D.Lgs. 47/2026: il legame tra governance societaria, cybersecurity e protezione dei dati
Il D.Lgs. 47/2026 rappresenta un importante passo avanti nella governance societaria delle imprese quotate, introducendo nuove disposizioni che mirano a rafforzare il legame tra cybersecurity, intelligenza artificiale e protezione dei dati personali. La compliance digitale diventa parte degli assetti organizzativi, della disclosure al mercato e dei sistemi di controllo interno.
La riforma del Testo Unico della Finanza non nasce come intervento di diritto della tecnologia, ma incide in profondità sulle modalità con cui cybersecurity, intelligenza artificiale e protezione dei dati personali vengono governate, tracciate e ricondotte a responsabilità all’interno delle società per azioni. Per i professionisti della privacy e per i DPO, trascurarne le implicazioni non rappresenta soltanto una lacuna operativa, ma un errore di impostazione.
Il contesto normativo europeo
Il D.Lgs. 47/2026 si inserisce in un contesto normativo europeo in rapida evoluzione, nel quale la governance aziendale non può più essere disgiunta dalla gestione dei rischi digitali. Il Regolamento DORA, il Regolamento sull’Intelligenza Artificiale, la Direttiva NIS2 e il GDPR costituiscono un sistema di regole che incide ormai strutturalmente sull’organizzazione d’impresa.
Le principali disposizioni del decreto
Il decreto introduce importanti novità nella governance societaria delle imprese quotate. L’art. 9 riformula la disciplina delle responsabilità degli amministratori nelle società per azioni, attribuendo espressamente agli amministratori non solo la gestione dell’impresa, ma anche la sua organizzazione, comprensiva dell’istituzione, del mantenimento e della verifica dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile.
La norma amplia il perimetro dell’assetto organizzativo in modo coerente con le trasformazioni intervenute nel contesto competitivo. In un’impresa digitalizzata, i sistemi informativi, le infrastrutture tecnologiche, i processi di trattamento dati e i meccanismi di presidio della sicurezza informatica sono componenti dell’assetto organizzativo tanto quanto la struttura gerarchica o il sistema di deleghe.
La connessione con il GDPR
La connessione con il Regolamento Generale sulla Protezione dei Dati è diretta e non mediata. L’art. 24 GDPR impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire e poter dimostrare (accountability) che il trattamento dei dati personali sia effettuato in conformità al regolamento.
Il principio di accountability, declinato in questa disposizione, non è soddisfatto dalla mera produzione documentale: richiede che la conformità emerga dalla struttura organizzativa, dai processi decisionali, dai sistemi di controllo e dalla capacità di renderne conto in modo verificabile.
Le politiche di gestione dei rischi informatici
L’art. 123-bis del TUF introduce per le società quotate l’obbligo di includere nella relazione sul governo societario una descrizione delle politiche adottate in materia di utilizzo e monitoraggio delle nuove tecnologie, con specifico riferimento ai sistemi di intelligenza artificiale, nonché delle politiche di gestione dei rischi informatici.
La disposizione introduce una forma di non-financial disclosure tecnologica che si affianca agli obblighi già esistenti in materia di sostenibilità, governance e rischio. Le politiche su AI e cybersecurity diventano oggetto di comunicazione verso il mercato, con la conseguenza che la loro eventuale assenza, inadeguatezza o contraddizione rispetto alla realtà operativa può configurare un’irregolarità rilevante sia sotto il profilo del diritto dei mercati finanziari sia sotto quello delle responsabilità degli organi apicali.
Le implicazioni per la compliance GDPR
L’obbligo di descrivere le politiche sull’utilizzo dei sistemi di intelligenza artificiale pone immediatamente la questione della loro conformità al GDPR e, per le applicazioni ad alto rischio, all’AI Act. Un sistema di IA che elabora dati personali è assoggettato simultaneamente al GDPR e, qualora rientri nelle categorie di rischio elevato, alle prescrizioni del Regolamento UE 2024/1689.
Le politiche dichiarate nella relazione sul governo societario devono quindi riflettere, coerentemente, le misure di protezione dei dati adottate in fase di progettazione (data protection by design, ex art. 25 GDPR), le basi giuridiche legittimanti il trattamento (art. 6 e, se del caso, art. 9 GDPR), e per i trattamenti ad alto rischio l’esito delle valutazioni d’impatto condotte ai sensi dell’art. 35 GDPR.
Una politica AI dichiarata al mercato che non menzioni il profilo GDPR espone l’impresa a un duplice rischio: la contestazione da parte delle Autorità di vigilanza finanziaria per incompletezza della disclosure e l’attenzione del Garante per la protezione dei dati personali per difetto di accountability.
Le conclusioni
In conclusione, il D.Lgs. 47/2026 rappresenta un importante passo avanti nella governance societaria delle imprese quotate, introducendo nuove disposizioni che mirano a rafforzare il legame tra cybersecurity, intelligenza artificiale e protezione dei dati personali. Le imprese dovranno revisionare i propri modelli organizzativi privacy e gestire i rischi informatici in modo più efficace, assicurando la conformità al GDPR e alle altre normative applicabili.
Il decreto introduce una nuova prospettiva nella governance societaria, che richiede una maggiore attenzione alla cybersecurity, all’intelligenza artificiale e alla protezione dei dati personali. Le imprese dovranno essere in grado di gestire i rischi informatici in modo più efficace, assicurando la continuità operativa e la protezione dei dati personali.
Il D.Lgs. 47/2026 rappresenta un’opportunità per le imprese di migliorare la propria governance societaria e di aumentare la trasparenza e la fiducia dei mercati. Le imprese che saranno in grado di gestire i rischi informatici in modo più efficace e di assicurare la conformità al GDPR e alle altre normative applicabili saranno quelle che saranno in grado di competere meglio nel mercato.