NIS2 e organi di gestione: la lezione del caso LOGZONE

La responsabilità degli organi di gestione prevista dalla NIS2 trova un precedente concreto oltreoceano: il Dipartimento di Giustizia statunitense ha sanzionato un fornitore della Marina non per una violazione subita, ma per aver attestato il falso sulla propria sicurezza. Una lezione che arriva all’Italia alla vigilia delle prime verifiche dell’ACN.

Negli Stati Uniti dichiarare il falso sulla propria postura di sicurezza non è più un rischio reputazionale, è frode contrattuale perseguibile. Lo conferma l’ultimo intervento del Dipartimento di Giustizia americano, che il 18 giugno 2026 ha reso noto un accordo con un fornitore della Marina sanzionato non per essere stato violato, ma per aver certificato una conformità che non esisteva.

LOGZONE e la falsa attestazione di compliance

LOGZONE Inc., azienda di servizi logistici con sede in Alabama, ha accettato di pagare 507.144 dollari (di cui 253.572 a titolo di restitution) per chiudere la propria esposizione ai sensi del False Claims Act, la legge federale che colpisce chi presenta richieste di pagamento fraudolente alla pubblica amministrazione. L’accordo di transazione non comporta ammissione di responsabilità.

All’origine ci sono due contratti assegnati dalla Marina tra il 2021 e il 2022 per servizi di logistica, gestione delle scorte e supporto alle strutture del Naval Oceanographic Command, presso lo Stennis Space Center in Mississippi. A fronte di questi contratti, fino a marzo 2025, LOGZONE ha incassato oltre 682.000 dollari. I contratti imponevano l’implementazione dei 110 controlli previsti dalla NIST SP 800-171, lo standard che regola la protezione delle informazioni non classificate ma sensibili (controlled unclassified information) trattate sui sistemi dei fornitori della Difesa.

Il punto che rende il caso istruttivo è la distanza tra dichiarato e reale. Nell’ottobre 2021 l’azienda aveva caricato nel Supplier Performance Risk System (SPRS), il sistema con cui il Pentagono raccoglie le autovalutazioni dei fornitori, un punteggio perfetto: 110 su 110. Nel 2024 una verifica del Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) ha invece misurato un punteggio reale di meno 170, vicino al fondo della scala. Tra i due valori non c’è uno scostamento tecnico, c’è una self-assessment smentita dai fatti, e con essa la base contrattuale su cui sono stati riscossi i pagamenti.

Il False Claims Act e un enforcement che si fa penale

Il caso non è una violazione diretta del programma CMMC (Cybersecurity Maturity Model Certification), il sistema di verifica obbligatoria che il Pentagono ha iniziato a implementare nel novembre 2025 e che da novembre 2026 imporrà a chi tratta informazioni sensibili la certificazione da parte di un valutatore terzo accreditato. I controlli che LOGZONE non ha implementato, però, sono esattamente la spina dorsale del CMMC Livello 2: la vicenda funziona quindi da anteprima di come l’amministrazione intende perseguire chi dichiara il falso sulla propria sicurezza, come ricostruito anche nella cronaca di DefenseScoop.

Il contesto di enforcement lo conferma. La Civil Cyber-Fraud Initiative del Dipartimento di Giustizia, avviata nell’ottobre 2021, nell’anno fiscale 2025 ha superato i 52 milioni di dollari di recuperi in nove transazioni, molte delle quali innescate da segnalazioni qui tam di whistleblower, con una traiettoria che si è più che triplicata in ciascuno degli ultimi due anni. E l’asticella si sta alzando dal piano civile a quello penale: a dicembre 2025 un gran giurì federale del Distretto di Columbia ha incriminato un’ex dirigente di un fornitore della pubblica amministrazione federale per major government fraud, wire fraud e ostruzione di un audit federale, segnale di una volontà di colpire le singole persone fisiche e non solo le società.

La tesi che emerge è netta: il vero punto di esposizione non è l’incidente, è l’attestazione. Chi firma una conformità inesistente trasforma un adempimento documentale in una responsabilità legale e finanziaria diretta.

Il parallelo transatlantico: la NIS2 e la responsabilità degli organi di gestione

Qui il caso americano parla all’Italia. Il meccanismo statunitense, autocertificazione SPRS più sanzione da False Claims Act, trova un parallelo nella Direttiva NIS2 e nella sua trasposizione interna, il D.lgs. 138/2024. L’articolo 23 attribuisce agli organi di amministrazione e direttivi una responsabilità diretta e non delegabile sulle misure di gestione del rischio: la delega operativa è ammessa, la responsabilità resta in capo al vertice.

I due regimi non sono perfettamente sovrapponibili, e dirlo rafforza il parallelo invece di indebolirlo. Il False Claims Act è una norma su frode e pagamenti: la responsabilità nasce dall’aver incassato fondi federali sulla base di una certificazione falsa. L’articolo 23 configura invece una responsabilità di governance soggetta a vigilanza amministrativa, con sanzioni fino al 2% del fatturato mondiale per i soggetti essenziali e possibile sospensione dei responsabili nei casi gravi, non una teoria di frode sul pagamento. Il meccanismo giuridico differisce, la logica dell’esposizione è la stessa: chi firma un’autoattestazione inesistente assume una responsabilità diretta e personale.

Il calendario rende la lezione attuale. I soggetti già iscritti dal 2025 hanno completato registrazione o rinnovo tra gennaio e febbraio 2026; entro il 30 giugno 2026 devono comunicare e categorizzare i propri servizi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale; per loro le misure di sicurezza di base dovranno essere operative, con evidenza documentale, entro il 31 ottobre 2026, data dalla quale l’ACN potrà avviare la fase ispettiva (chi entra nel perimetro per la prima volta nel 2026 segue termini posticipati).

È in quella fase di controllo che la distanza tra la postura dichiarata e quella effettiva diventerà materia di responsabilità, esattamente come per LOGZONE è emersa nel divario tra il 110 caricato a sistema e il meno 170 misurato sul campo. Per un quadro operativo dei termini si vedano gli adempimenti NIS2 2026 e la mappa delle scadenze.

Il messaggio per chi gestisce la compliance in Italia è quindi semplice da enunciare e impegnativo da onorare: la dichiarazione di conformità che si sta per firmare è il documento su cui, domani, si misurerà l’esposizione legale dell’organizzazione e di chi la amministra.

Condividi sui Social Network:

NIS2 e responsabilità degli organi di gestione: cosa insegna il caso LOGZONE

LOGZONE e la falsa attestazione di compliance

Il False Claims Act e un enforcement che si fa penale

Il parallelo transatlantico: la NIS2 e la responsabilità degli organi di gestione

DDoS: contro 31 Tbps non basta una scatola in sala server

Prompt injection: dove dire una cosa significa farla

Cyber Resilience Act: il rischio di sicurezza nascosto nell’obbligo di segnalazione che scatta a settembre

FortiSandbox sotto attacco: tre falle critiche sfruttate e un exploit che sembra generato dall’AI

Honeytoken: l’allarme che non mente quasi mai

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

LOGZONE e la falsa attestazione di compliance

Il False Claims Act e un enforcement che si fa penale

Il parallelo transatlantico: la NIS2 e la responsabilità degli organi di gestione

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE