Data breach e responsabilità penale degli amministratori: le nuove coordinate della Corte di Cassazione

Negli ultimi anni la giurisprudenza di legittimità ha progressivamente ridefinito l’ambito della responsabilità penale degli amministratori societari, superando approcci meramente formalistici e valorizzando, invece, il profilo sostanziale delle condotte e dell’elemento soggettivo.

Due pronunce della Corte di Cassazione, entrambe del 2024, meritano particolare attenzione perché chiariscono quando la carica di amministratore può effettivamente tradursi in responsabilità penale e quando, invece, non è sufficiente la sola investitura formale. I principi affermati assumono rilievo non solo nei reati fallimentari, ma anche in contesti sempre più attuali come la gestione dei data breach e della sicurezza informatica.

La prima pronuncia (cfr. Cass. Pen., Sez. V, 21/03/2024, n. 11968) riguarda il caso di un amministratore unico di una S.r.l., in carica dal 2013 fino al fallimento della società nel 2016, condannato in primo grado per bancarotta fraudolenta documentale e patrimoniale. La difesa aveva sostenuto che l’imputato fosse un mero prestanome, privo di reali poteri gestionali e completamente estraneo alla gestione effettiva dell’impresa.

La Corte di Cassazione ha annullato la condanna con rinvio, affermando un principio di particolare importanza: la responsabilità penale dell’amministratore di diritto non può fondarsi esclusivamente sulla titolarità formale della carica. È invece necessario dimostrare la sua effettiva consapevolezza delle condotte illecite o, quantomeno, un contributo causale concreto alla realizzazione del reato.

La Corte chiarisce che la posizione di garanzia derivante dalla carica non può degenerare in una presunzione automatica di colpevolezza. Un simile approccio, infatti, finirebbe per invertire l’onere della prova, imponendo all’imputato di dimostrare la propria estraneità ai fatti. Al contrario, spetta all’accusa fornire una prova positiva del coinvolgimento, della conoscenza dei fatti e dell’elemento soggettivo richiesto dalla fattispecie incriminatrice.

Il riflesso sul tema dei data breach

Traslando questo principio nel campo della protezione dei dati e della cybersecurity, emerge un’indicazione chiara: un amministratore non può essere ritenuto penalmente responsabile per il solo fatto che, durante il suo mandato, si sia verificata una violazione dei dati personali.

Per affermare una responsabilità penale occorre dimostrare, ad esempio, che l’amministratore:

• fosse a conoscenza di specifiche vulnerabilità tecniche non risolte;

• avesse ricevuto segnalazioni formali da figure qualificate (DPO, CISO, OdV) rimaste prive di riscontro;

• avesse deliberatamente negato risorse economiche necessarie per interventi di sicurezza essenziali;

• fosse stato informato di incidenti precedenti, anche minori, idonei a far emergere un rischio concreto e attuale.

In assenza di tali elementi, la carica formale non è sufficiente a fondare una responsabilità penale.

Di segno parzialmente diverso è la seconda pronuncia (cfr. Cass. Pen., Sez. VI, 03.12.2024, n. 13620), che ha esaminato il caso di una S.r.l. amministrata da tre soggetti. Tutti sono stati condannati per bancarotta fraudolenta, nonostante solo uno di essi fosse il gestore di fatto. Gli altri due avevano sostenuto di essere stati sistematicamente esclusi dalle decisioni operative.

La Cassazione ha confermato le condanne, precisando però un principio destinato a incidere profondamente sulla prassi: l’amministratore non operativo è esente da responsabilità solo se dimostra di aver esercitato una vigilanza effettiva e di essersi attivato per impedire le condotte illecite.

Secondo la Corte, non è sufficiente “non partecipare” alle decisioni illegittime. Occorre invece una condotta positiva e documentabile, che può tradursi, a seconda dei casi, nella formalizzazione del dissenso, nella richiesta di chiarimenti, nella convocazione dell’assemblea dei soci o, nelle situazioni più gravi, nelle dimissioni.

Il fulcro del ragionamento è il principio della vigilanza attiva: l’inerzia consapevole, soprattutto in presenza di segnali di irregolarità, può integrare un contributo causale penalmente rilevante.

Applicando questi criteri ai contesti di governance tecnologica, emerge un quadro molto concreto. In un consiglio di amministrazione composto da più membri, qualora l’amministratore delegato o il CEO ignori o respinga raccomandazioni di sicurezza considerate critiche, gli altri amministratori non possono limitarsi a un atteggiamento passivo.

Per ridurre il rischio di responsabilità, essi devono:

• formalizzare il proprio dissenso nei verbali del consiglio;

• richiedere valutazioni tecniche indipendenti da parte di consulenti o auditor esterni;

• informare il collegio sindacale o gli organi di controllo, se il rischio assume carattere sistemico;

• valutare, nei casi estremi, la rassegnazione delle dimissioni.

La semplice “non partecipazione” alle decisioni carenti in materia di sicurezza informatica potrebbe non essere sufficiente a escludere una responsabilità penale, soprattutto se il rischio di data breach era prevedibile e conosciuto.

Le due pronunce del 2024 delineano un equilibrio delicato ma chiaro: da un lato, la Corte di Cassazione respinge ogni forma di responsabilità automatica fondata sulla sola carica; dall’altro, richiede agli amministratori un ruolo attivo, vigile e documentato, soprattutto nei contesti di gestione collegiale.

In un’epoca in cui i rischi informatici rappresentano una minaccia concreta per la continuità aziendale, la responsabilità penale degli amministratori passa sempre più attraverso la qualità delle decisioni, la tracciabilità delle scelte e la capacità di dimostrare di aver agito – o di aver tentato seriamente di agire – per prevenire eventi dannosi prevedibili.