Cyber Security e governance
Attacco informatico in azienda: cosa rischia legalmente l’amministratore e come tutelarsi
Quando un attacco ransomware blocca la produzione o i dati dei clienti finiscono nel Dark Web, il danno economico e operativo è solo la punta dell’iceberg. Il vero problema arriva con le ispezioni del Garante Privacy e le richieste di risarcimento da parte di soci e clienti.
Nel 2026 la legge non ammette piu scuse: la sicurezza informatica non è un problema tecnico del “ragazzo dei computer”, ma una responsabilita legale diretta di chi amministra l’azienda.
Il mito da sfatare: se c’e un danno informatico, paga la società
In Italia la giurisprudenza ha subito una svolta netta. L’Art. 2086 del Codice Civile impone all’imprenditore e agli amministratori il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa.
Cosa c’entra con l’informatica? C’entra tutto. Proteggere i dati aziendali, la continuita operativa e le informazioni dei clienti fa parte dell’adeguato assetto.
Se l’azienda subisce un blocco perchè i sistemi erano obsoleti, non c’erano firewall o i backup non erano isolati, si configura la colpa grave per negligenza. In questo caso:
Decade la responsabilità limitata. L’amministratore può essere chiamato a rispondere con il proprio patrimonio personale tramite azione di responsabilità (Art. 2392 C.C.) promossa da soci, creditori o liquidatori.
Sanzioni GDPR (Art. 83). In caso di data breach, il Garante della Privacy applica sanzioni su due livelli: fino a 10 milioni di euro o 2% del fatturato mondiale per violazioni tecniche e organizzative; fino a 20 milioni o 4% del fatturato mondiale per violazioni dei diritti fondamentali degli interessati. Il Garante non punisce l’attacco in sé, ma la totale assenza di misure preventive: principio di Accountability.
NIS 2 e l’effetto indiretto sulle PMI. La NIS 2 (D.Lgs. 138/2024) si applica direttamente ai soggetti essenziali e importanti, ma molte PMI lavorano come fornitori o subfornitori di aziende soggette alla norma. In questi casi il cliente grande può chiedere documentazione, audit o adeguamenti come condizione contrattuale. Farsi trovare impreparati significa perdere il contratto, non solo rischiare una sanzione.
Cosa controllano i periti dopo un disastro informatico
Quando si finisce in tribunale o sotto ispezione dopo un attacco, i periti informatici nominati dal giudice o dalle assicurazioni verificano se l’amministratore ha agito con diligenza professionale. Le domande sono sempre tre:
Esisteva un inventario chiaro dei rischi e dei beni informatici aziendali?
I sistemi critici – server, PC, firewall – erano aggiornati o erano fuori supporto e vulnerabili?
L’azienda ha fatto il minimo indispensabile per proteggersi, o ha lasciato la porta aperta per risparmiare sulla manutenzione?
Se la risposta dimostra disordine e improvvisazione, l’amministratore perde qualsiasi tutela legale.
Le 5 misure minime per tutelare l’azienda e la tua responsabilità personale
Non serve stravolgere l’azienda dall’oggi al domani. Serve dimostrare di aver adottato un assetto sicuro e vigilato: queste 5 misure sono il punto di partenza concreto.
1. Inventario hardware, software e analisi dei rischi
Non puoi proteggere ciò che non sai di avere. Il primo passo è mappare ogni server, PC, firewall, profilo utente e applicativo in uso. Identificare le macchine obsolete – come i sistemi Windows 10, fuori supporto dal 14 ottobre 2025 e ancora diffusi nelle PMI italiane nel 2026 – permette di pianificare le migrazioni prima che diventino vulnerabilità sfruttabili. Approfondisci qui.
2. Gestione degli accessi e autenticazione a due fattori
Lasciare i dipendenti con credenziali di amministratore locale o con la stessa password su tutti i sistemi è uno degli errori più gravi in ottica di responsabilità. Serve introdurre MFA su email e VPN aziendali e limitare i permessi di installazione a chi ne ha reale necessità.
3. Segmentazione della rete e protezione perimetrale
La rete aziendale non deve essere un unico spazio dove tutto comunica con tutto. Se un virus infetta un PC dell’amministrazione, non deve poter raggiungere i server di produzione. Firewall configurati correttamente e reti segmentate fermano la propagazione degli attacchi.
4. Backup immutabile e test di ripristino documentati
I ransomware cercano e cifrano anche i backup collegati alla rete. La misura minima richiede backup isolati dalla rete principale – air-gapped o immutabili. Non basta avere il backup: serve eseguire e registrare test periodici di ripristino. La documentazione di questi test è esattamente quello che i periti chiedono in caso di contenzioso. Leggi anche questo approfondimento.
5. Monitoraggio continuo e gestione delle patch
Le vulnerabilità cambiano ogni giorno. Serve un sistema di monitoraggio centralizzato – agent EDR, antivirus gestito – che segnali anomalie in tempo reale, e una gestione sistematica degli aggiornamenti di sicurezza su tutti i sistemi.
Windows 10 fuori supporto: un caso pratico di rischio legale
Dal 14 ottobre 2025 Windows 10 non riceve più aggiornamenti di sicurezza. A luglio 2026, ogni PC Windows 10 ancora operativo in azienda è, agli occhi di un perito informatico, una macchina consapevolmente lasciata vulnerabile per oltre otto mesi. Non è una questione tecnica: è una questione di diligenza amministrativa documentabile. Se subisci un attacco e in azienda ci sono ancora postazioni Windows 10 non gestite, la difesa “non lo sapevamo” non regge.
La sicurezza informatica oggi è una scelta di governance
Un attacco informatico non è più una fatalità imprevedibile, ma un rischio d’impresa gestibile. Dimostrare di aver implementato queste 5 misure è lo scudo legale che protegge l’amministratore da accuse di negligenza e risarcimenti personali.
Se vuoi verificare se la tua infrastruttura aziendale rispetta i requisiti minimi richiesti dall’Art. 2086 e dal GDPR, possiamo partire da un’analisi tecnica dei rischi e dei segnali pubblici del tuo dominio.