Cyber Security e governance

Attacco informatico in azienda: cosa rischia legalmente l’amministratore e come tutelarsi

Quando un attacco ransomware blocca la produzione o i dati dei clienti finiscono nel Dark Web, il danno economico e operativo è solo la punta dell’iceberg. Il vero problema arriva con le ispezioni del Garante Privacy e le richieste di risarcimento da parte di soci e clienti.

Nel 2026 la legge non ammette piu scuse: la sicurezza informatica non è un problema tecnico del “ragazzo dei computer”, ma una responsabilita legale diretta di chi amministra l’azienda.

Il mito da sfatare: se c’e un danno informatico, paga la società

In Italia la giurisprudenza ha subito una svolta netta. L’Art. 2086 del Codice Civile impone all’imprenditore e agli amministratori il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa.

Cosa c’entra con l’informatica? C’entra tutto. Proteggere i dati aziendali, la continuita operativa e le informazioni dei clienti fa parte dell’adeguato assetto.

Se l’azienda subisce un blocco perchè i sistemi erano obsoleti, non c’erano firewall o i backup non erano isolati, si configura la colpa grave per negligenza. In questo caso:

Decade la responsabilità limitata. L’amministratore può essere chiamato a rispondere con il proprio patrimonio personale tramite azione di responsabilità (Art. 2392 C.C.) promossa da soci, creditori o liquidatori.

Sanzioni GDPR (Art. 83). In caso di data breach, il Garante della Privacy applica sanzioni su due livelli: fino a 10 milioni di euro o 2% del fatturato mondiale per violazioni tecniche e organizzative; fino a 20 milioni o 4% del fatturato mondiale per violazioni dei diritti fondamentali degli interessati. Il Garante non punisce l’attacco in sé, ma la totale assenza di misure preventive: principio di Accountability.

NIS 2 e l’effetto indiretto sulle PMI. La NIS 2 (D.Lgs. 138/2024) si applica direttamente ai soggetti essenziali e importanti, ma molte PMI lavorano come fornitori o subfornitori di aziende soggette alla norma. In questi casi il cliente grande può chiedere documentazione, audit o adeguamenti come condizione contrattuale. Farsi trovare impreparati significa perdere il contratto, non solo rischiare una sanzione.

Cosa controllano i periti dopo un disastro informatico

Quando si finisce in tribunale o sotto ispezione dopo un attacco, i periti informatici nominati dal giudice o dalle assicurazioni verificano se l’amministratore ha agito con diligenza professionale. Le domande sono sempre tre:

Esisteva un inventario chiaro dei rischi e dei beni informatici aziendali?

I sistemi critici – server, PC, firewall – erano aggiornati o erano fuori supporto e vulnerabili?

L’azienda ha fatto il minimo indispensabile per proteggersi, o ha lasciato la porta aperta per risparmiare sulla manutenzione?

Se la risposta dimostra disordine e improvvisazione, l’amministratore perde qualsiasi tutela legale.

Le 5 misure minime per tutelare l’azienda e la tua responsabilità personale

Non serve stravolgere l’azienda dall’oggi al domani. Serve dimostrare di aver adottato un assetto sicuro e vigilato: queste 5 misure sono il punto di partenza concreto.

1. Inventario hardware, software e analisi dei rischi

Non puoi proteggere ciò che non sai di avere. Il primo passo è mappare ogni server, PC, firewall, profilo utente e applicativo in uso. Identificare le macchine obsolete – come i sistemi Windows 10, fuori supporto dal 14 ottobre 2025 e ancora diffusi nelle PMI italiane nel 2026 – permette di pianificare le migrazioni prima che diventino vulnerabilità sfruttabili. Approfondisci qui.

2. Gestione degli accessi e autenticazione a due fattori

Lasciare i dipendenti con credenziali di amministratore locale o con la stessa password su tutti i sistemi è uno degli errori più gravi in ottica di responsabilità. Serve introdurre MFA su email e VPN aziendali e limitare i permessi di installazione a chi ne ha reale necessità.

3. Segmentazione della rete e protezione perimetrale

La rete aziendale non deve essere un unico spazio dove tutto comunica con tutto. Se un virus infetta un PC dell’amministrazione, non deve poter raggiungere i server di produzione. Firewall configurati correttamente e reti segmentate fermano la propagazione degli attacchi.

4. Backup immutabile e test di ripristino documentati

I ransomware cercano e cifrano anche i backup collegati alla rete. La misura minima richiede backup isolati dalla rete principale – air-gapped o immutabili. Non basta avere il backup: serve eseguire e registrare test periodici di ripristino. La documentazione di questi test è esattamente quello che i periti chiedono in caso di contenzioso. Leggi anche questo approfondimento.

5. Monitoraggio continuo e gestione delle patch

Le vulnerabilità cambiano ogni giorno. Serve un sistema di monitoraggio centralizzato – agent EDR, antivirus gestito – che segnali anomalie in tempo reale, e una gestione sistematica degli aggiornamenti di sicurezza su tutti i sistemi.

Windows 10 fuori supporto: un caso pratico di rischio legale

Dal 14 ottobre 2025 Windows 10 non riceve più aggiornamenti di sicurezza. A luglio 2026, ogni PC Windows 10 ancora operativo in azienda è, agli occhi di un perito informatico, una macchina consapevolmente lasciata vulnerabile per oltre otto mesi. Non è una questione tecnica: è una questione di diligenza amministrativa documentabile. Se subisci un attacco e in azienda ci sono ancora postazioni Windows 10 non gestite, la difesa “non lo sapevamo” non regge.

La sicurezza informatica oggi è una scelta di governance

Un attacco informatico non è più una fatalità imprevedibile, ma un rischio d’impresa gestibile. Dimostrare di aver implementato queste 5 misure è lo scudo legale che protegge l’amministratore da accuse di negligenza e risarcimenti personali.

Se vuoi verificare se la tua infrastruttura aziendale rispetta i requisiti minimi richiesti dall’Art. 2086 e dal GDPR, possiamo partire da un’analisi tecnica dei rischi e dei segnali pubblici del tuo dominio.