Serve una governance della cybersecurity

In un mondo in cui l’esposizione digitale cresce in maniera esponenziale si moltiplicano a dismisura anche i rischi di attacchi informatici che possono causare gravi danni a cittadini e imprese. Per queste ultime, in particolare, serve una corporate governance della cybersecurity, tanto più che il pericolo oggi è amplificato dalla pervasività di una nuova tecnologia che deve ancora esprimere tutto il suo potenziale: l’intelligenza artificiale. L’appello è emerso nel corso del convegno “Cybersecurity: governare la complessità” organizzato a Roma dal chapter romano di Nedcommunity il 7 febbraio con il supporto dello studio legale Ristuccia Tufarelli & Partners.

“Nel 2025 ci saranno 41 miliardi di dispositivi collegati all’IOT”. Basta questo numero secondo Ines Gandini, delegato del chapter Roma e membro del consiglio direttivo dell’associazione dei consiglieri indipendenti, a far capire quanto sia urgente che “i cda acquisiscano specifiche competenze, siano in grado di svolgere nuovi compiti e facciano i conti con nuove responsabilità derivanti da obblighi stringenti come quelli previsti dal regolamento DORA (Digital Operational Resilience Act), entrato in vigore a gennaio del 2025 e dalla direttiva NIS2 (Network and Information Security). Considerato questo complesso quadro normativo che ha un forte impatto su tutta la filiera e che va a intrecciarsi con il nuovo regolamento sulle tematiche dell’Intelligenza Artificiale, si capisce l’entità della sfida per la governance delle aziende”.

Non a caso secondo Alessandro Carretta, Presidente Nedcommunity, “l’associazione si è dotata da tempo di un’Agenda digitale governata dal consiglio direttivo e di un Reflection group dedicato a questi temi oltre a impegnarsi nella diffusione di un’adeguata consapevolezza organizzando eventi e webinar. Fino a qualche tempo fa si parlava di information technology in occasione dell’approvazione dei budget e, se escludiamo aziende con modello di business molto orientato sul digitale, il tema rimaneva nell’ombra. La vicenda dell’antivirus russo Kaspersky dai profondi risvolti geopolitici, vietato negli Usa per i sospetti che potesse raccogliere informazioni sui cittadini statunitensi, ci ha fatto rendere conto che il tema della sicurezza digitale non era poi una variabile così neutrale”.

“Il dibattito – aggiunge Carretta – si è spostato per forza di cose sulla governance anche in virtù di una normativa importante che può essere da guida – ma pone anche molti interrogativi – e dell’imporsi dell’IA che è uno strumento dal forte contenuto ideologico. Anche per questo la corporate governance ne è impattata come ha dimostrato il tema degli adeguati assetti organizzativi di cui si è parlato qualche settimana fa“.

Per affrontare questi argomenti, conclude il presidente di Nedcommunity, è necessario sempre più l’adozione di un approccio olistico che enfatizzi anche il ruolo delle singole persone: rimanendo nell’ambito della cyber sicurezza si pensi al moltiplicarsi di nuovi rischi digitali, e – il riferimento è soprattutto al mondo bancario – al pericolo rappresentato dalla clientela che fa spesso da cavallo di Troia per chi abbia cattive intenzioni.

La complessità, quindi, è crescente e rende la materia piuttosto scivolosa da trattare in particolare dal punto di vista delle conseguenze per gli amministratori, come ha ricordato anche Luca Tufarelli, fondatore dello studio Ristuccia Tufarelli & Partners. Poter contare su un referente della sicurezza informatica non solleva infatti i board member dalle responsabilità in caso di attacchi. A complicare ulteriormente il quadro permane un problema organizzativo e burocratico con particolare riferimento alle istituzioni finanziarie: a fronte di un incidente informatico è spesso difficile individuare il soggetto corretto a cui notificarlo.

Ecco perché l’implementazione delle misure di gestione dei rischi di cybersicurezza è fondamentale. Come ha spiegato Francesca Rosetti, of counsel nello studio Ristuccia Tufarelli&Partner, consiglio di amministrazione, organo di gestione e collegio sindacale sono i principali responsabili di questa fase secondo quanto prescritto dalla NIS2. Una norma che si applica sì ad aziende che svolgono funzioni importanti per l’economia e alla loro supply chain, ma che andrebbe presa come riferimento da tutte le imprese che operano nel Vecchio Continente. La cybersecurity punta a prevenire e a gestire, assieme ai pericoli informatici, anche quelli reputazionali e produttivi e consente alle imprese di permanere sul mercato.

Su un punto tutti sono d’accordo: la galassia crescente di rischi digitali va gestita dal cda e inserita nella pianificazione strategica per assicurare quella che oggi sempre più spesso si chiama resilienza operativa. Obiettivo raggiungibile soltanto se si potrà contare su un assetto organizzativo e su competenze adeguati, tutti aspetti che si legano a doppio filo al tema della responsabilità. Sia DORA sia NIS2 richiedono che il cda sia formato su queste materie e promuova la formazione del personale e dei soggetti terzi.

Ma non solo. Come ha sottolineato Rocco Mammoliti, responsabile Sicurezza informatica di Poste Italiane, è fondamentale allineare l’assetto organizzativo e gli investimenti a quello che c’è da proteggere. Se si chiude la porta di una stanza in cui non c’è nulla da difendere si stanno soltanto sprecando soldi. La cybersecurity deve essere integrata a tutti i processi del business perché non si sa da dove possa arrivare il pericolo: al board l’onere di verificare se la valutazione dei rischi è stata fatta in modo corretto.

Sull’adeguatezza dei modelli organizzativi ha insistito anche Alessandro Manfredini, presidente di AIPSA e direttore Group Security e Cyber Defence di A2A per il quale bisogna puntare sulla sostanza e non sulla forma: il rischio infatti è quello di morire di compliance. Quindi ben vengano le competenze nel board richieste dalla normativa ma il ruolo del cda deve essere quello di delegare al management dando le corrette leve sulle quali agire. Inoltre, è fondamentale diffondere la cultura della sicurezza a ogni livello, dalle aziende controllate e giù fino ai fornitori che spesso rappresentano il punto debole in caso di attacco informatico. Attenzione però all’accesso normativo che rischia di gessare il sistema economico nazionale e non solo.

Alessandro Nicolai, responsabile Legale, Societario, Istituzionale e Penale presso BNL Gruppo BNP Paribas, ha ricordato l’importanza di una cultura della sicurezza informatica che arrivi anche al cliente: il vulnus più grande, soprattutto quando si parla di banche, è la consegna delle credenziali di accesso da parte dell’utente. Questa ingenuità informatica può generare problemi con ripercussioni sul sistema. Ecco perché la normativa insiste sulla consapevolezza da parte di chi è chiamato a prendere decisioni, di tutti i rischi connessi alla cybersicurezza e lega la capacità di identificare e prevenire i pericoli alla profittabilità.

Il cda, quindi, rimane al centro di questa presa di coscienza. Secondo Flavia Scarpellini, corporate lawyer e cybersecurity advisor, board member e associata Nedcommunity si sta assistendo a un profondo cambio di paradigma Nel Board e Nella sua competenza su questi temi. La tendenza, probabilmente piscologica, a considerare il digitale come qualcosa di disgiunto dalla realtà, privo di conseguenze pratiche sulla vita concreta, influisce sulla scarsa consapevolezza del rischio cyber. Una normativa che impone di adottare una postura cyber a livello aziendale, con sanzioni pecuniarie molto elevate e responsabilità dei Board member, aiuta il board a prendere consapevolezza della centralità della cybersecurity e a trasmettere al management l’urgenza della gestione dei nuovi rischi che un impatto concreto dimostrano di averlo in diversi ambiti, dalla business conitnuity alla reputazione.

Così, come ha sottolineato, Giorgio Tosetti Dardanelli, responsabile Compliance e Antiriciclaggio Banca Profilo Spa, una corretta board evaluation, ovvero il processo di autovalutazione del funzionamento, della dimensione e della composizione di un cda, diventa quindi imprescindibile e rappresenta un primo passo per capire se si è pronti e attrezzati ad affrontare delle emergenze ma soprattutto ad adottare una visione strategica a questi temi.