La resilienza come paradigma normativo

La resilienza come paradigma normativo

Soft law e adeguati assetti nell'orizzonte della continuità aziendale

Vi è un momento, nella storia dei sistemi giuridici, in cui le categorie consolidate mostrano la loro insufficienza. Il diritto societario italiano attraversa oggi una di queste fasi di metamorfosi: l'interpolazione dell'art. 2086 c.c. operata dal Codice della crisi d'impresa e dell'insolvenza ha innescato una rivoluzione silenziosa, destinata a ridisegnare i confini della responsabilità gestoria ben oltre le intenzioni del legislatore storico.

La questione che ci occupa - l'innesto dello standard ISO 22301 nel tessuto degli adeguati assetti - esige una preliminare riflessione epistemologica. Il giurista contemporaneo si trova infatti a navigare in acque dove la distinzione tra hard law e soft law sfuma progressivamente, sino a dissolversi in una zona grigia che la dottrina più avvertita ha definito «cripto-hard»¹. Come ha osservato Zagrebelsky a proposito delle fonti extra ordinem, esse «si pongono in alternativa alle fonti legali e prevalgono o meno su di esse» secondo dinamiche che eccedono la razionalità del sistema positivo²: gli standard tecnici, pur formalmente privi di cogenza, acquistano rilevanza normativa attraverso l'incorporazione nelle prassi di settore, la valorizzazione giurisprudenziale come parametro di diligenza, l'integrazione nei modelli organizzativi ex D.Lgs. 231/2001.

La clausola generale di «adeguatezza» rappresenta il punto di sutura tra queste due dimensioni. La dottrina più autorevole l'ha configurata come norma di rango primario dotata di autonoma precettività³, il cui contenuto non è predeterminato ma si riempie attraverso il rinvio a standard tecnici esterni. È precisamente in questo interstizio che la ISO 22301 trova il proprio spazio operativo.

La discontinuità dell'art. 2086 c.c.

L'art. 375 del D.Lgs. 14/2019 ha introdotto nel codice civile un secondo comma destinato a modificare radicalmente l'architettura della responsabilità imprenditoriale. L'imprenditore collettivo è ora gravato dal dovere di istituire «un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi».

La giurisprudenza di merito ha rapidamente colto la portata della novella. Il Tribunale di Milano, con decreto del 29 febbraio 2024, ha qualificato la mancata predisposizione di adeguati assetti societari come «grave irregolarità» ex art. 2409 c.c., sufficiente a giustificare la revoca degli amministratori⁴. Nella medesima direzione si collocano i provvedimenti del Tribunale di Catania (8 febbraio 2023), del Tribunale di Venezia (29 novembre 2022), del Tribunale di Cagliari (19 gennaio 2022)⁵: l'omissione organizzativa non costituisce mera irregolarità formale, ma indice di negligenza gestionale con ricadute sanzionatorie sia in sede civile che penale.

Particolarmente significativa appare la precisazione del Tribunale di Catanzaro (6 febbraio 2024), secondo cui l'assenza degli assetti risulta «più grave in quelle società che non si trovano in uno stato di crisi»⁶: il presidio organizzativo opera in funzione preventiva, non meramente reattiva.

L'insegnamento della Cassazione n. 32545/2025

Lo scorso 13 dicembre 2025, la Corte di Cassazione ha emesso l'ordinanza n. 32545 che chiarisce definitivamente i confini della responsabilità dei soci di S.r.l., tracciando una distinzione netta tra la posizione del socio e quella dell'amministratore. Il principio espresso dalla Suprema Corte è cristallino: il socio risponde dei danni causati alla società o ai terzi solo se ha agito con dolo (malafede), ovvero con la precisa intenzione di ingerirsi nella gestione provocando quel determinato atto. La semplice colpa, la negligenza o la disattenzione non bastano a chiamarlo in causa in solido con l'amministratore⁷.

La sentenza si fonda su due pilastri fondamentali che reggono la responsabilità del socio ai sensi dell'art. 2476, comma 8, c.c.:

1) Elemento oggettivo: i fatti imputabili al socio devono essere veri e propri atti di gestione. Non basta un generico supporto morale: è necessario che il socio abbia concorso attivamente a compiere l'atto insieme agli amministratori, oppure che li abbia consapevolmente indotti o autorizzati a procedere. Il vincolo di solidarietà nel risarcimento del danno nasce proprio dall'accertamento di questo concorso in un'attività tipicamente gestoria, che esula dalle normali prerogative del socio.

2) Elemento soggettivo: il legislatore ha inserito un filtro decisivo con l'avverbio «intenzionalmente». La responsabilità sussiste soltanto se il socio si è rappresentato le conseguenze della sua condotta in termini di influenza sulla gestione e ha voluto, con piena coscienza, attuare quel comportamento di ingerenza. L'uso del termine «intenzionalmente» è il grimaldello che esclude la colpa.

Questo principio acquista particolare rilevanza alla luce dell'obbligo di adeguati assetti ex art. 2086 comma 2 c.c.: mentre la responsabilità per la mancata istituzione degli assetti ricade esclusivamente sugli amministratori, i soci possono essere chiamati a rispondere solo se hanno intenzionalmente autorizzato o deciso specifici atti gestionali dannosi, non per la semplice omissione organizzativa.

Eppure, nonostante la chiarezza del quadro normativo e la consolidata giurisprudenza di merito, persiste nel mondo professionale una preoccupante sottovalutazione del precetto. «Ma tanto sull'art. 2086 comma 2 non succede nulla…»⁸: così si esprimevano, ancora nel 2019, autorevoli commentatori⁹. I fatti hanno smentito questa previsione. Sei anni dopo l'entrata in vigore della norma, e dopo decine di pronunce giurisprudenziali che ne hanno sanzionato la violazione, moltissimi professionisti continuano a trascurare gli adeguati assetti. Peggio: taluni ritengono di adempiere all'obbligo con la predisposizione di qualche foglio elettronico, misconoscendo la natura sostanziale e non meramente documentale del presidio organizzativo richiesto dal legislatore.

Lo standard ISO 22301 come parametro di diligenza

La norma ISO 22301:2019 - Security and resilience. Business continuity management systems. Requirements - definisce i requisiti per pianificare, attuare e migliorare un sistema di gestione della continuità operativa. La sua architettura metodologica si fonda su quattro pilastri: la Business Impact Analysis, che identifica i tempi massimi tollerabili di interruzione (MTPD) e gli obiettivi di ripristino (RTO); il Risk Assessment, coerente con i principi della ISO 31000; le Business Continuity Strategies; i piani di continuità operativa corredati da programmi di esercitazione periodica.

L'interoperabilità con altri standard - ISO 37001 sull'anticorruzione, ISO 37301 sulla compliance - garantisce sinergie sistemiche che rafforzano la governance complessiva. Ma è sul piano della rilevanza giuridica che la ISO 22301 acquisisce un significato peculiare: essa fornisce il parametro tecnico attraverso cui valutare l'adeguatezza degli assetti organizzativi in funzione della rilevazione tempestiva della crisi e della perdita della continuità aziendale - locuzione, quest'ultima, che il legislatore ha mutuato precisamente dalla terminologia della business continuity.

La convergenza tra soft law e responsabilità gestoria

La questione dell'applicabilità della business judgment rule alle decisioni organizzative ha animato un vivace dibattito dottrinale¹⁰. L'orientamento che appare prevalente distingue tra il «se» della predisposizione degli assetti - obbligo specifico non coperto dalla regola di insindacabilità - e il «come» predisporli, dove residua un margine di discrezionalità per l'organo amministrativo¹¹.

Tale distinzione assume particolare rilevanza in relazione alla ISO 22301: se l'adozione di un sistema di gestione della continuità operativa può ritenersi espressione dell'obbligo legale, la scelta dello specifico standard e delle relative modalità attuative ricade nell'area della discrezionalità gestoria. Ne consegue che l'amministratore che abbia implementato un BCMS conforme alla ISO 22301 potrà invocare la protezione della business judgment rule quanto alle concrete soluzioni adottate, ferma restando la responsabilità per l'eventuale totale inerzia organizzativa. In questa prospettiva, gli adeguati assetti non si esauriscono in una dimensione meramente formale o documentale, ma assumono una valenza sostanziale quale infrastruttura organizzativa capace di orientare la gestione verso la continuità e l'emersione anticipata delle situazioni di squilibrio. Non è casuale, del resto, che la riflessione più recente abbia posto in relazione il tema degli assetti anche con la dimensione dell'affidamento esterno e, in particolare, con il rapporto tra adeguatezza organizzativa e accesso al credito.

Il Tribunale di Roma, nelle pronunce del 15 e 24 settembre 2020, ha precisato che non può ritenersi responsabile l'amministratore che abbia predisposto misure «ragionevoli» ex ante, anche se rivelatesi insufficienti ex post¹². La certificazione ISO 22301 può dunque operare come elemento probatorio a favore dell'amministratore, attestando la ragionevolezza delle scelte organizzative.

Le prospettive evolutive

L’Unione Europea muove verso un rafforzamento progressivo degli obblighi di resilienza operativa. La Direttiva NIS2 (UE 2022/2555), recepita con D.Lgs. 138/2024, impone alle entità essenziali e importanti l’adozione di misure tecniche e organizzative per garantire la continuità dei servizi¹³. Il Regolamento DORA (UE 2022/2554) estende analoghe prescrizioni al settore finanziario. La convergenza tra requisiti cogenti e standard volontari si fa sempre più stretta: la distinzione tra hard law e soft law assume i tratti di una partizione meramente descrittiva, inadeguata a cogliere la complessità del fenomeno normativo contemporaneo.

In questo orizzonte, la ISO 22301 trascende la dimensione della mera certificazione volontaria per configurarsi come strumento interpretativo dell’obbligo legale di adeguatezza. Non si tratta – beninteso – di un adempimento burocratico: la business continuity è questione di sostanza organizzativa, non di forma documentale. Ma proprio per questo essa si integra naturalmente nella trama degli adeguati assetti, offrendo agli amministratori un linguaggio comune e un framework metodologico la cui adozione può ragionevolmente qualificarsi come espressione di diligente gestione.

Le imprese che sapranno cogliere questa opportunità disporranno di un vantaggio competitivo significativo: non soltanto in termini di conformità normativa, ma soprattutto in termini di capacità di navigare l’incertezza. Perché, come insegna la storia economica, sopravvivono e prosperano non le imprese più grandi, ma quelle più capaci di adattarsi al cambiamento.

Note

1. G. Morbidelli, Degli effetti giuridici della soft law, in Riv. reg. mercati, 2016, p. 3, che parla di regolazione «definibile come cripto-hard» in quanto detta «vincoli molto stringenti nei confronti dei soggetti regolati».
2. G. Zagrebelsky, Manuale di diritto costituzionale, vol. I, Il sistema delle fonti del diritto, Torino, 1988, p. 541 ss.
3. V. Buonocore, Adeguatezza, precauzione, gestione, responsabilità: chiose sull'art. 2381, commi terzo e quinto, del codice civile, in Giur. comm., 2006, I, p. 5 ss.
4. Trib. Milano, decreto 29 febbraio 2024, in Giur. it., 2024.
5. Trib. Catania, 8 febbraio 2023; Trib. Venezia, 29 novembre 2022; Trib. Cagliari, 19 gennaio 2022, in Dirittodellacrisi.it, con nota di F. Aliprandi - A. Turchi.
6. Trib. Catanzaro, 6 febbraio 2024, Pres. Belcastro Es. Ranieli - inedita.
7. Cass. civ., ord. n. 32545 del 13 dicembre 2025.
8. La citazione è emblematica di un diffuso atteggiamento di scetticismo circa l'effettiva operatività delle nuove disposizioni in materia di adeguati assetti.
9. Sul punto, v. D. Ferrara, Socio srl responsabile solo per dolo, non per colpa, in ItaliaOggi, 29 dicembre 2025, disponibile su https://www.italiaoggi.it/diritto-e-fisco/fisco/socio-srl-responsabile-solo-per-dolo-non-per-colpa-h3i80bfq.
10. Per la ricostruzione del dibattito cfr. L. Benedetti, La business judgment rule e le decisioni organizzative, in Riv. dir. soc., 2020, p. 448 ss.
11. M. De Mari, Gli assetti organizzativi societari, in AA.VV., Assetti adeguati e modelli organizzativi nella corporate governance delle società di capitali, a cura di M. Irrera, Bologna, 2016, p. 37 ss.
12. Trib. Roma, 15 settembre 2020 e 24 settembre 2020, in Giur. comm., 2021.
13. Art. 24, comma 2, lett. c), D.Lgs. 138/2024, che impone misure di «continuità operativa e gestione delle crisi». Sul collegamento tra doveri organizzativi, prevenzione della crisi e ricadute degli adeguati assetti in termini di affidabilità esterna e accesso al credito, v. anche S. De Vitis, interventi su "Doveri e responsabilità … in funzione della prevenzione della crisi d'impresa" e su "L'impatto degli adeguati assetti nei confronti dell'accesso al credito", incontro di studio "Adeguati assetti" (ODCEC Lecce, 30 ottobre 2024).