema di protezione dei dati e modello organizzativo 231 è necessaria sia per l’efficacia della prevenzione sia per la costruzione di un sistema di evidenze difensive.
  5. La latenza giurisprudenziale non deve generare falsa sicurezza: il fatto che ad oggi manchino sentenze penali di condanna di amministratori specificamente per data breach non significa che il rischio sia inesistente. Le Procure stanno acquisendo competenze cyber, gli strumenti di digital forensics si affinano, e i casi di domani potrebbero derivare dalle negligenze di oggi.

In ultima analisi, per amministratori, CISO, DPO e tutti i professionisti della security, emerge un imperativo operativo: la consapevolezza ignorata è più grave dell’ignoranza stessa.

Nel contesto della cybersecurity aziendale, come la Cassazione ha ribadito in materia societaria, non si può invocare la non conoscenza quando esistono sistemi di allerta, segnalazioni formalizzate, audit che evidenziano criticità. La colpa cosciente – sapere del rischio e scegliere di non agire – è ciò che trasforma una violazione amministrativa in possibile reato penale.

La responsabilità penale per data breach in Italia resta più un’ipotesi che una pratica consolidata. Ma questa condizione può cambiare rapidamente, con il primo caso eclatante che verrà portato all’attenzione della magistratura penale. Meglio costruire oggi il sistema di prevenzione e documentazione che domani potrebbe fare la differenza tra una sanzione amministrativa all’ente e un procedimento penale a carico delle persone fisiche.

Normativa di riferimento essenziale

Norme europee

Norme nazionali – Codice privacy

  • D.lgs. 196/2003 come modificato da D.lgs. 101/2018
  • Art. 167 – Trattamento illecito di dati (reclusione 6 mesi – 1,5 anni)
  • Art. 167-bis – Comunicazione illecita su larga scala (reclusione 1-6 anni)
  • Art. 167-ter – Acquisizione fraudolenta di dati

Norme nazionali – Reati informatici

  • Art. 615-ter c.p. – Accesso abusivo a sistema informatico
  • Art. 615-quater c.p. – Detenzione abusiva codici accesso
  • Art. 617-quater c.p. – Intercettazione comunicazioni informatiche
  • Art. 635-bis c.p. – Danneggiamento di dati e programmi
  • Art. 640-ter c.p. – Frode informatica

Responsabilità degli enti

  • D.lgs. 231/2001 – Art. 24-bis (delitti informatici)
  • Art. 5 – Soggetti in posizione apicale
  • Art. 6 – Modelli di organizzazione e Organismo di Vigilanza

Riferimenti giurisprudenziali citati

  • Cass. pen. n. 13102/2023 – Natura comune reato art. 167
  • Cass. pen. n. 11968/2024 – Responsabilità amministratore di diritto
  • Cass. pen. n. 13620/2024 – Vigilanza attiva in organi collegiali
  • Cass. pen. n. 13200/2024 – Delimitazione temporale responsabilità
  • Cass. pen. n. 35031/2025 – Macroscopica illegalità
  • Cass. pen. n. 28887/2025 – Accesso abusivo dipendenti
  • Cass. pen. n. 2499/2024 – Onere della prova distrazioni

Provvedimenti Garante Privacy

 

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi