I vertici aziendali sono responsabilizzati sulla privacy, sull’Intelligenza artificiale e sulla sicurezza (cyber e analogica).

È questo l’effetto di un profilo significativo della riforma del mercato dei capitali, varata dal D.Lgs. 47/2026, che ha arricchito i contenuti della relazione sul governo societario e gli assetti proprietari delle società quotate.

Il documento dovrà, infatti, descrivere le policy aziendali relative a nuove tecnologie e intelligenze artificiali e le policy sulla sicurezza informatica e cibernetica.

La novella ha molti effetti diretti:

1) aumenta la trasparenza aziendale, considerato che in atti ufficiali la società deve esporre che cosa ha fatto e sta facendo a proposito della gestione dei rischi riguardanti il flusso, la gestione e la protezione dei dati personali e non personali;

2) inserisce questi aspetti tra i parametri sui quali gli organi di amministrazione possono essere valutati e giudicati;

3) coinvolge direttamente gli organi di amministrazione nell’assunzione delle decisioni in materia di conformità al Gdpr, all’AI Act, alla NIS 2 e altre normative settoriali sulla sicurezza dei dati e sulla cybersicurezza.

La novella, peraltro, va letta e interpretata anche quale paradigma ripetibile in settori diversi dalle società quotate e, quindi, quale standard applicabile in ambiti pubblici e privati.

La novella

In dettaglio si tratta delle modifiche apportate all’art. 123-bis TUF (D.Lgs. 58/98) da parte dell’art. 6 c. 1 lett. f) D.Lgs. 47/2026, pubblicato sulla Gazzetta Ufficiale n. 86 del 14 aprile 2026, in vigore dal 29 aprile 2026.

Il D.Lgs. 47/2026 ha riformato in maniera organica le disposizioni in materia di mercati dei capitali previste dal TUF (Testo unico delle disposizioni in materia di intermediazione finanziaria, D.Lgs. 58/98). L’art. 123-bis fa parte della sezione dedicata agli assetti proprietari delle società quotate e disciplina la relazione sulla gestione delle società emittenti valori mobiliari ammessi alle negoziazioni in mercati regolamentati.

La relazione deve includere una serie di informazioni, elencate dall’art. 123-bis, in una specifica sezione, denominata: "Relazione sul governo societario e gli assetti proprietari".

La novella consiste nell’aggiunta di nuove informazioni da inserire nella relazione.

Pertanto, ai sensi della nuova lett. d-ter) c. 2 dell’art. 123-bis citato, nella relazione si devono riportare “ove adottate, una descrizione delle politiche della società in materia di utilizzo e di monitoraggio delle nuove tecnologie e, in particolare, dei sistemi di intelligenza artificiale negli assetti amministrativi, organizzativi e contabili”. Inoltre, ai sensi della nuova lettera d-quater), sempre del c. 2 dell’art. 123-bis, nella relazione si devono riportare “ove adottate, una descrizione delle politiche di gestione e di monitoraggio dei rischi informatici, inclusi i rischi di sicurezza cibernetica e i rischi derivanti dall’integrazione di nuove tecnologie negli assetti amministrativi, organizzativi e contabili.”.

Infine, per effetto di una modifica del c. 4 dell’art. 123-bis, il revisore o la società di revisione deve verificare che siano state fornite anche le informazioni sulle policy relative alle nuove tecnologie e alle loro ricadute in termini di sicurezza.

L’effetto delle nuove norme

Fin qui le norme di nuova introduzione. Ma il vero punto è comprendere a pieno la portata e l’impatto, diretto e sistematico, delle nuove disposizioni.

Andando al nocciolo della questione, si può sinteticamente dire che, per effetto della novella, gli amministratori non potranno dire di non conoscere il reale stato delle cose e, quindi, neppure potranno opporre la loro presunta inconsapevolezza quale causa giustificatrice di eventuali omissioni nel fronteggiare le sfide poste da IA, cibersicurezza e privacy.

La necessaria dovuta contezza da parte dei livelli più alti dell’organizzazione societaria diventa, allora, il presupposto non più eludibile che sollecita ed esige stanziamenti di fondi e investimenti adeguati per alzare gli scudi della sicurezza, ciber e no.

La disponibilità del documento, poi, costringe le società a stimare le conseguenze sul piano della considerazione del mercato e, quindi, sul piano della immagine e della reputazione dell’ente.

La rintracciabilità della relazione, infine, implica la messa a disposizione di informazioni rilevanti anche alle autorità di controllo, le quali possono attivarsi di loro iniziativa per ammonire rispetto a possibili future violazioni o contestare inosservanze consumate.

La disposizione introdotta, dunque, solo in apparenza ha natura formale e burocratica (due documenti in più da scrivere), avendo invece impatti sostanziali. Considerato che bisogna rivelare ai soci, al mercato, alle autorità lo stato dell’arte relativo alla sicurezza e agli adempimenti “privacy” è prevedibile che ci si preoccuperà di più di come si è messi e che ci si ritrarrà dal confessare apertamente elementi negativi e perciò rimproverabili. Non si può certo rischiare di mettere nero su bianco una situazione non conforme rispetto a obblighi così stringenti per la continuità aziendale.

Un’interpretazione sistematica

A ben vedere, con la disposizione in commento si riprende un discorso legislativo interrotto nel 2012. Quello è l’anno in cui il DL 5/2012 ha abrogato alcuni punti dell’allegato B al codice della privacy (D.Lgs. 196/2003), allegato che, per inciso, è stato poi abrogato per intero dal D.Lgs. 101/2018.

Ebbene, l’allora vigente punto n. 26 prescriveva la seguente misura di sicurezza in ambito privacy: “il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza”. È agevole constatare che la misura n. 26 è l’antesignana delle integrazioni operate dall’art. 123-bis TUF.

Tra l’altro, il richiamo di quel lontano precedente normativo rende palese e giustifica un'altra decisiva considerazione di ordine sistematico. In effetti, la responsabilizzazione dei vertici delle organizzazioni ha una portata generale estesa a tutti gli enti privati e pubblici.

La regola del coinvolgimento dei livelli apicali non è, certo, una norma speciale con ambito di applicazione ristretto esclusivamente alle società quotate. Per arrivare a questa conclusione ci sono molte e convergenti strade.

Innanzitutto, ci sono discipline che affermano la stessa regola (responsabilizzazione dei vertici organizzativi). Ad esempio, il D.Lgs. 138/2024 (in particolare l’art. 23), che recepisce la Dir. UE 2022/2555 “NIS 2”, in materia di sicurezza informatica, pur essendo un corpo normativo settoriale, include nel suo ambito di applicazione soggetti diversi e ulteriori rispetto alle società quotate.

In ogni caso, ci sono disposizioni sulla responsabilizzazione (accountability), di per sé inclusiva della regola della necessaria responsabilizzazione degli organi di vertice, che non hanno perimetri ristretti di applicazione: la più importante tra queste è l’art. 5 par. 2 Reg. UE 2016/679 sulla privacy (Gdpr). Si può dire, dunque, che la novella del TUF individua in un determinato settore un percorso per l’applicazione della norma sull’accountability, la quale, in realtà, già vive nell’ordinamento con effetti vincolanti a livello generale e di sistema.

Pertanto, dall’obbligo generalizzato di accountability discende a carico di tutte le organizzazioni, pubbliche o private, l’obbligo di inserire nella documentazione periodica consuntiva dell’attività, curata dagli organi di vertice, le informazioni sulla gestione delle nuove tecnologie (tra cui l’IA) e sulla programmazione della sicurezza, tesa alla protezione dei dati e alla continuità operativa dell’organizzazione. E tutto ciò alimenta un circolo virtuoso: la trasparenza obbligatoria diventa, per tutti, il motore della compliance.