Cibersecurity e gestione del rischio ICT: l’impatto sulla corporate governance

The resolution and prevention of cyber problems is inextricably intertwined with issues relating to corporate organisation, e.g. the ability of companies to organize their internal functions in order to maximize and maintain their cyber risk management strategy. The need to also reserve adequate space in the decision-making and internal control processes of companies for the risks connected to computerization and IT interconnection was felt, first of all, in the banking sector which was charged with various and precise duties as required by the 40th update of Circular no. 285/2013. However, even small and unlisted companies will not be able to operate without setting up an internal organization capable of preventing, wherever possible, and promptly managing this type of risk in order to protect the very operations of the company (which a cyber attack could put at risk). The question arises, therefore, whether the risk connected to the use of digital technology still pertains to the methods of company managment and, therefore, must be subject to the rules relating to diligent administration.

La risoluzione e la prevenzione dei problemi informatici si intreccia indissolubilmente con le questioni relative all'organizzazione aziendale, ad esempio con la capacità delle imprese di organizzare le proprie funzioni interne al fine di massimizzare e mantenere la propria strategia di gestione del rischio informatico. L'esigenza di riservare uno spazio adeguato nei processi decisionali e di controllo interno anche ai rischi connessi all'informatizzazione e all'interconnessione informatica è stata avvertita, in primo luogo, nel settore bancario che è stato investito di diversi e precisi adempimenti come previsto dal 40° aggiornamento della Circolare n. 285/2013. Tuttavia, anche le aziende piccole e non quotate non potranno operare senza dotarsi di un'organizzazione interna in grado di prevenire, ove possibile, e gestire tempestivamente questo tipo di rischio, a tutela dell'operatività stessa dell'azienda (che un attacco informatico potrebbe mettere a rischio). Ci si chiede, quindi, se il rischio connesso all'utilizzo delle tecnologie digitali sia ancora riconducibile alle modalità di gestione dell'impresa e, quindi, debba essere assoggettato alle regole di amministrazione diligente.