1. Il decreto e i suoi effetti sul quadro digitale

Con l’entrata in vigore il 29 aprile 2026, il D.Lgs. 27 marzo 2026, n. 47 — attuativo della c.d. “Legge Capitali” (L. 5 marzo 2024, n. 21) — ridisegna la governance delle società di capitali modificando organicamente il Testo Unico della Finanza (D.Lgs. 58/1998) e il Codice Civile. Per quanto la riforma sia formalmente un provvedimento di diritto societario, essa genera obblighi impliciti di adeguamento per tutte le funzioni di compliance digitale: protezione dei dati (GDPR, D.Lgs. 196/2003), sicurezza informatica (D.Lgs. 138/2024, NIS2) e intelligenza artificiale (Reg. UE 2024/1689, AI Act). Ignorare questa intersezione significa lasciare scoperte responsabilità che il quadro normativo europeo ora imputa direttamente agli organi sociali.

2. Le novità a maggiore impatto per la compliance digitale

Scelta obbligatoria del sistema di governance (art. 2380 c.c.)

Lo statuto deve indicare espressamente il modello di governance adottato tra i tre sistemi previsti. Questa scelta non è neutra: l’identificazione dell’“organo di gestione” che l’art. 20 D.Lgs. 138/2024 (NIS2) obbliga ad approvare le misure di sicurezza informatica presuppone che il modello di governance sia stato definito. Senza tale scelta esplicita, l’attribuzione della responsabilità di cybersecurity governance resta indeterminata.

3. Nuovo sistema dei controlli (artt. 2396-bis – 2396-novies c.c.)

Gli articoli dal 2396-bis al 2396-novies c.c. disciplinano in modo unitario doveri, poteri e cause di ineleggibilità dell’organo di controllo per tutti i sistemi di governance. Il Collegio Sindacale — o organo equivalente — diventa il soggetto naturalmente deputato alla vigilanza sul rispetto degli obblighi NIS2 e GDPR, nella logica di una “quarta linea di difesa” accanto all’internal audit, al risk management e alla funzione di compliance.

4. L’illecito gestorio e l’opportunity doctrine

L’art. 2396-bis c.c. vieta l’uso a vantaggio proprio o di terzi di dati, notizie o opportunità d’affari appresi durante l’incarico, estendendo tale divieto ai Direttori Generali e ai dirigenti con responsabilità strategiche. In chiave digitale, questa norma codifica sul piano societario il principio già immanente nell’art. 29 GDPR e nell’art. 32 D.Lgs. 138/2024: chi ha accesso a dati sensibili, vulnerabilità di sistema o informazioni riservate acquisisce un obbligo ex lege di riservatezza la cui violazione può generare responsabilità cumulativa su tre piani — societario, privatistico e penale (art. 167 D.Lgs. 196/2003).

5. Dirigenti con responsabilità strategiche: CISO, CAIO e DPO

L’estensione della politica di remunerazione ai dirigenti con responsabilità strategiche (art. 123-ter TUF riformato) ricomprende verosimilmente il CISO e il Chief AI Officer. Per il DPO, la qualificazione come dirigente con responsabilità strategiche solleva una tensione con il principio di indipendenza sancito dall’art. 38, par. 3, GDPR: le componenti variabili della remunerazione devono essere calibrate in modo da non compromettere l’autonomia del mandato.

6. Assemblee telematiche e rischi cyber-privacy

A partire dal 30 settembre 2026, lo statuto potrà prevedere assemblee in modalità esclusivamente telematica. Ciò impone la stipula di un Data Processing Agreement con il fornitore della piattaforma (art. 28 GDPR), l’implementazione di autenticazione forte (MFA), l’informativa agli interessati ex art. 13 GDPR e un risk assessment specifico per i rischi di impersonation, intercettazione e DDoS.

7. Check List operativa essenziale

Verifiche prioritarie da completare entro il 29 ottobre 2026 (disposizioni a effetto immediato) e il 29 gennaio 2027 (disposizioni con termine di 9 mesi).

GOVERNANCE E CONTROLLO

  • Scelta statutaria del modello: aggiornare lo statuto indicando espressamente il sistema di governance ai sensi dell’art. 2380 c.c. riformato.
  • Identificazione organo NIS2: formalizzare l’“organo di gestione” ai fini dell’art. 20 D.Lgs. 138/2024 e verbalizzare la delibera di approvazione delle misure di sicurezza informatica.
  • Aggiornamento regolamento organo di controllo: recepire i nuovi doveri ex artt. 2396-bis ss. c.c. con esplicita vigilanza su GDPR, NIS2 e AI Act.
  • Reporting DPO: aggiornare l’atto di nomina del DPO identificando il “massimo livello gerarchico” nel nuovo sistema di governance.

DIRIGENTI CON RESPONSABILITÀ STRATEGICHE

  • Perimetro dei DRS: verificare se CISO e CAIO rientrano tra i dirigenti con responsabilità strategiche e aggiornare contratti e politiche di remunerazione.
  • Clausole di riservatezza: inserire nei contratti dei DRS obblighi espliciti coerenti con l’art. 2396-bis c.c. e l’art. 29 GDPR.
  • Posizione del DPO: separare contrattualmente la componente fissa dalla componente variabile della remunerazione del DPO per preservarne l’indipendenza.

ASSEMBLEE TELEMATICHE E AI

  • DPA con fornitore piattaforma: verificare o stipulare il contratto ex art. 28 GDPR prima di qualsiasi assemblea telematica.
  • Autenticazione forte: implementare MFA e procedure di verifica dell’identità dei partecipanti.
  • Inventario sistemi AI: classificare i sistemi di intelligenza artificiale ai sensi dell’Allegato III AI Act e designare il responsabile della supervisione umana ex art. 26 AI Act.
  • Aggiornamento MOGC 231: integrare il protocollo sui reati informatici (art. 24-bis D.Lgs. 231/2001) con le fattispecie di rischio connesse all’illecito gestorio e all’uso improprio di sistemi AI.