Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Art. 2086 c.c. e adeguati assetti organizzativi: governance, cybersicurezza e responsabilità degli amministratori

Responsabilità amministratori
Responsabilità amministratori

Altri articoli dell'autore

Diritto /

La riforma del Trust di Jersey: analisi delle modifiche alla Trusts (Jersey) Law 1984 introdotte dall’Amendment Law 202-25

Diritto /

Designazione anticipata dell’amministratore di sostegno, DAT e trust: strumenti giuridici per la tutela della persona e del suo patrimonio in caso di futura incapacità

Diritto /

Usufrutto e nuda proprietà: strumenti giuridici per la pianificazione patrimoniale ed il passaggio generazionale

Art. 2086 c.c. e adeguati assetti organizzativi: governance, cybersicurezza e responsabilità degli amministratori

 

L’articolo 2086 del Codice Civile rappresenta oggi uno snodo cruciale per la sopravvivenza e la gestione consapevole delle piccole e medie imprese. La norma impone all’imprenditore e agli amministratori di dotarsi di assetti organizzativi adeguati per prevenire le crisi e garantire la continuità aziendale. Si tratta di un cambiamento culturale profondo: dalla logica dell’improvvisazione gestionale a quella della pianificazione, della trasparenza e della responsabilità. In questo contesto, la gestione del rischio di cybersicurezza emerge come componente ormai imprescindibile degli assetti organizzativi, incidendo direttamente sulla capacità dell’impresa di preservare l’integrità dei propri processi, delle informazioni e delle infrastrutture digitali.

Abstract

Il contributo analizza l’articolo 2086 c.c. alla luce dell’evoluzione normativa introdotta dal D.Lgs. 14/2019 (Codice della crisi d’impresa e dell’insolvenza) e dei più recenti interventi in materia di cybersicurezza, con particolare riferimento al recepimento della direttiva NIS 2. L’obbligo di istituire adeguati assetti organizzativi, amministrativi e contabili viene esaminato quale presidio essenziale di governance, prevenzione della crisi e tutela della continuità aziendale, secondo i criteri di proporzionalità ed effettività. L’analisi si sofferma sui doveri non delegabili degli organi amministrativi, sul ruolo della cybersicurezza come rischio d’impresa da presidiare a livello strategico e sull’integrazione della sicurezza della supply chain nei processi di acquisto e outsourcing. Vengono inoltre esaminati i principali orientamenti della giurisprudenza di merito e di legittimità in tema di responsabilità degli amministratori, di delimitazione della business judgment rule e di criteri di quantificazione del danno, con l’obiettivo di offrire indicazioni operative utili per PMI e società di capitali nell’adeguamento dei propri assetti organizzativi.

 

 

L'obbligo di istituire Adeguati Assetti Organizzativi

L'introduzione del secondo comma dell’articolo 2086 del Codice Civile ad opera del D.Lgs. 14/2019 (Codice della crisi d’impresa e dell’insolvenza), ha segnato una trasformazione fondamentale nei principi di governo societario. La norma impone a ogni imprenditore, sia individuale che collettivo, il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa. Tale obbligo non è fine a se stesso, ma è funzionale alla rilevazione tempestiva della crisi e alla salvaguardia della continuità aziendale.                                                                                                                            Questa disposizione ha spostato l'asse della governance da una visione gerarchica, in cui "l'imprenditore è il capo dell'impresa", a un modello basato sulla prevenzione e sulla gestione consapevole dei rischi, imponendo un presidio essenziale di buona amministrazione.

L'articolo 2086 c.c. non delinea un modello organizzativo standard ma introduce un principio generale che si fonda su due pilastri fondamentali: la proporzionalità e l'effettività:

  1. Proporzionalità: gli assetti devono essere calibrati sulle specifiche caratteristiche dell'impresa, quali la dimensione, la complessità operativa, il settore di appartenenza e il profilo di rischio.
  2. Effettività: la norma valorizza la sostanza sulla forma. Non è sufficiente la presenza formale di organigrammi o procedure scritte; è necessario che tali strumenti siano realmente funzionali a garantire il controllo della gestione e la tempestiva rilevazione degli squilibri economico-finanziari. Un assetto è considerato adeguato quando assicura flussi informativi corretti, definisce ruoli e responsabilità, garantisce la tracciabilità delle decisioni e permette di reagire con prontezza agli eventi critici.

La dottrina ha sottolineato come la presenza di assetti contabili efficienti consenta un monitoraggio continuo della situazione patrimoniale, economica e finanziaria, permettendo agli amministratori di adempiere tempestivamente agli obblighi imposti dalla legge, come la convocazione dell'assemblea in caso di perdite significative. La giurisprudenza di legittimità ha ulteriormente rafforzato questo concetto, evidenziando come la "totale assenza di pianificazione aziendale" o la "completa inettitudine produttiva" non possano essere giustificate, in quanto l'imprenditore ha il dovere di predisporre i mezzi di produzione in un'ottica di continuità aziendale(Cass. Civ., Sez. 5, N. 36365 del 23-11-2021). In tali casi, la Corte di Cassazione ha affermato che la totale assenza di assetti organizzativi comporta un "restringimento dell'operatività della business judgment rule" (Cass. Civ., Sez. 5, N. 36365 del 23-11-2021).

In una pronuncia, la Suprema Corte ha imputato la responsabilità a un componente del Consiglio di Amministrazione proprio per la "evidente carenza di presidi in merito alla corretta prestazione del servizio", sottolineando che le violazioni riscontrate erano conseguenza della mancanza di regole procedurali che avrebbero dovuto impedire le condotte illecite (Cass. Civ., Sez. 2, N. 15583 del 16-05-2022). Questo conferma che l'adeguatezza degli assetti non è una mera formalità, ma un requisito sostanziale la cui carenza può fondare una responsabilità diretta.

La Cybersicurezza come Componente Essenziale degli Adeguati Assetti

Una recente analisi di Assonime, commentando l'attuazione del D.Lgs. 138/2024 di recepimento della direttiva NIS 2, ha messo in luce come la cybersicurezza sia divenuta una componente strutturale degli adeguati assetti organizzativi. Il decreto impone un cambio di paradigma: il rischio cyber non è più un tema meramente tecnico delegabile alle funzioni IT, ma un rischio d’impresa che deve essere presidiato al vertice. L'articolo 23 del decreto affida agli organi amministrativi e direttivi doveri non eludibili, qualificati dall'Agenzia per la cybersicurezza nazionale (ACN) come obblighi di indirizzo e pianificazione strategica, e quindi non delegabili (LEGGE 23 settembre 2025, n. 132). Tali doveri includono:

  • L'approvazione delle modalità di implementazione delle misure di gestione dei rischi.
  • La supervisione sulla loro attuazione, comprese le notifiche di incidente.
  • La cura della formazione specifica in materia.

Questa evoluzione normativa incide direttamente sull'interpretazione dell'articolo 2086 c.c., stabilendo che la cybersicurezza debba essere integrata a pieno titolo nei piani strategici e industriali, nella valutazione periodica del sistema di controllo interno e, più in generale, nell'adeguatezza degli assetti organizzativi.

Le conseguenze organizzative sono significative: è richiesta l'implementazione di processi, procedure e flussi informativi dedicati, una chiara ripartizione di compiti e poteri, e un monitoraggio continuo allineato allo stato dell'arte, con un approccio proporzionale e multirischio. La discrezionalità del Consiglio di Amministrazione sulle scelte organizzative risulta così incanalata entro un perimetro normativo definito, che riduce lo spazio della business judgment rule.

L'ACN ha definito un insieme minimo di misure che il CdA deve presidiare, approvare e riesaminare periodicamente, tra cui:

  • La politica di gestione del rischio cyber, coerente con la strategia aziendale.
  • Il piano di gestione dei rischi e il documento di valutazione.
  • I piani di continuità operativa e disaster recovery.
  • Il piano di gestione degli incidenti e di notifica al CSIRT (Computer Security Incident Response Team).
  • Un piano di formazione per tutto il personale.

In questo contesto, la sicurezza della supply chain assume un ruolo strutturale nell’assetto complessivo dell’organizzazione. Al Consiglio di Amministrazione spetta il compito di indirizzare i processi di approvvigionamento e di outsourcing affinché integrino requisiti di sicurezza adeguati, di valutare il rischio cyber associato alle forniture e di prevedere clausole contrattuali specifiche per i rapporti che incidono sui sistemi informativi e di rete, in conformità alla Direttiva (UE) 2024/1760 del Parlamento europeo e del Consiglio del 13 giugno 2024, relativa al dovere di diligenza delle imprese ai fini della sostenibilità, che modifica la Direttiva (UE) 2019/1937 e il Regolamento (UE) 2023/2859. In tale quadro, la designazione di un responsabile della cybersicurezza incaricato di supportare il CdA nelle attività di pianificazione e monitoraggio rappresenta una leva fondamentale di accountability.

 

La gestione esclusiva degli amministratori e il ruolo dei soci

Una delle novità più significative introdotte dal Codice della crisi è l'esplicita attribuzione della competenza in materia di assetti organizzativi. L'articolo 2475 c.c., per le S.r.l., e l'articolo 2380-bis c.c., per le S.p.A., stabiliscono che "l'istituzione degli assetti di cui all'articolo 2086, secondo comma, spetta esclusivamente agli amministratori”. Questa previsione ha generato un dibattito dottrinale, soprattutto con riferimento alle S.r.l., dove l'ordinamento consente una maggiore flessibilità e la possibilità di attribuire competenze gestorie ai soci.

Una parte della dottrina ha proposto un'interpretazione volta a conciliare la nuova norma con la flessibilità tipica della S.r.l. Secondo questa lettura, la competenza esclusiva degli amministratori riguarderebbe la definizione del "protocollo organizzativo dell'impresa", ovvero la progettazione e l'implementazione della struttura organizzativa, amministrativa e contabile. All'interno di tale cornice, tuttavia, rimarrebbe impregiudicata la possibilità per i soci di assumere decisioni su specifici atti di gestione, in conformità con le previsioni statutarie. In questo senso, la responsabilità per l'adeguatezza dell'assetto graverebbe in via esclusiva sugli amministratori, i quali non potrebbero esimersi adducendo una corresponsabilità dei soci. Questo modello trova una specifica applicazione nel contesto della cybersicurezza. Sebbene le determinazioni dell'ACN qualifichino come non delegabili gli obblighi di indirizzo e pianificazione strategica, esse ammettono la delega di funzioni per l'attuazione operativa. È dunque coerente con il quadro normativo un assetto che preveda una delega gestoria a uno o più amministratori (organo delegato) e, a valle, deleghe di funzioni a strutture specialistiche, mantenendo in capo al consiglio la responsabilità ultima e i presidi di controllo. Ciò è in linea con i principi generali del diritto societario, come l'obbligo per gli amministratori privi di deleghe di "agire in modo informato" e di attivarsi per prevenire o attenuare le criticità aziendali, esercitando una funzione di monitoraggio sulle scelte degli organi esecutivi [Cass. Civ., Sez. 2, N. 10288 del 16-04-2024][Cass. Civ., Sez. 2, N. 8581 del 29-03-2024].

 

La Responsabilità degli amministratori e la quantificazione del danno

Il rafforzamento dei doveri gestori si accompagna a un inasprimento del regime di responsabilità. L'articolo 2476, comma 6, c.c. prevede che gli amministratori rispondano verso i creditori sociali per l'inosservanza degli obblighi inerenti alla conservazione dell'integrità del patrimonio sociale. La mancata istituzione di adeguati assetti o l'inerzia di fronte ai segnali di crisi costituisce una violazione diretta di tali doveri e può comportare la responsabilità personale degli amministratori per i danni che ne derivano.                                            La giurisprudenza ha progressivamente consolidato i criteri per la quantificazione del danno risarcibile, che si identifica con l'aggravamento del dissesto causato dall'inerzia gestionale. I metodi più utilizzati sono:

  • Criterio differenziale basato sul patrimonio netto, si calcola la differenza tra il patrimonio netto che la società avrebbe avuto se gli amministratori avessero agito tempestivamente e quello effettivo al momento della liquidazione o dell'insolvenza.
  • Criterio del deficit incrementale, si calcola la differenza tra i debiti maturati dopo il manifestarsi della crisi e quelli preesistenti.

Diverse sentenze di merito hanno applicato concretamente questi principi:

  • Il Tribunale di Perugia, con la sentenza n. 817/2020, ha condannato in solido gli amministratori al risarcimento del danno, quantificato proprio sulla base della differenza tra l'attivo e il passivo fallimentare, ritenendo tale deficit una conseguenza diretta della loro mala gestio.
  • Il Tribunale di Siena, con la sentenza n. 538/2019, pur riconoscendo la mala gestio degli amministratori, ha rigettato una richiesta di risarcimento basata su un presunto mancato utile (lucro cessante) ritenuto troppo speculativo. Ha invece accolto la domanda limitatamente ai danni documentalmente provati, come quelli derivanti dalla sottoscrizione di una fideiussione e dalle sanzioni fiscali, dimostrando un approccio rigoroso nella prova del nesso causale e nella quantificazione del danno.

L'orientamento giurisprudenziale più recente, come evidenziato dalle sentenze del Tribunale di Torino del 29 marzo 2024 e del Tribunale di Milano del 10 luglio 2024, conferma un approccio sempre più severo. Tali pronunce ribadiscono che la mancanza di adeguati assetti organizzativi non è una mera formalità, ma una violazione che impedisce di intercettare tempestivamente la crisi e che può determinare gravi responsabilità personali per gli amministratori, fino alla revoca e alla condanna al risarcimento dei danni subiti dalla procedura concorsuale. In questo quadro, la mancata o inadeguata gestione del rischio di cybersicurezza assume un rilievo centrale. La mancata predisposizione degli assetti cyber richiesti dalla normativa configura una grave irregolarità gestoria. L'inadeguatezza di tali assetti può far emergere una responsabilità degli amministratori per violazione dei doveri di diligenza, con una conseguente attenuazione degli spazi di insindacabilità delle scelte gestorie (business judgment rule), specialmente quando la norma dettaglia contenuti minimi e criteri tecnici da rispettare. Il sistema sanzionatorio previsto combina ammende pecuniarie per gli enti con sanzioni interdittive personali in caso di inottemperanza alle diffide dell'ACN, applicabili anche ai membri degli organi amministrativi e direttivi.

 

Conseguenze Ulteriori dell'inadempimento dei doveri gestori

Oltre all'azione di responsabilità, l'inadempimento dei doveri gestori può avere altre conseguenze significative. La Corte di Cassazione, con la sentenza n. 29252 del 20 ottobre 2021, ha affermato un principio di notevole impatto pratico: la società può legittimamente rifiutare il pagamento del compenso all'amministratore sollevando, in via di eccezione, l'inadempimento dei suoi obblighi. La Corte ha stabilito il seguente principio di diritto: "in tema di compenso spettante all'amministratore di società a responsabilità limitata, la società può far valere in via di eccezione riconvenzionale, ai sensi degli artt. 1218 e 1460 c.c., l'inadempimento o il non corretto adempimento degli obblighi assunti dall'amministratore in osservanza dei doveri imposti dalla legge o dall'atto costituivo, la cui violazione integra la responsabilità di tipo contrattuale ex art. 2476, primo comma, c.c. [...]". Questa pronuncia lega indissolubilmente il diritto al compenso al corretto adempimento dell'incarico, fornendo alla società uno strumento di autotutela per paralizzare le pretese dell'amministratore inadempiente. A ciò si aggiungono, in ambiti specifici come quello della cybersicurezza, sanzioni amministrative che possono colpire sia l'ente sia, in determinati casi, personalmente i componenti degli organi amministrativi e direttivi.

 

Conclusioni

La riforma dell'articolo 2086 c.c. ha introdotto un vero e proprio obbligo di adottare una "cultura della gestione consapevole". L'imprenditore non è più solo il "capo", ma il garante dell'equilibrio organizzativo e finanziario dell'impresa. L'adeguatezza degli assetti, valutata secondo i criteri di proporzionalità ed effettività, è diventata un presidio irrinunciabile di buona amministrazione. Come dimostra la giurisprudenza, la violazione di questo dovere non è più una mera irregolarità formale, ma un illecito gestionale che espone gli amministratori a gravi conseguenze patrimoniali, consolidando un modello di governance orientato alla prevenzione della crisi e alla tutela della continuità aziendale. La recente enfasi sulla gestione del rischio di cybersicurezza come dovere indelegabile del vertice aziendale ne è la più chiara manifestazione, trasformando un rischio tecnico in un pilastro della strategia e della governance d'impresa.

Articoli più letti su questo argomento

Diritto /

Cyberattacchi: Italia epicentro della guerra digitale. 2025 anno nero

Società /

Governance e sostenibilità organizzativa nei repository digitali: la Sezione 3 dello standard ISO 16363

Diritto /

Le Sezioni Unite sulla responsabilità degli ex soci per debiti tributari della società estinta: i limiti, l’onere probatorio e la necessità di un autonomo avviso di accertamento nei confronti degli ex soci

Newsletter Abbonamenti